Ein IT-Notfallplan ist für den Fall einer IT-Störung für jedes Unternehmen unverzichtbar, wie jetzt in einem Online-Seminar des BVSW deutlich wird: Als Bestandteil des gesamten betrieblichen Notfallmanagements gibt er bei schwerwiegenden IT-Problemen klare Handlungsanweisungen und regelt die Zuständigkeiten, um die IT so schnell und reibungslos wie möglich in wieder Betrieb zu nehmen. Damit sichern Unternehmen nicht nur ihre eigene Geschäftskontinuität, sondern sorgen auch für Vertrauen bei Geschäftspartnern, Banken, Versicherungen und vor allem ihren Kunden.
IT-Notfallplan ist häufig unverzichtbar
Wer ein Notfall- und Sicherheitsmanagement im Unternehmen etablieren möchte kann sich an verschiedenen Standards orientieren: Für den Bereich der Kritischen Infrastrukturen ist ein IT-Notfallplan nach den Kritis-Verordnungen gesetzlich verpflichtend. Der BSI-Standard 100-4 richtet sich in erster Linie an Behörden und Unternehmen des öffentlichen Sektors und zeigt systematisch Wege auf, über die sich ein effektives Notfallmanagement aufbauen lässt. Der Standard beinhaltet die Verbesserung der Ausfallsicherheit, die Vorbereitung auf mögliche IT-Krisen sowie die schnelle Wiederinbetriebnahme geschäftskritischer Prozesse.
Für Unternehmen ist die internationale Norm ISO 22301 für Business Continuity Management (BCM), relevant, die ganzheitliche Risikobetrachtung auf allen Geschäftsebenen fokussiert. Damit sind auch die Leitungsebenen näher in das Notfallmanagement eines Unternehmens mit eingebunden. Die überarbeitete Version der ISO 22301 wurde im Oktober 2019 veröffentlicht, Unternehmen haben seit dem 31.10.2019 drei Jahre lang Zeit, um sich nach der aktuellen Version zertifizieren zu lassen.
IT- Notfallplan – prozessorientiertes Vorgehen
Ein häufiger Fehler bei einer IT-Notfallplanung ist der einseitige Blick auf die IT-Infrastruktur. Zwar müssen letztendlich alle IT-Systeme dokumentiert sein, aber das eigentliche Ziel eines IT-Notfallplans ist die Absicherung der umsatzgenerierenden und damit geschäftskritischen Prozesse. Grundlage für jeden IT-Notfallplan ist deshalb die genaue Erfassung der Unternehmensprozesse und ihrer Kritikalität, um eine Priorisierung der einzelnen Vorgänge zu erstellen. Es gilt die Frage zu beantworten, welche Kosten dem Unternehmen entstehen, sollte einer der Prozesse zum Stillstand kommen. Auch eventuelle Konventionalstrafen oder rechtliche Verpflichtungen fließen hier in die Berechnung mit ein. Dabei lässt sich feststellen, dass manche Vorgänge im Unternehmen ohne weitreichende Konsequenzen für eine Weile ausfallen können. Andere Prozesse sind hochkritisch, weil schon nach kürzester Zeit ein großer monetärer Schaden für das Unternehmen entsteht. Diese gilt es im Fall einer Krise als erstes wiederherzustellen.
Verfügbarkeit herstellen
Ist der IT- Notfallplan korrekt erstellt und seine Aktualität gesichert stellt sich noch die Frage, wo und in welcher Form ein solcher Plan am besten aufzubewahren ist. Da der Plan zum Einsatz kommen soll, wenn das IT-System oder zumindest Teile davon nicht mehr erreichbar sind, macht es keinen Sinn ihn auf den Unternehmensservern zu speichern. Auch den kompletten Plan auszudrucken ist nicht sinnvoll, denn damit wäre wieder seine Aktualität nicht gewährleistet.
Den IT-Notfallplan dem Ernstfall unterziehen
Auch die beste Vorbereitung ist vergebens, wenn die Verantwortlichen im Ernstfall die Nerven verlieren. Wie die Feuerwehr ihre verschiedenen Einsätze, so muss auch ein Unternehmen einen IT-Notfallplan einmal unter scheinbar echten Bedingungen durchspielen. Damit kommen eventuelle Schwachstellen in der Planung ans Licht und gleichzeitig gewinnen die Mitarbeiter an Sicherheit.
