In Krisenzeiten müssen die Geschäftsprozesse widerstandsfähig gegen innere sowie äußere Einflüsse sein, um so den Geschäftserfolg zu gewährleisten. Genau hier greift das Business Continuity Management (BCM) oder auch Notfallmanagement genannt. Das BCM stellt sicher, dass bei krisenbedingten Betriebsunterbrechungen die Aktivität in einem akzeptablen Zeitrahmen wiederhergestellt wird.
Die jüngsten Erfahrungen mit der Verwundbarkeit von Gesellschaft und Wirtschaft durch Erreger wie Covid-19 machen uns die Abhängigkeiten von (IT-)Technik, Organisation und Personal mehr als deutlich. Der in der Vergangenheit oftmals im Fokus stehende „Wasserrohrschaden” im Serverraum tritt deutlich in den Hintergrund. Und dies nicht nur wegen Covid-19, sondern insbesondere auch aufgrund zunehmender Cybersecurity-Risiken und der wachsenden Abhängigkeit von digitalisierten Geschäftsprozessen.
Ein wirksames und praktikables BCM soll sicherstellen, dass Unternehmen in Krisen- oder Notfällen in der Lage sind, ihre zeitkritischen Tätigkeiten auf einem Mindestniveau (Notbetrieb) fortzusetzen und eine schnelle Wiederherstellung eines Normalbetriebs zu gewährleisten – verlässlich, routiniert und ohne große Folgeschäden.
In Zeiten hoher Digitalisierung ist das IT-Notfallmanagement als Teil eines umfassenden Unternehmens-BCM ein wichtiger Baustein bzw. stellt oftmals die Grundlage dar.
Welchen Beitrag kann das IT-Notfallmanagement leisten, um das allgemeine Notfallmanagement eines Unternehmens zu unterstützen?
Ist noch kein vollständiges IT-Notfallmanagement etabliert, sollte zunächst der Umsetzungsgrad hinsichtlich erfolgskritischer Faktoren für das Unternehmen untersucht werden. Dies kann z.B. über eine Checkliste erfolgen und sollte mindestens die folgenden Bereiche abdecken:
Auf dieser Grundlage kann die Planung der weiteren Maßnahmen erfolgen und das IT-Notfallmanagement schrittweise ausgebaut werden.
Wie das unternehmensweite Notfallmanagement muss auch das IT-Notfallmanagement bestehende Risiken betrachten, die für das Unternehmen existenzgefährdend sind.
Der IT-Notfallmanagementprozess muss dabei drei wesentliche Zielsetzungen sicherstellen:
Die Ziele sowie Strategien im IT-Notfallmanagement werden durch die Unternehmensführung in einer IT-Notfallmanagement-Leitlinie beschrieben, gleichzeitig übernimmt sie die Gesamtverantwortung und verpflichtet sich, die erforderlichen Ressourcen für ein anforderungskonformes Notfallmanagement bereitzustellen. Auf dieser Basis erfolgt der Aufbau der IT-Notfallvorsorge, bestehend aus Richtlinien, Konzepten und vorbereitenden Maßnahmen. Darin ist u. a. auch die Notfallorganisation zu beschreiben. Ein weiterer kritischer Erfolgsfaktor ist die Business Impact Analyse (BIA). Sie ermittelt für welche kritischen Geschäftsprozesse das IT-Notfallmanagement zu etablieren ist, welche Ressourcen hierfür benötigt werden und welche Notfallpläne deshalb erstellt werden müssen. Die Notfallpläne stellen – zusammen mit Geschäftsfortführungs- oder Wiederanlaufplänen – die IT-Notfallbewältigung sicher und unterstützen den Notfallstab oder die Krisenteams in ihren Handlungen. Über einen PDCA-Zyklus (Plan-Do-Check-Act) wird sichergestellt, dass das IT-Notfallmanagement getestet, angepasst und weiterentwickelt wird. Methodisch bietet sich die Orientierung an anerkannten Standards wie z. B. ISO 22301 an.
Falk Hofmann
ISO/IEC27001/KRITIS -Auditor
Partner
Anfrage senden
Jonas Dikau
B.Sc. Informationsmanagement
Manager
