Der „One size fits all“-Notfallplan existiert nicht

Ein Notfall-Management ist die letzte Möglichkeit bei Cyber-Angriffen

| Autor / Redakteur: Malte Kögler* / Ulrike Ostler

Jedes Unternehmen muss ein individuelles IT-Notfall-Konzept erstellen, so Malte Kögler, Geschäftsführer der ITSM GmbH.
Jedes Unternehmen muss ein individuelles IT-Notfall-Konzept erstellen, so Malte Kögler, Geschäftsführer der ITSM GmbH. (Bild: Gerd Altmann auf Pixabay)

Dass die Bedrohungslage in puncto IT-Sicherheit immer kritischer wird, überrascht nicht. Fast täglich gibt es neue Meldungen über Hacker-Angriffe, immer gefährlichere Viren sowie Datenlecks. Aus diesem Grund ist es für Unternehmen unerlässlich, für den „Fall der Fälle“ ein Notfall-Management-Konzept und einen sofort umsetzbaren Notfallplan parat zu haben.

Wie eine Umfrage des Eco – Verbands der Internetwirtschaft e.V. vom Februar 2019 unterstreicht, sind sich immer mehr Unternehmen dieser Notwendigkeit bewusst. So gaben 57 Prozent der befragten IT-Sicherheitsexperten an, über einen Notfallplan im Fall eines Cybercrime-Vorfalls zu verfügen. Im Vergleich zum Vorjahresergebnis (32 Prozent) ist dies ein deutlicher Anstieg. Weitere 27 Prozent der Umfrageteilnehmer erklärten, gerade an so einem Notfall-Konzept zu arbeiten.

Auf der anderen Seite gaben nur 46 Prozent der befragten Unternehmen an, sehr gut oder gut gegen Cyber-Attacken gewappnet zu sein. Fast ein Fünftel (19 Prozent) schätzen ihre IT-Security-Maßnahmen dagegen als unzureichend ein.

Ohne IT kein Business

Dieses Motto gilt heute für immer mehr Unternehmen –auch für kleine und mittlere Unternehmen (KMUs). „Steht“ die IT, ruht das Geschäft. Umsatzausfälle und Kosten für die Wiederherstellung des IT-Betriebs sind die Folge. Und diese Ausfälle und Kosten steigen immer mehr, je länger es dauert, bis die IT wieder „läuft“. Großunternehmen – noch dazu, wenn sie über die entsprechen-den Notfallpläne verfügen – werden einen solchen Ausfall und die damit verbundenen Kosten kompensieren können. Für kleine und mittlere Unternehmen kann so ein Ausfall dagegen eine Gefahr für den Fortbestand des gesamten Unternehmens bedeuten.

Gefahren lauern nicht nur draußen, sondern auch drinnen im Unternehmen. Eine ungewollte oder vorsätzliche Falschbedienung eines IT-Systems, ein längerer Stromausfahl, Wasserrohrbruch oder Feuer können ebenfalls dafür sorgen, dass die IT-Umgebung zumindest teilweise nicht mehr genutzt werden kann. Auch in diesen Fällen ist ein Notfallplan unbedingt notwendig, in dem genauestens festgelegt ist, was getan werden muss, um die IT wieder „zum Laufen zu bringen“.

Ransomware, DDoS, CEO Fraud -das kann uns doch nicht passieren!

Laut eingangs zitierter Eco-Umfrage gab es im vergangenen Jahr in jedem vierten Unternehmen tatsächlich mindestens einen gravierenden Sicherheitsvorfall. Ransomware, DDoS-Attacken und CEO Fraud führen in der Umfrage die Liste der Attacken vor Website-Hacking und Datendiebstahl an.

Ergänzendes zum Thema
 
Über die ITSM GmbH

Wer jetzt aber glaubt: „Es wird uns schon nicht treffen“, dem sollte die WSG Wohnungs- und Siedlungs-GmbH aus Düsseldorf als mahnendes Beispiel dienen. Das Unternehmen wurde 2016 aus dem Nichts heraus Opfer einer Ramsonware-Attacke. „Ein Hacker hatte große Teile unserer IT-Infra-struktur verschlüsselt und forderte eine Bitcoin-Zahlung für die Entschlüsselung unserer Daten“, erläutert Andreas Piana, kaufmännischer Leiter bei WSG, die damalige Situation. „Die Folge war ein zweitägiger Komplettstillstand des Unternehmens, erst nach zwei Wochen waren alle IT-Systeme wieder voll einsatzbereit.“

T-Notfall-Planung ist ein mehrstufiger Prozess

Geht es nun also darum, einen IT-Notfallplan für das eigene Unternehmen aufzustellen, sollte in mehreren Schritten vorgegangen werden. Im Mittelpunkt stehen dabei die Maßnahmen, die getroffen werden müssen, um die (hoffentlich) im Rahmen regelmäßiger Backups archivierten Unternehmensdaten schnellstmöglich wieder in das Produktivsystem einspielen zu können. Man spricht vom so genannten Desaster Recovery.

Schritt 1: Analyse des Ist-Zustands

In der Regel gibt es in den meisten Unternehmen Backup-Systeme zum Absichern der Unternehmensdaten. In einem ersten Schritt ist es nun aber wichtig, diese Systeme regelmäßig auf Funktionalität und Aktualität zu überprüfen. Im Mittelpunkt steht dabei die Frage: „Was wird bisher wo gespeichert?“

Schritt 2: Definition des Soll-Zustands

In einem zweiten Schritt geht es dann darum, festzulegen, wie eine auch zukünftig erfolgreiche Backup- und Recovery-Strategie für das Unternehmen aussehen sollte. Die Frage lautet dabei: „Was sollte wann wo wie gesichert werden?“.

Schritt 3: Aufstellen/Aktualisieren der zukünftigen Backup- und Recovery-Strategie

Falls zwischen Schritt 1 und Schritt 2 noch eine Lücke klafft, geht es nun darum, diese Lücke zu schließen. Dabei stellt sich zuerst einmal die Frage, ob sie die bestehende Backup- und Recovery-Lösung erweitern/erneuern oder gleich „auf der grünen Wiese“ beginnen und sich eine komplett neue Strategie überlegen.

Schritt 4: „Make“ or „Buy“

Im nächsten Schritt geht es darum, sich Gedanken zu machen, ob Sie die zukünftige Backup- und Recovery-Strategie selbst umsetzen oder sich von jemandem helfen lassen, der sich damit auskennt. Die Unterstützung sollte dabei nicht nur aus der reinen Lieferung und Installation der entsprechen-den Lösung bestehen, sondern schon viel früher – möglichst bereits bei der Analyse des Ist-Zustands – beginnen.

Schritt 5: Worst Case-Szenario testen

Es kommt immer wieder vor, dass Unternehmen zwar regelmäßig Backups ihrer wichtigsten Daten erstellen, im Notfall dann aber leider feststellen, dass diese Daten sich nicht wieder „zurückspielen“ lassen. Die Gründe können vielfältig sein. Auf jeden Fall ist es unerlässlich, regelmäßig einen „Notfall-Test“ durchzuführen, um sicher zu gehen, dass man sich wirklich am sicheren Ufer befindet.

Malte Kögler ist Geschäftsführer der ITSM GmbH aus Langenfeld.
Malte Kögler ist Geschäftsführer der ITSM GmbH aus Langenfeld. (Bild: ITSM GmbH)

Doch der „One size fits all“-Notfallplan existiert nicht! Stattdessen muss jedes Unternehmen ein individuelles Konzept erstellen, das die unternehmensspezifischen Anforderungen, zum Beispiel Größe, Branche und gesetzliche Vorgaben berücksichtigt.

* Malte Kögler ist Geschäftsführer der ITSM GmbH.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46234143 / Services)