In unserer zunehmend störungsanfälligen Geschäftswelt mit wachsenden Kollaborationsnetzwerken, immer komplexeren IT-Landschaften und wachsenden Bedrohungen durch Cyberkriminelle, ist das IT-Notfallmanagement zu einem unverzichtbaren Werkzeug für Unternehmen geworden, um einen störungsfreien Geschäftsbetrieb aufrechtzuerhalten. Die rasante Entwicklung der Informations- und Cloud-Technologien hat zahlreiche Vorteile mit sich gebracht, doch sie birgt auch erhebliche Risiken, die sich auf die Unternehmenssicherheit auswirken können. Wie Unternehmen Bedrohungen vorbeugen können und worauf beim IT-Notfallmanagement zu achten ist, erläutert Konstantin Meyering, IT-Security-Spezialist des Braunschweiger IT-Systemhauses Netzlink Informationstechnik.
Ein gut geplantes Krisenmanagement ist ausschlaggebend für eine Aufrechterhaltung eines Unternehmensbetriebs und ist somit maßgeblich für richtiges Agieren und Reagieren im Ernstfall verantwortlich. Die Prozesse der Planung, Reaktion auf und Wiederherstellung nach einem Notfall oder einer Katastrophe werden zusammenfassend als Notfallmanagement bezeichnet. Der Begriff „Business Continuity“ bezieht sich auf die Fähigkeit eines Unternehmens, den normalen Geschäftsbetrieb sowohl während als auch nach einer Störungsphase fortzusetzen.
Aufgrund der wachsenden Gefahr von Unterbrechungen und Katastrophen innerhalb der immer komplexeren IT-Landschaft müssen sich mittelständische Unternehmen mit grundlegenden Fragen des Notfallmanagements und der Geschäftskontinuität befassen – und zwar aus dem gleichen Grund, aus dem größere Organisationen dies tun sollten: Eine Störung des Betriebs hat massiven Einfluss auf ihre Geschäftstätigkeit, ihren Ruf, ihre finanzielle Lage und das gesamte Kollaborationsnetzwerk. Mittelständische Unternehmen müssen also sicherstellen, dass sie schnell reagieren und sich effektiv erholen können, indem sie sich auf das Eintreten solcher Ereignisse vorbereiten.
Die Lebensversicherung für den Geschäftsbetrieb: Das IT-Notfallhandbuch
Ein Notfallhandbuch ist ein wesentlicher Bestandteil sowohl des Katastrophenmanagements als auch der Vorbereitung auf die Aufrechterhaltung des Geschäftsbetriebs. Es ist ein Dokument, das die Verfahren, Vorschriften und Protokolle definiert, die eine Organisation im Falle eines Notfalls oder einer Katastrophe einhalten sollte.
In der Regel enthält das Notfallhandbuch Informationen zu Notfallkontakten, Evakuierungsverfahren, Kommunikationsprotokollen und Notfallteams. Es sollte in einer Weise organisiert sein, die einfach zu verstehen und zu befolgen ist, mit klaren Anweisungen und Schritt-für-Schritt-Hilfe, wenn nötig. Ein Notfallhandbuch ist für Unternehmen zwingend erforderlich, weil es eine Struktur vorgibt, wie Mitarbeitende im Falle einer Krise oder Naturkatastrophe reagieren sollen. Ohne einen solchen Leitfaden laufen Unternehmen Gefahr, nicht ausreichend auf unvorhergesehene Ereignisse vorbereitet zu sein. Dies macht sie anfällig für eine Vielzahl ungünstiger Folgen, einschließlich finanzieller Verluste, Rufschädigung und sogar rechtlicher Schuld.
KRITIS: Hohe Schutzanforderungen für kritische Infrastrukturen
Besonders Anbieter kritischer Infrastrukturen wie medizinische Gesundheitseinrichtungen, Finanz-, Energie- und Versorgungsunternehmen, oft als KRITIS-Organisationen bekannt, sind für das erfolgreiche Funktionieren einer Gesellschaft absolut notwendig. Von diesen Organisationen wird die Einhaltung bestimmter Normen und Standards gefordert, um sicherzustellen, dass sie für unerwartete Ereignisse und Störungen angemessen gerüstet sind.
Da dies ein so wichtiger Bestandteil ihres Katastrophenmanagements und ihrer Geschäftskontinuitätsplanung ist, müssen KRITIS-Unternehmen als grundlegende Anforderung über ein umfassendes Notfallhandbuch verfügen. KRITIS-Organisationen müssen anhand eines Notfallhandbuches nachweisen, alle erforderlichen Anstrengungen zu unternehmen, um sich auf potenzielle Krisensituationen vorzubereiten und effektiv auf Ausfälle oder Störungen reagieren zu können.
Absicherung durch Cyberschutzversicherungen nur mit IT-Notfallhandbuch
Als wesentlicher Bestandteil des Krisenmanagements gehört ein IT-Notfallhandbuch typischerweise zu den Voraussetzungen für Cyberschutz-Versicherungen. Das IT-Notfallhandbuch ist ein Dokument, das die Prozesse, Methoden und Pflichten beschreibt, die im Falle eines IT-Notfalls anzuwenden sind. Es gibt spezifische Anweisungen darüber, wer im Notfall benachrichtigt werden sollte, welche Art von Maßnahmen zu ergreifen sind und wer für die Umsetzung dieser Anweisungen verantwortlich ist.
Ein IT-Notfall kann sich auf verschiedene Weise manifestieren, darunter Ransomware-Angriffe, Denial-of-Service-Angriffe oder Datenverlust aufgrund von technologischen Fehlern oder menschlichem Versagen. Da die meisten Unternehmen nicht alle potenziellen Auswirkungen eines Angriffs im Voraus vorhersagen können, ist ein umfassendes IT-Notfallhandbuch zur Vorbereitung auf Cyberangriffe von entscheidender Bedeutung.
Um sicherzustellen, dass Unternehmen im Falle eines IT-Notfalls schnell und effektiv reagieren können, verlangen Cyberschutzversicherungen von ihren Kunden, dass sie ein IT-Notfallhandbuch führen. Ein Leitfaden wie dieser hilft Unternehmen dabei, das Ausmaß ihrer Verluste zu reduzieren und schnell wieder zum normalen Geschäftsbetrieb zurückzukehren. Darüber hinaus kann ein gut strukturiertes IT-Notfallhandbuch Unternehmen dabei unterstützen, ihre Compliance-Verpflichtungen sowie die gesetzlichen Anforderungen zu erfüllen und zu dokumentieren.
Was ist ein IT-Notfall?
Ein IT-Notfall ist eine Situation, in der wesentliche Bereiche, Prozesse oder Ressourcen von einem Unternehmen nicht wie vorgesehen funktionieren oder bei denen innerhalb der geforderten Zeit deren Verfügbarkeit nicht wiederhergestellt werden kann, sodass sehr hohe Schäden entstehen können, die sich signifikant auf das Gesamtjahresergebnis oder die Aufgabenerfüllung auswirken können. Ein Notfall kann ohne ein Hinzuziehen von Strukturen des Notfallmanagements nicht bzw. nicht mehr in der Art und Weise behoben werden, wie es für den Fortbestand der Prozesse günstig wäre.
Alle Ereignisse mit Auswirkungen oberhalb einer Störung stellen Notfälle dar. Ein Notfall wird durch die reaktive Notfallorganisation außerhalb des Tagesgeschäfts abgewickelt. Hierzu koordiniert ein Notfallstab alle Maßnahmen zur Notfallbewältigung.
Sicherheitsschirm für den Katastrophenfall
Ein funktionierendes Notfallmanagement ist wie ein Fallschirm für Unternehmen – auch wenn der Fall als solches nicht zu verhindern ist, ist die Landung deutlich angenehmer und vorhersehbarer als ohne. Der Begriff „Notfallmanagement“ bezieht sich dabei auf eine Vielzahl von Maßnahmen und Verfahren, die dazu bestimmt sind, Katastrophen wie etwa Naturkatastrophen, technischen Ausfällen oder Cyberangriffen vorzubeugen, darauf zu reagieren und sich davon zu erholen. Mögliche Bestandteile des Notfallmanagements sind neben dem Notfalleinsatzhandbuch:
- Risikobewertungen sind der Prozess der Identifizierung potenzieller Risiken und Schwachstellen, die sich auf den Betrieb einer Organisation auswirken könnten, und der Formulierung von Plänen zur Minimierung solcher Risiken.
- Schulungen: Durch häufige Schulungen können Arbeitgeber sicherstellen, dass ihre Mitarbeiter angemessen geschult und bereit sind, im Notfall angemessen zu reagieren.
- Business-Continuity-Planung ist der Prozess der Entwicklung von Plänen und Strategien, um sicherzustellen, dass wichtige Geschäftsabläufe sowohl während einer Störung als auch danach fortgesetzt werden können.
- Die Planung der Kommunikation im Notfall beinhaltet die Entwicklung von Prozessen für die Kommunikation mit Mitarbeitern, Stakeholdern und der Öffentlichkeit. Die Kommunikationsmittel sind so zu wählen, dass eine in Bezug auf Integrität, Verfügbarkeit, Vertraulichkeit und Verbindlichkeit sichere Kommunikation ermöglicht wird.
- Wiederherstellungsplanung ist der Prozess der Entwicklung von Plänen für die Wiederherstellung nach einem Vorfall oder einer Katastrophe, einschließlich der Wiederherstellung von Aktivitäten, Systemen und Infrastruktur nach dem Notfall oder der Katastrophe. IT-Anwendungen und IT-Systeme erfordern einen koordinierten Wiederanlauf. Es müssen Rahmenbedingungen für den Wiederanlauf und die Wiederherstellung festgelegt werden.
- Krisenmanagement ist der Prozess der Reaktion auf einen Notfall oder eine Katastrophe, der die Koordination mit Ersthelfern, die Verwaltung der Kommunikation und das Treffen wichtiger Entscheidungen zur Gewährleistung der Gesundheit und Sicherheit von Interessengruppen und Mitarbeitern umfasst. Eine zeitnahe und klare Kommunikation ist enorm wichtig, um alle betroffenen Parteien über die Auswirkungen des Ausfalls zu informieren. Je nach Umfang der Krisensituation – etwa ob neben der IT-Infrastruktur auch die Produktion, Konfektion oder die Lieferkette gestört ist oder es sich um einen schwerwiegenden Cyberangriff handelt – müssen Geschäftspartner, Kunden und Lieferanten kontaktiert werden, um über etwaige Verzögerungen in der Produktion oder Schwierigkeiten bei der Warenannahme- oder Auslieferung informiert zu sein.
Leistungen, die im Notfallmanagement-Paket nicht fehlen dürfen
Folgende Vorkehrungen sollten im „Notfallmanagement-Paket“ für mittelständische Unternehmen enthalten sein:
- Durchführung einer umfassenden Risikoanalyse: Unternehmen sollten zunächst eine umfassende Risikoanalyse durchführen, um potenzielle Gefahren und Schwachstellen in ihrer informationstechnischen Infrastruktur zu erkennen. Auf der Grundlage dieser Informationen können sie schließlich gezielte Vorkehrungen treffen, um die potenziellen Gefahren zu verringern.
- Ein Notfallplan für die Informationstechnik: basierend auf den Ergebnissen der Gefährdungsbeurteilung sollte ein Notfallplan für Informationstechnik erstellt werden. Dieser Plan sollte detaillierte Anweisungen enthalten, wie auf IT-Notfälle zu reagieren ist. Darüber hinaus sollte der Plan aktuell gehalten und regelmäßig auf den Prüfstand gestellt werden, um sicherzustellen, dass er im Notfall adäquat funktioniert.
- Etablieren eines Incident-Response-Teams: Es ist wichtig, ein dediziertes Incident-Response-Team zu etablieren, das im Falle eines IT-Vorfalls schnell reagieren kann. Damit das Team für jede unerwartete Situation gewappnet ist, sollten die Rollen und Aufgaben, für die es verantwortlich ist, klar definiert werden.
- Kommunikationsplan: Das Unternehmen sollte einen Kommunikationsplan erstellen, der festlegt, wer im Falle eines Notfalls mit Informationstechnologie informiert werden muss, welche Informationen übermittelt werden müssen und wer für die Kommunikation verantwortlich ist. In einem Notfall ist ein schneller und geeigneter Informationsfluss mitentscheidend für die erfolgreiche Bewältigung. Daher ist die Festlegung von Wegen und Verfahren für die Meldung und Eskalation nach Ereignissen von entscheidender Bedeutung. Alle Mitarbeiter sind aufgefordert, jede Störung bei Anwendungen der informations- und telekommunikationstechnischen Systeme oder jedes anormale/merkwürdige Verhalten der IT-Infrastruktur sofort telefonisch an den IT-Service zu melden. Diese Meldung sollte ebenfalls erfolgen, wenn Mitarbeiter von Externen (z. B. Dienstleistern) Informationen entgegennehmen, die auf eine Störung hindeuten.
- Datensicherung und -wiederherstellung: Unternehmen müssen ihre Daten auf konsistenter Basis sichern und sicherstellen, dass sie im Falle einer IT-Katastrophe schnell wiederhergestellt werden können.
- Schulung und Sensibilisierung: Mitarbeiter sollten regelmäßig geschult und auf potenzielle IT-Gefahren aufmerksam gemacht werden, damit sie diese erkennen und melden können. Für den Fall, dass es ein Problem mit der Informationstechnologie gibt, sollte ebenfalls eine Beratung gewährleistet sein, wie sie auf die spezifischen Gefahren reagieren sollen.
„Das Etablieren eines ganzheitlichen Notfallmanagements ist Expertensache. Wenn Unternehmen nicht selbst über ausgewiesene Experten im Bereich Notfallmanagement und Business Continuity verfügen, sollten sie einen externen Dienstleister damit beauftragen“, fasst Konstantin Meyering, IT-Security-Spezialist des IT-Systemhauses Netzlink zusammen, das mittelständische Unternehmen seit mehr als 20 Jahren u. a. in den Bereichen IT-Security, Datenschutz und IT-Notfallmanagement betreut. „Dies kann besonders hilfreich für mittelständische Organisationen sein, denen möglicherweise die erforderlichen Ressourcen oder Erfahrungen fehlen, um selbst ein Notfallmanagementpaket zu entwickeln.“
„Vielen mittelständischen Organisationen fehlen die erforderlichen Ressourcen oder die Expertise, um ein funktionierendes Notfallmanagement zu etablieren“, so Netzlink IT-Security-Spezialist Konstantin Meyering.