Zuletzt aktualisiert: Fr, 22. November 2019
Raucht ein Server ab oder verabschiedet sich ein Router, ist in der IT hektische Betriebsamkeit angesagt. Gut, wenn man dann nicht planlos agiert, sondern sich an ein Notfallhandbuch halten kann. Besser noch, wenn man nicht nur ein Handbuch hat, sondern ein durchdachtes Notfallmanagement. Sicherlich geht es im Notfall zunächst darum, ausgefallende Systeme wiederherzustellen. Vor allem aber müssen die wichtigen Geschäftsprozesse aufrechterhalten werden. Nur, wenn diese mit ihren notwendigen Komponenten und Systemen bekannt sind, können adäquate Notfallmaßnahmen getroffen werden.
Business Impact Analyse erforderlich
In einem Notfall spielt der Zeitfaktor (wie schnell wird es kritisch?) eine wesentliche Rolle. Daher ist es für die Erstellung von Notfallplänen elementar zu wissen, ob für die Wiederherstellung eines Systems drei Tage zur Verfügung stehen oder ob der Ausfall eines Geschäftsprozesses bereits nach drei Stunden kritisch ist. Die Durchführung einer sogenannten Business Impact Analyse (kurz: BIA) ist damit zwingende Voraussetzung für die Entwicklung von Notfallmaßnahmen. Mittels einer BIA lassen sich von kritische Geschäftsprozesse mit ihren zugrunde liegenden Ressourcen identifizieren. Zudem können die Auswirkungen von Prozessausfällen und die Abhängigkeiten zwischen den Prozessen ermittelt sowie die benötigten Wiederanlaufzeiten beschrieben werden. Die ermittelten Ergebnisse sind Voraussetzung für eine nachfolgende Risikoanalyse (u.a. zur Feststellung der Eintrittswahrscheinlichkeit) und für die Auswahl geeigneter Notfallstrategien sowie Vorsorgemaßnahmen. Außerdem ermöglicht die BIA, Anforderungen für den Notbetrieb zu definieren.
Wichtige Anregungen und Erläuterungen zur Durchführung einer BIA liefert u.a. der Leitfaden BSI Standard 100-4 Notfallmanagement, der kostenfrei von der Website des BSI (Link) heruntergeladen werden kann. Auch die Erläuterungen in den „Good Practice Guidelines” (GPG) des Business Continuity Institute (BCI) können hilfreich sein. Die GPG können von BCI-Mitgliedern kostenlos im Mitgliederbereich heruntergeladen und von Nicht-Mitgliedern im BCI-Shop (Link)bezogen werden.
Notfallmanagement ist Unternehmensaufgabe
Was bedeutet das alles für das zu erstellende Notfallhandbuch? Zunächst einmal ist festzustellen, dass Notfallmanagement eine zentrale Aufgabe der Unternehmensleitung ist, geht es doch um die Überlebenssicherung des gesamten Unternehmens. Idealerweise gibt es ein zentrales Notfallhandbuch, das in der Verantwortung einer zentralen Notfallorganisation liegt. Ergänzt wird es durch die von den Fachbereichen erstellten Geschäftsfortführungspläne und Wiederherstellungspläne. Die von der IT bereitzustellende Notfalldokumentation müsste u.a. die erforderlichen Systemdaten auf Basis der vorhandenen IT-Dokumentation bereitstellen, Beschreibungen der im Notfall auszuführenden IT-Prozesse enthalten und Wiederanlaufpläne und Ausweichprozesse für den Notbetrieb der IT-Systeme beschreiben.
So weit die Theorie – doch wie sieht es in der Praxis aus? Da wird die Erstellung einer IT-Dokumentation gefordert, die „irgendwie“ auch Notfälle in einem Notfallhandbuch berücksichtigt. Hier ist es wichtig, die Unternehmensleitung und die Fachbereiche auf deren Verantwortung hinzuweisen und die notwendigen Vorarbeiten und Informationen hinsichtlich BIA und Risikoanalyse einzufordern. Klappt dies nicht (kommt oft genug vor), bleibt nichts anderes übrig, als sich auf minimales IT-Notfallmanagement zu beschränken. Das bedeutet, u.a. die IT-Services hinsichtlich ihrer Kritikalität zu untersuchen und für die kritischen Prozesse IT-Notfallpläne zu erstellen. Dabei gilt es dann einen Mittelweg zu finden zwischen den idealtypischen Ansätzen der Notfallstandards und deren Umsetzbarkeit im Rahmen der eigenen Notwendigkeiten und Möglichkeiten. Es geht aber auch dabei um einen ganzheitlichen Ansatz – eine isolierte Beschreibung in einem klassischen Notfallhandbuch, wie sich einzelne Systeme wieder herstellen lassen, hilft im Notfall kaum weiter.