IT-Notfallmanagement nach BSI und ISO

IT-Notfallmanagement nach BSI und ISO

Beitrag aktualisiert am 18.07.2022

Zur Themenwelt Informationssicherheit

Notfallmanagement – darum ist es so wichtig für Unternehmen

Die Corona-Pandemie hat es eindrucksvoll gezeigt: Unternehmen müssen ihre Informationen nicht nur vor Cyberkriminalität wie zum Beispiel Hackerangriffen schützen, sondern brauchen auch einen IT-Notfallplan. Nur so können sie ihr Überleben während und nach der Krise sicherstellen – und möglichst gut oder im Idealfall sogar fast ohne Einschränkung weiter operieren.

Insbesondere im produzierenden Gewerbe ist das IT-gestützte Notfallmanagement von jeher ein großes Thema, für kritische Infrastrukturen ist es sogar vorgeschrieben. Aber auch immer mehr andere Branchen und Behörden erkennen heute, wie wichtig es ist, in Krisenzeiten weiter arbeiten zu können – nicht zuletzt, weil die Gesellschaft es von ihnen fordert.

Definition Notfallmanagement

Das Notfallmanagement ist ein Teil der Informationssicherheitsstrategie. Es soll kritische Geschäftsprozesse bei Notfällen aufrechterhalten oder wiederherstellen. „Ausgangspunkt ist die Überlegung, was man als Unternehmen zum Überleben braucht“, sagt Prof. Dr. Christoph Thiel, Informationssicherheitsexperte an der FH Bielefeld. Das kann zum Beispiel ein Hauptkunde sein, auf den man sich im Notfall konzentriert. Im nächsten Schritt leitet man im Rahmen einer Business Impact Analyse sowie einer Risikoanalyse her, unter welchen zeitlichen Rahmenbedingungen welche Ressourcen wieder zur Verfügung stehen müssen – etwa ein Rechenzentrum nach einem Brand.

Zu einem wirksamen Notfallmanagement gehören abteilungs- und aufgabenübergreifende Maßnahmen, die die folgenden Aspekte berücksichtigen:
 

Technisch

Personell

Organisatorisch

Infrastrukturell


Verschiedene Standards enthalten Empfehlungen, wie man die einzelnen Aspekte erfasst und welche Rollen dafür benötigt werden. Und sie unterstützen dabei, im Rahmen eines IT-Sicherheitskonzeptes vorbeugende Maßnahmen festzulegen und umzusetzen. Dies kann zum Beispiel der Abschluss eines Vertrages mit einem Dienstleister sein, der im Notfall einspringt, oder der Bau eines zweiten Produktionsgebäudes. Auch das Festlegen und Proben von Prozessen sowie das Erstellen eines Notfallhandbuches gehören dazu.

Notfallmanagement: BSI 200-4 und DIN ISO 22301

Es gibt verschiedene Standards für das Notfallmanagement. Einer davon ist der derzeitig noch gültige BSI-Standard 100-4, daneben gibt es zum Beispiel auch die DIN ISO 22301. Der BSI-Standard gilt jedoch als sehr ausgereift und bietet für das Notfallmanagement viele gute Hilfsmittel und Beispiele. Dadurch eignet er sich auch für Unternehmen, die sonst nicht nach dem BSI-Standard für den IT-Grundschutz vorgehen.

Die Community Draft 2.0, also die zweite Vorversion zum BSI-Standard 200-4, soll im Sommer 2022 bekannt gegeben werden. Die Veröffentlichung des finalen Standards erfolgt nach der Einbeziehung der Rückmeldungen zur Vorversion. Dieser modernisierte Standard heißt nicht mehr „Notfallmanagement“ heißen, sondern „Business Continuity Management“. Doch das Thema bleibt dasselbe: Wie können Unternehmen sich darauf vorbereiten, Krisensituationen zu überstehen?

Diese Unternehmen brauchen ein Notfallmanagement

„Im Grunde brauchen alle Unternehmen, die Notfälle überleben wollen oder müssen, ein IT-Notfallmanagement.“, sagt Professor Dr. Thiel. Natürlich sei es legitim, wenn zum Beispiel ein Start-up sich die Kosten dafür spart und in Kauf nimmt, dass es im Notfall dann eben nicht weiter existieren kann. Doch bei größeren Unternehmen, bei kritischen Infrastrukturen und Organisationen mit gesellschaftlicher Verantwortung, wie zum Beispiel Behörden, ist ein Notfallmanagement im Bereich der Informationssicherheit Pflicht.

Qualifiziertes Personal für ein wirksames Notfallmanagement

Geschulte Fachleute stellen nicht nur die Wirksamkeit des Notfallmanagements eines Unternehmens sicher, sondern sind auch hilfreich für dessen Zertifizierung gemäß BSI:

  • Generell ist die Geschäftsleitung für das Notfallmanagement verantwortlich, entscheidet über die dafür zur Verfügung stehenden Ressourcen und gibt die Strategie vor.
  • Ein Notfallbeauftragter, auch Notfallmanager genannt, stellt dann einzelne themenbezogene Teams zusammen. Sie unterstützen ihn individuell bei den verschiedenen Aspekten des Sicherheitskonzeptes.
  • Der Notfallbeauftragte kann in Personalunion der IT-Sicherheitsbeauftragte, der CISO oder auch ein IT-Grundschutz-Praktiker sein.
  • Die Funktion kann aber auch mit einer zusätzlichen Vollzeitstelle besetzt sein.

Was sind die größten Herausforderungen im Notfallmanagement?

„Eine ehrliche Bewertung dessen, was man zum Überleben braucht, und das Dokumentieren der Entscheidungen, die man trifft, stellen für viele Unternehmen eine große Hürde da“, weiß Professor Dr. Thiel. Doch genau dies kann wesentlich sein für das Überleben eines Notfalles: „Wenn ein Unternehmen aus Kostengründen auf den Bau eines Ausweich-Rechenzentrums verzichtet, sollte es dies genau dokumentieren“, empfiehlt Prof. Dr. Thiel. „Wenn dann im Notfall ein Kunde klagt, weil er nicht bedient werden kann, hat man eine saubere Begründung.“

Solche Bewertungen und Dokumentationen sind aufwändig gefragt sind eigens dafür qualifizierte Experten. „Unternehmen, die das Thema einfach jemandem aufs Auge drücken, verlieren“, sagt Prof. Dr. Thiel. Denn das Notfallmanagement ist extrem vielseitig mit seinen technischen, organisatorischen, personellen und infrastrukturellen Aspekten. Gefragt sind neben einem hohen technischen Verständnis auch starke Führungsqualitäten – und der Wille zur permanenten Weiterbildung. Prof. Dr. Thiel: „Wer das mitbringt, kann sich hier richtig austoben.“