Menschliches Versagen, Softwareausfälle, Beschädigungen an Servern und Festplatten, Cyberattacken – es gibt zahlreiche Gründe, aus denen Teile oder die gesamte IT-Infrastruktur ausfallen und unternehmenswichtige Daten oder Anwendungen nicht mehr zur Verfügung stehen. Das kann dazu führen, dass einzelne Abteilungen oder sogar ganze Unternehmen nicht mehr arbeitsfähig sind. In solchen Notfall- bzw. Krisensituationen ist es wichtig, den Überblick zu behalten und zügig die richtigen Schritte einzuleiten, damit der Geschäftsbetrieb so schnell wie möglich wieder aufgenommen werden kann. Ein IT-Notfallplan bereitet ein Unternehmen im Voraus auf das Eintreten solcher Szenarien vor und enthält strukturierte Handlungsanweisungen und vordefinierte Prozesse, sodass jeder weiß, was er in einer solchen Situation zu tun hat.
Was ist ein IT-Notfallplan?
Wie der Name schon vermuten lässt, ist ein IT-Notfallplan ein Handbuch, das technische Anweisungen, Checklisten sowie Maßnahmen für das Eintreten eines IT-Notfalls jedweder Art enthält. Hinzu kommen organisatorische Informationen wie Meldewege und Verantwortlichkeiten. So müssen diese im Ernstfall nicht erst beschafft werden.
Was gehört in einen IT-Notfallplan?
Jedes Unternehmen ist anders. Deshalb ist es wichtig, dass der IT-Notfallplan auf die Bedürfnisse des Unternehmens zugeschnitten ist. Dennoch gibt es einige Inhalte, die auf keinen Fall fehlen dürfen.
- Einführung, Übersicht: Hier werden Ziel, Zweck und Geltungsbereich sowie Zuständigkeiten und Verantwortlichkeiten definiert
- Übersicht über alle IT-Assets inklusive Dokumentationen
- Sofortmaßnahmen: Sowohl allgemein als auch Szenario-spezifisch
- IT- Notfallorganisation: Es müssen Melde- und Alarmierungsketten festgelegt werden, damit entscheidende Personen möglichst früh vom Notfall erfahren. Außerdem ist eine verantwortliche Person zu benennen, die den Notfall ausruft. Wichtig: Vertretungsregelungen festlegen!
- Kommunikation: Auflistung von Meldepflichten, Vorlagen für interne und externe Kommunikation
- Risikoanalyse und Priorisierung für den Notbetrieb sowie der Wiederherstellung: Hier ist eine Auflistung aller kritischen Geschäftsprozesse und Anwendungen sowie eine Auflistung möglicher Notfälle und deren Auswirkungen auf ebenjene gefragt. Darüber hinaus sollten Checklisten mit Handlungsanweisungen nach Notfall und Anleitungen mit möglichen Behelfslösungen und Notfallprozessen zur Verfügung gestellt werden.
- Anhänge: Hier werden alle Informationen, die sich über die Zeit öfter verändern, zusammengetragen. Dazu zählen beispielsweise Kontaktdaten (intern, Dienstleister, Behörden).
Best Practices
- Aktualität: Ein IT-Notfallplan hilft nur, wenn er aktuell gehalten wird. Fehlen wichtige Informationen, werden die Sicherheitsteams im blödesten Fall ausgebremst.
- Üben: Der Notfallplan sollte regelmäßig erprobt werden, damit sich die Prozesse einspielen. Im Zuge dieser Übungssequenzen wird meist schon deutlich, was gut funktioniert und welche Prozesse ins Stocken geraten. Bestenfalls ergeben sich hier bereits weitere Ideen, wie die Vorgehensweise verbessert werden kann.
- Ablage: Der Notfallplan sollte so abgelegt werden, dass auch noch bei Eintreten eines Notfalls darauf zugegriffen werden kann, also am besten unabhängig von der IT eines Unternehmens.
- Zugriff: Ein IT-Notfallplan enthält viele sensible Details zur IT-Infrastruktur sowie Maßnahmen zur Schadensabwehr. Gerät er in falsche Hände, könnte er Angreifern dabei helfen ins Unternehmensnetzwerk einzudringen. Daher sollte der gesamte Plan nur einem kleinen, vertrauenswürdigen Kreis zugänglich gemacht werden und für sonstige Mitarbeiter nur die für sie relevanten Teile (Einführung, Definitionen, Meldeketten).
Weiterführende Links
Es gibt einige Vorlagen, an denen man sich zum Aufbau eines IT-Notfallplans orientieren kann. Diese müssen dann auf die Bedürfnisse des jeweiligen Unternehmens angepasst werden. Ferner gibt es einige Vorschläge dazu, wie bestimmte Abschnitte des Notfallplans befüllt werden können.
- Bundesamt für Sicherheit und Informationstechnik: Das Dokument „Notfallhandbuch“ bietet eine Vorlage, an der Sie sich orientieren können.
- IHK München
- Kon Briefing: Hier finden Sie sowohl Muster-Vorlagen als auch weiterführende Links, die beim Befüllen des Notfallplans helfen können.
Benötigen Sie Unterstützung bei der Erstellung Ihres Notfallplans? Dann sprechen Sie uns an. Wir helfen gerne weiter!
Bild: shutterstock.com | 2348002919 | Mongta Studio