Consultant: IT-Risiko-Management
Für den Notfall gerüstet
Fortsetzung des Artikels von Teil 1
IT-RisikoManagement
Eine Betriebsunterbrechungsanalyse, Business-Impact-Analysis (BIA), enthüllt, wie es um die Kritikalität der Geschäftsprozesse bestellt ist. Dazu geht BIA der Frage nach, welche Auswirkungen einzelne Schadensszenarien auf die betroffenen Geschäftsabläufe haben. So kann mittels BIA ermittelt werden, innerhalb welchen Zeitraums - Stunden oder Tagen - ein bestimmtes Schadensszenario den Geschäftsbetrieb existenzbedrohend gefährdet. Für jeden Geschäftsprozess einschließlich der darunterliegenden IT kann eine bestimmte Schadenskategorie bestimmt werden. Dadurch wird auch deutlich, welche Strategien und Maßnahmen ergriffen werden sollten, um die Geschäftsprozesse und die IT angemessen abzusichern. Wichtig ist, dass zuvor die IT-Landschaft vollständig erfasst und übersichtlich dargestellt wird. Denn nur unter dieser Prämisse können Schadensereignisse innerhalb kompletter Wirkungsketten realitätsnah analysiert und hinsichtlich ihrer geschäftlichen Auswirkungen quantifiziert werden. Das Unternehmen profitiert von einer professionell durchgeführten BIA in einer weiteren Hinsicht: Es kann im Rahmen seines IT-Risiko-Managements auf die ermittelten Schadenskategorien und -folgen zurückgreifen.
Mit der Betriebsunterbrechungsanalyse wird zudem die Basis für langfristige Strategien und Maßnahmen zur Notfallvorsorge und -bewältigung gelegt. Eine vollständige und strukturierte Dokumentation, in die alle Planungsschritte einfließen sollten, erweist sich dafür als unverzichtbar. Mit ihr sollten auch konform zur jeweiligen Schadenskategorie und den möglichen Folgen die Notfallpläne festgehalten werden. Die in der Dokumentation hinterlegten Checklisten können später als roter Faden für die Notfallbewältigung dienen. Die zuständigen Mitarbeiter können sie gezielt abarbeiten und behalten so immer einen kühlem Kopf. Ob Wiederanlauf oder Wiederherstellung der IT: Auch das muss mit Blick auf die jeweilige Schadenskategorie und die potenziellen Folgen für einzelne Geschäftsprozesse entschieden und dokumentiert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dies zur Orientierung im Standard „100-4“ definiert. Ein Wiederanlauf zielt auf einen stabilen Notbetrieb mit eventuell eingeschränkter Kapazität ab. Eine Wiederherstellung stellt den ursprünglichen Produktiv-, also Normalbetrieb, her.
Mit in die Dokumentation einfließen sollte außerdem die Durchführung regelmäßiger Tests und Übungen. Nur wenn das Aufsetzen beispielsweise von Backups und Cluster-Systemen regelmäßig getestet wird, kann sichergestellt werden, dass die Maßnahmen und somit die Notfallpläne tatsächlich funktionieren. Übungen des Krisenstabs sowie Ernstfall- und Vollübungen sollten ebenfalls durchgeführt und dokumentiert werden. Die ausführliche Dokumentation aller Tests und Übungen birgt für das Unternehmen einen zusätzlichen Nutzen: Die zuständigen Mitarbeiter können die aktuellen Notfall-Managementprozesse immer einsehen und schnell verinnerlichen, um so ad hoc ihren Part zu einem professionellen Notfall-Management beizutragen. Die notwendige Routine stellt sich mit der regelmäßigen Durchführung der Tests und Übungen ein.
Eine Schulung für die erfolgreiche Einführung und Aufrechterhaltung von Notfall-Management-Prozessen sollte dennoch vorangehen, schon um die zuständigen Mitarbeiter von Anfang an auf ein professionelles Notfall-Management einzustimmen. Später sollten regelmäßige Awareness-Maßnahmen zur Schärfung des Bewusstseins und zur Verinnerlichung aktueller Schadensszenarien beitragen. Denn letztlich ist das Notfall-Management kein Projekt, sondern vielmehr ein Prozess, der sich immer wieder ändern kann.
- Für den Notfall gerüstet
- IT-RisikoManagement
Lesen Sie mehr zum Thema
