IT-Notfallmanagement nach BSI und ISO

IT-Notfallmanagement nach BSI und ISO

Beitrag aktualisiert am 18.07.2022

Zur Themenwelt Informationssicherheit

Notfallmanagement – darum ist es so wichtig für Unternehmen

Die Corona-Pandemie hat es eindrucksvoll gezeigt: Unternehmen müssen ihre Informationen nicht nur vor Cyberkriminalität wie zum Beispiel Hackerangriffen schützen, sondern brauchen auch einen IT-Notfallplan. Nur so können sie ihr Überleben während und nach der Krise sicherstellen – und möglichst gut oder im Idealfall sogar fast ohne Einschränkung weiter operieren.

Insbesondere im produzierenden Gewerbe ist das IT-gestützte Notfallmanagement von jeher ein großes Thema, für kritische Infrastrukturen ist es sogar vorgeschrieben. Aber auch immer mehr andere Branchen und Behörden erkennen heute, wie wichtig es ist, in Krisenzeiten weiter arbeiten zu können – nicht zuletzt, weil die Gesellschaft es von ihnen fordert.

Maßnahmenkatalog zum Notfallmanagement
IT-Notfallkarte "Verhalten bei IT-Notfällen"

Definition Notfallmanagement

Das Notfallmanagement ist ein Teil der Informationssicherheitsstrategie. Es soll kritische Geschäftsprozesse bei Notfällen aufrechterhalten oder wiederherstellen. „Ausgangspunkt ist die Überlegung, was man als Unternehmen zum Überleben braucht“, sagt Prof. Dr. Christoph Thiel, Informationssicherheitsexperte an der FH Bielefeld. Das kann zum Beispiel ein Hauptkunde sein, auf den man sich im Notfall konzentriert. Im nächsten Schritt leitet man im Rahmen einer Business Impact Analyse sowie einer Risikoanalyse her, unter welchen zeitlichen Rahmenbedingungen welche Ressourcen wieder zur Verfügung stehen müssen – etwa ein Rechenzentrum nach einem Brand.

Zu einem wirksamen Notfallmanagement gehören abteilungs- und aufgabenübergreifende Maßnahmen, die die folgenden Aspekte berücksichtigen:
 

Technisch

Personell

Organisatorisch

Infrastrukturell


Verschiedene Standards enthalten Empfehlungen, wie man die einzelnen Aspekte erfasst und welche Rollen dafür benötigt werden. Und sie unterstützen dabei, im Rahmen eines IT-Sicherheitskonzeptes vorbeugende Maßnahmen festzulegen und umzusetzen. Dies kann zum Beispiel der Abschluss eines Vertrages mit einem Dienstleister sein, der im Notfall einspringt, oder der Bau eines zweiten Produktionsgebäudes. Auch das Festlegen und Proben von Prozessen sowie das Erstellen eines Notfallhandbuches gehören dazu.

Notfallmanagement: BSI 200-4 und DIN ISO 22301

Es gibt verschiedene Standards für das Notfallmanagement. Einer davon ist der derzeitig noch gültige BSI-Standard 100-4, daneben gibt es zum Beispiel auch die DIN ISO 22301. Der BSI-Standard gilt jedoch als sehr ausgereift und bietet für das Notfallmanagement viele gute Hilfsmittel und Beispiele. Dadurch eignet er sich auch für Unternehmen, die sonst nicht nach dem BSI-Standard für den IT-Grundschutz vorgehen.

Die Community Draft 2.0, also die zweite Vorversion zum BSI-Standard 200-4, soll im Sommer 2022 bekannt gegeben werden. Die Veröffentlichung des finalen Standards erfolgt nach der Einbeziehung der Rückmeldungen zur Vorversion. Dieser modernisierte Standard heißt nicht mehr „Notfallmanagement“ heißen, sondern „Business Continuity Management“. Doch das Thema bleibt dasselbe: Wie können Unternehmen sich darauf vorbereiten, Krisensituationen zu überstehen?

Diese Unternehmen brauchen ein Notfallmanagement

„Im Grunde brauchen alle Unternehmen, die Notfälle überleben wollen oder müssen, ein IT-Notfallmanagement.“, sagt Professor Dr. Thiel. Natürlich sei es legitim, wenn zum Beispiel ein Start-up sich die Kosten dafür spart und in Kauf nimmt, dass es im Notfall dann eben nicht weiter existieren kann. Doch bei größeren Unternehmen, bei kritischen Infrastrukturen und Organisationen mit gesellschaftlicher Verantwortung, wie zum Beispiel Behörden, ist ein Notfallmanagement im Bereich der Informationssicherheit Pflicht.

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

  • Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.
  • Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
  • Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Unsere Seminar-Empfehlungen für Sie

BCM-Praktiker (TÜV)

In dieser Schulung lernen Sie die wesentlichen Aufgaben eines BCM-Praktikers (auch Business Continuity Manager, Business Continuity Management Beauftragter oder auch IT-Notfallbeauftragter genannt) kennen. In der Schulung zum BCM-Praktiker (TÜV) halten wir uns an das Curriculum des BSI (Bundesamt für Sicherheit in der Informationstechnik). Sie erfahren, welches die entscheidenden Faktoren für den Erfolg eines Business Continuity Management Systems (BCMS) sind und wie Sie häufig auftretende Fallstricke vermeiden können.

Die Schulung schließt nach bestandener Prüfung zum BCM-Praktiker (TÜV) mit dem begehrten TÜV-Zertifikat ab.

Security Incident Manager (TÜV)

In unserem Seminar Security Incident Manager (TÜV) bauen Sie Wissen über Cyberangriffe und dem damit verbundenen Vorfallmanagement/ Incident Response Management auf. Der hohe Praxisbezug, die vielfältigen Aufgaben sowie der aktive Austausch mit weiteren Teilnehmerinnen und Teilnehmern geben Ihnen die Möglichkeit, Ihre eigenen Pläne zu ergänzen bzw. zu vervollständigen.

Vorfall-Experte (BSI)

Sie erwerben den Kenntnisstand, den Sie für Ihre Arbeit als Vorfall-Experte brauchen und schaffen damit gleichzeitig die Voraussetzungen, sich in einer Personenzertifizierung beim BSI als Vorfall-Experte zertifizieren zu lassen.

Erfüllen Sie mit der Teilnahme an unserem Webinar die grundlegenden Anforderungen, um an der Prüfung zum Vorfall-Experten beim BSI teilnehmen zu können.

Qualifiziertes Personal für ein wirksames Notfallmanagement

Geschulte Fachleute stellen nicht nur die Wirksamkeit des Notfallmanagements eines Unternehmens sicher, sondern sind auch hilfreich für dessen Zertifizierung gemäß BSI:

  • Generell ist die Geschäftsleitung für das Notfallmanagement verantwortlich, entscheidet über die dafür zur Verfügung stehenden Ressourcen und gibt die Strategie vor.
  • Ein Notfallbeauftragter, auch Notfallmanager genannt, stellt dann einzelne themenbezogene Teams zusammen. Sie unterstützen ihn individuell bei den verschiedenen Aspekten des Sicherheitskonzeptes.
  • Der Notfallbeauftragte kann in Personalunion der IT-Sicherheitsbeauftragte, der CISO oder auch ein IT-Grundschutz-Praktiker sein.
  • Die Funktion kann aber auch mit einer zusätzlichen Vollzeitstelle besetzt sein.

Was sind die größten Herausforderungen im Notfallmanagement?

„Eine ehrliche Bewertung dessen, was man zum Überleben braucht, und das Dokumentieren der Entscheidungen, die man trifft, stellen für viele Unternehmen eine große Hürde da“, weiß Professor Dr. Thiel. Doch genau dies kann wesentlich sein für das Überleben eines Notfalles: „Wenn ein Unternehmen aus Kostengründen auf den Bau eines Ausweich-Rechenzentrums verzichtet, sollte es dies genau dokumentieren“, empfiehlt Prof. Dr. Thiel. „Wenn dann im Notfall ein Kunde klagt, weil er nicht bedient werden kann, hat man eine saubere Begründung.“

Solche Bewertungen und Dokumentationen sind aufwändig gefragt sind eigens dafür qualifizierte Experten. „Unternehmen, die das Thema einfach jemandem aufs Auge drücken, verlieren“, sagt Prof. Dr. Thiel. Denn das Notfallmanagement ist extrem vielseitig mit seinen technischen, organisatorischen, personellen und infrastrukturellen Aspekten. Gefragt sind neben einem hohen technischen Verständnis auch starke Führungsqualitäten – und der Wille zur permanenten Weiterbildung. Prof. Dr. Thiel: „Wer das mitbringt, kann sich hier richtig austoben.“

Ihre Ansprechpartnerin

Kontaktformular E-Mail senden
Ihre Ansprechpartnerin: Anna-Lena BartschTÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

Tel.: +49 201 31955-41
abartsch@tuev-nord.de