„Ziel eines IT-Notfallmanagements ist es, sicherzustellen, dass wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz der Institution auch bei einem größeren Schadensereignis gesichert bleibt.“ (BSI Standard 100-4, Zielsetzung)

Nur die wenigsten kleinen und mittelständischen Unternehmen sind entsprechend vorbereitet, um in Notfallsituationen z. B. durch Notfallpläne oder ein etabliertes Notfallmanagement gut zu reagieren und Schadensereignisse zu erkennen.

Typische Schadensereignisse

Schadensereignisse im Unternehmen werden in der Regel in die vier Kategorien bzw. Eskalationsstufen betriebliche Störung, Notfall, Krise und Katastrophe eingeordnet. Betriebliche Störungen sind zumeist kurzfristige Ausfälle im Arbeitsablauf, wohingegen Notfälle länger wirken und ein höheres Schadenspotenzial besitzen. Ein Beispiel hierfür ist ein Brand im Serverraum, welcher nur durch spezielle Aktivitäten bewältigt werden kann.

Krisen sind noch intensiver und können neben der Existenz der Organisation auch die Gesundheit oder das Leben von Personen bedrohen. Ein wichtiges Merkmal ist die Einmaligkeit, wie z. B.  ein vollständiger Datenverlust. Eine Katastrophe als höchstmögliche Eskalationsstufe ist innerbetrieblich nicht zu lösen und erfordert externe Hilfe. Beispiele sind Großschadensereignisse wie Pandemien oder großflächige und langanhaltende Versorgungsprobleme (z. B. Elektrizität, Kommunikation).

Regel 1: Legen Sie Verantwortlichkeiten für IT-Notfälle fest

Insofern ein durch vordefinierte Kriterien erkannter IT-Notfall auftritt, müssen im Unternehmen zur Bewältigung verantwortliche Personen festgelegt sein. Hier bietet sich ein „Notfallmanager“ an, der zusammen mit einem Verantwortlichen für „Informationssicherheit“ als Team agiert und die Koordination zur Bewältigung der Schadensereignisse übernimmt. Weiterhin sollten diese Personen eng in den Prozess zur Erarbeitung des Notfallmanagements einbezogen und zur Thematik geschult werden.

Regel 2: Analyse der Organisation und ihrer Geschäftsprozese

Es ist essentiell, dass Sie im Falle einer Notsituation geschäftsfähig bleiben. Daher müssen Sie sich im Klaren sein, welche Prozesse besonders zeitkritisch sind bzw. Ihre unternehmerischen „Kronjuwelen“ beinhalten. Diese Vorgänge müssen in der Regel zuerst wieder zum Laufen gebracht werden und sollten in Ihrem Notfallmanagement oberste Priorität genießen.

Regel 3: Dokumentieren Sie Ihre IT-Systeme und Kommunikationswege

Zur Vorbereitung des Notfallmanagements sollten Sie zunächst sicherstellen, dass Ihnen alle im Unternehmen befindlichen IT- bzw. Kommunikationssysteme, -technologien und -schnittstellen bekannt sind.

Hilfreich ist hierbei eine vollständige Dokumentation. Falls Sie diese noch nicht vorliegen haben oder gerne verbessern möchten, sollten Sie sich am besten vom „Groben“ in das „Feine“ innerhalb der Organisation vorarbeiten. Zur Umsetzung können Sie auf konzeptionell-unterstützende oder automatisierte Netzwerkanalysetools, wie den Demonstrator des Mittelstand 4.0-Kompetenzzentrums (Angebot: „Automatische Sicherheitsprüfung vernetzter Geräte), zurückgreifen.

Regel 4: Holen Sie sich Unterstützung

Bei der Gestaltung des Notfallmanagements sollten Sie Ihre IT-Dienstleister mit einbeziehen. Klären Sie im Vorfeld, für welche Sicherheitsvorfälle Ihnen Unterstützung gegeben werden kann, damit eine zeitnahe Bewältigung des Notfalls gesichert wird! Lassen Sie sich dabei die Unterstützung verbindlich bzw. vertraglich zusichern, so dass z. B. die Verfügbarkeit und die Reaktionszeit der angebotenen Services geregelt werden.

Regel 5: Definieren Sie die Leitlinien zum Notfallmanagement

Gemeinsam mit der Geschäftsleitung müssen Leitlinien zum Notfallmanagement erarbeitet werden, in denen diese sich zu den weitreichenden Folgen des Notfallmanagements bekennt sowie  Verantwortung übernimmt. In Abhängigkeit der vorliegenden Informationen müssen, zusammen mit den vorher bestimmten Verantwortlichen, die Zielstellungen und Strategien im Rahmen des Notfallmanagements definiert werden. Auch die organisatorischen Voraussetzungen sowie die Bereitstellung von Ressourcen zur Behebung bzw. Behandlung des Notfalls sollten im Rahmen der Leitlinien geschaffen werden.

Regel 6: Erarbeiten Sie ein Vorsorgekonzept

„Vorsorge ist besser als Nachsorge“ – in diesem Sinne sollten Sie schon im Vorfeld Maßnahmen konzipieren, welche präventiv auf die Schadenshöhe oder Eintrittswahrscheinlichkeit einwirken. Zusätzlich sollten Sie sich auch Handlungsweisen zurechtlegen, um die Reaktionsfähigkeit nach einem Schadensereignis sicherzustellen.

Regel 7: Erstellen Sie ein Notfallhandbuch

Das Notfallhandbuch ist der Dreh- und Angelpunkt Ihres Notfallmanagements. Dieses umfasst sämtliche zur Notfallbewältigung notwendigen Dokumente, woraus sich anhand des eingetretenen Schadensereignisses die notwendigen Maßnahmen und Handlungsanweisungen für die Mitarbeiter ableiten lassen. Achten Sie dabei auf kurze Formulierungen und eine übersichtliche Informationsgestaltung. Zur Umsetzung bieten sich sogenannte „IT-Notfallkarten“ an. Die „Allianz für Cybersicherheit“ bietet diese als PDF-Dateien unter www.allianz-fuer-cybersicherheit.de zum Download an. Weiterhin sollte das Notfallhandbuch Geschäftsfortführungspläne enthalten, die einen Notbetrieb im Unternehmen regeln und die in Regel 2 festgestellten Prioritäten in den Geschäftsprozessen umsetzen. Hierzu sind ebenfalls Wiederanlaufpläne (z. B. durch Zuständigkeiten, Schnittstellen, Ressourcen) beizulegen.

Regel 8: Kommunizieren Sie richtig!

Das Notfallhandbuch sollte durch Kommunikationspläne ergänzt werden. Nur wenn die interne und externe Kommunikation richtig und zielgerichtet verläuft, können Sie die Not- bzw.  Krisensituationen effektiv und ressourcenschonend bestreiten. Es sollten bei den zuvor erstellten Plänen definierte Ansprechpartner im Unternehmen oder auch bei den Dienstleistern vorliegen. Ebenfalls sollten Sie auch weitere interessierte Parteien bei möglichen Schadensereignissen in Betracht ziehen. Möglich sind hierbei Kunden, Behörden, Angehörige von Mitarbeitern oder die allgemeine Gesellschaft. Insbesondere bei Datenverlusten oder kritischen Datenabflüssen kann es notwendig sein, die Öffentlichkeit zu informieren. Ein gutes und weitverbreitetes Beispiel für ein gelungenes Not- und Krisenmanagement ist hierbei das Unternehmen „Norsk Hydro ASA“, welches zeitnah die Kunden und Partner durch zielgerichtete Kommunikationsmaßnahmen über einen Sicherheitsvorfall informiert hat.

Regel 9: Proben und Schulen

Ihre Mitarbeiter sind sowohl das stärkste als auch das schwächste Glied zur Bewältigung von Notfällen. Schulen Sie daher Ihre Mitarbeiter regelmäßig zum Notfallmanagement und sensibilisieren Sie diese, um Sicherheitsvorfälle zu erkennen. Ferner sollten Sie regelmäßig die Erkennung von Notsituationen und damit verbunden die Wirksamkeit des Notfallmanagements (z. B. durch Anwendung der Notfallpläne im Handbuch) proben. So kann sichergestellt werden, dass Sie auch in echten Notsituationen zielgerichtete Maßnahmen durchführen und der Geschäftsbetrieb zeitnah wiederhergestellt wird.

Regel 10: Ziehen Sie Lehren aus Notfällen

Jedes Schadensereignis ist anders und reale Vorfälle zeigen häufig Schwachstellen an eigenen Plänen und Systemen, denn nicht alle Szenarien können bis ins letzte Detail vorausgeplant werden. Ziehen Sie also im Sinne der kontinuierlichen Verbesserung Lehren aus der bewältigten Notsituation. Passen Sie Ihre Dokumentation sowie Maßnahmen an und optimieren Sie die Meldewege inner- und außerhalb des Unternehmens. Binden Sie dabei auch die eigenen Mitarbeiter mit ein. Wichtig ist es hierbei auch, die durchgeführten Schritte in Abhängigkeit des Sicherheitsvorfalls zu dokumentieren.