Notfallpläne

Bei all den technischen Maßnahme die von vielen derzeit zur Verbesserung der IT Sicherheit ergriffen werden, dürfen die organisatorischen Maßnahmen nicht vergessen werden. Dazu gehören unter anderem die Notfallpläne, diese sind ein wichtiger Eckpfeiler eines jeden IT Sicherheitskonzept und bereiten auf den Fall der Fälle vor.
Auch wenn es auf den ersten Blick sehr lästig erscheinen mag, sind Notfallpläne sehr wichtig und eine sinnvolle Investition. Vor allem sorgen Notfallpläne dafür, die eigenen Konzepte zu hinterfragen und sie decken bei ihrer Erstellung Probleme auf die noch nicht beleuchtet worden sind. Bevor man sich aber in diese Aufgabe stürzt, sind wichtige Fragen vorab zu klären. Dieser Beitrag hier im Blog kann natürlich nicht einen kompletten Leitfaden für ein umfängliches Notfallkonzept bereitstellen, vielmehr geht es darum, den Fokus auf das Thema zu lenken und Denkanstöße zu geben, wie umfassend das Thema betrachtet werden muss.
Eine der wichtigsten Fragen, die es vorab zu beantworten gilt, ist die Frage, wie lange verschiedene Systeme und Dienste ausfallen dürfen, bevor es zu einem beträchtlichen wirtschaftlichen Schaden für das Unternehmen kommt. Dabei ist auch die Frage eines Totalausfalls zu stellen, bis die Basishandlungsfähigkeit eines Unternehmens wieder hergestellt sein muss, bevor der Schaden existenzbedrohend wird. Die beiden Fragen alleine zeigen schon die hohe Komplexität hinter Notfallplänen. Nicht zuletzt deshalb, da gerade bei Systeme und Dienste entsprechende Abhängigkeiten untereinander bestehen, die zwingend zu erfüllen sind, damit eine IT entsprechend funktioniert. Eine weitere Frage, die es auch zu beantworten gilt, sind die personellen Ressourcen die bei einem Notfall zur Verfügung stehen bzw. zur Verfügung stehen müssen, damit eine Wiederherstellung überhaupt erfolgen kann. Dazu kommen Fragen der Beschaffung von Ersatzteilen oder Ersatzsysteme die zum Beispiel bei Elementarschäden benötigt werden. Ein Notfallszenario bezieht sich ja nicht ausschließlich auf eine Cyber Attacke, Überspannungs-, Feuer- oder auch Wasserschäden, wie auch Wandalismus, können ebenfalls eintreten und müssen berücksichtigt werden. Vor allem auch deshalb, weil solche Schäden nicht durch die Supportverträge der Hersteller abgedeckt sind und eine Neuanschaffung dadurch notwendig wird. Leider ist die aktuellen Liefersituation mehr als nur problematisch und nicht gerade förderlich für eine schnelle Wiederherstellung. Aus diesen Grund sollten auch Notfallpläne diese Szenarien mit berücksichtigen, dass entsprechende Hardware vorgehalten wird bzw. das Dienste und Systeme in die Cloud verlagert werden können, um hier kurzfristig den Betrieb wieder aufnehmen zu können. Denn auch das kann zu einem solchen Konzept gehören, Dienste und Systeme übergangsweise bei einem der Hyperscaler zu betrieben, um erst einmal wieder Handlungsfähig zu werden und einen noch größeren Schaden vom Unternehmen abwenden zu können. Dazu braucht es aber entsprechende Pläne und für allem sinnvolle Konzepte.
Da die Eintrittswahrscheinlichkeit bei der aktuellen Gefahrenlage gegenüber möglichen Elementarschäden höher zu bewerten ist, sollten sich die Notfallpläne auch mit der entsprechenden Gewichtung darauf beziehen. Wichtig bei solchen Zusammenhängen sind auch belastbare Zahlen zu haben, damit eine IT auch Aussagen treffen kann, wie lange zum Beispiel Rücksicherungen dauern oder wieviel Zeit das neue Aufsetzen von Systemen benötigt. Um sich hier aber nicht auf grobe Schätzungen zu verlassen, ist es wichtig solche Szenarien in der IT Abteilung zu üben und dabei gleichzeitig die Notfallkonzepte zu überprüfen. Die hierbei gefunden Probleme und Fehler zu korrigieren und gleichzeitig die notwendige Routine zu erwerben, um keine weiteren Schäden durch falsches Handeln zu verursachen.
All diejenigen, die noch kein Notfallkonzept haben, sollten sich dringend mit dem Thema auseinandersetzen, um bei dem Eintritt von solchen Ereignissen entsprechend vorbereitet zu sein. Tritt ein solches Ereignis ein, ist es sehr wichtig die Ruhe zu bewahren und besonnene Entscheidung zu treffen, nur ohne ein Konzept, wird mit hoher Wahrscheinlichkeit das Handeln in einen mehr oder weniger planlosen Aktionismus übergehen, was nicht besonders förderlich in dieser Situation ist. Daher macht es mehr als Sinn einen Plan zu haben, der dabei hilft die richtigen Endscheidungen in einer dann stressbehafteten Situation zu treffen.