Anforderungen an eine IT-Dokumentation nach dem IT-Grundschutz – Teil 3

Zuletzt aktualisiert: Fr, 22. November 2019

Lassen Sie uns im dritten Teil des Blogartikels die begonnene Beschreibung der einzelnen Maßnahmen des zweiten Beitrags fortsetzen.

Auch Wartungsarbeiten und Wartungsintervalle müssen dokumentiert werden

Wohl eher wenig Beachtung findet die Anforderung durchgeführte Wartungsarbeiten zu dokumentieren. Ebenso wie die Planung einer regelmäßigen Durchführung dieser Arbeiten. Dabei ist es wichtig dem Thema die Beachtung zu schenken, die es verdient. Regelmäßige Wartung kann die Ausfallwahrscheinlichkeit eines Systems verringern bzw. die Verfügbarkeit Ihrer IT-Dienste erhöhen. Dabei ist es egal, um was für ein IT-System es sich handelt. Arbeitsplatzrechner verschmutzen natürlich schneller als Serversysteme, da letztere (hoffentlich) in einem separaten Raum untergebracht sind, der nicht so stark frequentiert und Umwelteinflüssen ausgesetzt ist. Verschmutzte Lüfter und verstaubte Luftzuführungen bedeuten eine erhöhte Temperatur im Gerät, dies zieht auch einen erhöhten Energieverbrauch nach sich. Weitere Informationen dazu bekommen Sie im Blogbeitrag „Müssen Wartungsarbeiten dokumentiert werden“.

Wichtig dabei ist Nachweise über durchgeführte Wartungsarbeiten zu führen und im Falle der Beauftragung einer externen Firma darauf zu achten, dass die Anforderungen seitens der IT-Sicherheit nicht vergessen werden. Denn bei Wartungsarbeiten ist es häufig ein Leichtes an Informationen und Daten heranzukommen. Achten Sie deshalb auf eine sorgfältige Auswahl von externen Dienstleistern und auf eine datenschutzkonforme Vertragsgestaltung.

Fehler passieren halt, dokumentieren Sie diese

Natürlich gehört auch die Dokumentation aufgetretener Fehler mit zu einer kompletten IT-Dokumentation. Dafür bieten sich natürlich Ticketsysteme an. In vielen IT-Systemen kann eine Emailadresse für den Versand von Fehlermeldungen hinterlegt werden. Nutzen Sie dazu direkt die Adresse Ihres Ticketsystems. Durch die Erstellung eines Tickets geht die Fehlermeldung auf jeden Fall nicht mehr verloren. Dann kann der Vorgang direkt an einen zuständigen Techniker weitergeleitet werden. Dieser kann im Ticket direkt seine Tätigkeiten und Lösungsansätze dokumentieren. Darüber kann dann in der Zukunft jederzeit nachgelesen werden was gemacht wurde und zu welchem Zeitpunkt. Das Ticket sollte mit dem IT-System verknüpft werden, beispielsweise über die Inventar- oder Seriennummer. Damit erhält man eine entsprechende Gerätehistorie und kann später nachvollziehen, wie oft ein Gerät bereits repariert wurde und evtl. auch was diese Reparaturen in der Summe gekostet haben. Damit erreichen Sie die Dokumentation des kompletten Geräte-Lifecycle.

Zuständigkeiten müssen geklärt und dokumentiert werden

Jedes IT-System benötigt einen Verantwortlichen und einen Stellvertreter. Diese Verantwortlichkeiten können natürlich gebündelt werden, damit es übersichtlicher wird. So kann es einen Verantwortlichen für alle Serverhardware geben, einen für alle Firewallsysteme, einen für alle Switche, etc. Wichtig ist es diese Verantwortlichkeiten samt Stellvertretung ordentlich zu dokumentieren, damit jeder schnell nachlesen kann, wer im Fehlerfall oder bei Fragen zu kontaktieren ist. Sie können dazu die Kommentarfunktion des Dokumentationstools Docusnap nutzen. Bei Bedarf können Sie sich auch über das Customizing eigene Felder erstellen oder sich diese erstellen lassen.

Dokumentation der Datensicherung

Eine ebenfalls sehr interessante Arbeit ist die Dokumentation der Datensicherung. Für jedes IT-System muss dokumentiert werden, wann es gesichert wurde und welche Daten auf welches Medium gesichert wurden. Auch wenn diese Informationen in der Datensicherungssoftware soweit verfügbar sind, wird natürlich auch die Dokumentation des SOLL-Zustands benötigt. Aufbau und Maßnahmen der Dokumentation der Datensicherung wurden bereits im ersten Teil dieses Artikels beschrieben.

Auch Abläufe bei Sicherheitsvorfälle müssen beschrieben werden

Das Sicherheitsvorfälle an sich dokumentiert werden müssen, versteht sich eigentlich von selbst. Aber auf Vorfälle muss man vorbereitet sein. Abläufe müssen aber vor deren Eintreten auch mal virtuell durchgespielt und beschrieben werden. Damit nicht erst im Ernstfall Überlegungen angestellt werden, was nun zu tun ist. Wichtig ist dabei unter anderem die Dokumentation der Meldekette, um auch in Notfällen bestens gerüstet zu sein. Andere Mitarbeiter sind zu informieren oder dürfen über Sofort-Maßnahmen entscheiden, Vorgesetzte wollen evtl. über den aktuellen Stand informiert werden. Das interessiert Sie im Tagesgeschäft nicht, aber bei Sicherheitsvorfällen schon. Auch Kompetenzen können sich bei solchen Vorgängen ändern. Muss beispielsweise bei einem IT-System dringend ein Sicherheitspatch eingespielt werden, so darf der Administrator der Firewall vielleicht alleine entscheiden dies sofort zu tun. Nicht erst beim nächsten Regeltermin für die Wartung des IT-Systems. Natürlich muss sie oder er darüber informieren, aber es muss nicht erst gewartet werden und damit wertvolle Zeit verloren gehen. Solche Vorgänge und Entscheidungsfindungen müssen dokumentiert werden. Auch diese Dokumentation muss einheitlich sein und an vorgeschriebener Stelle abgelegt werden. Schon zur Auswertung aufgetretener Ausfälle und zur Verbesserung der Prozesse.

Sie sehen, eine IT-Dokumentation enthält mehr Aspekte und Inhalte als „nur“ ein paar Datenblätter über jedes IT-System zu erstellen. Es ist ein gewisser Aufwand und enthält sehr viele Themen, die bearbeitet werden wollen. Eine IT-Dokumentation ist deshalb auch mehr als nur ein Dokument. Eine komplette IT-Dokumentation ist auch eine Informationssammlung verschiedener Quellen. Diese zu beschreiben und die Zusammenhänge festzuhalten, dafür bietet sich das IT-Handbuch als übergeordnetes Dokument an. Dort kann jederzeit nachgelesen werden, welche Informationen in welchem System zu finden sind. Nur so können Sie den Überblick behalten und nur so kann ein Dritter bei Bedarf Informationen finden.