Interview mit unserem Standortleiter Höxter, Christian Mamojka, zum Thema IT-Notfallplan.

Wieso? Weshalb? Warum?

Interview mit unserem Höxteraner Standortleiter Christian Mamojka zu seinen Erfahrungen mit IT-Notfallplänen in Kundenumgebungen.

(R)edaktion/Interviewführung: Richard Jones

(S)tandortleiter Höxter: Christian Mamojka

(R) Christian, du unterstützt zahlreiche Kunden und deren externe Berater in Sachen IT-Notfallplan. Was genau ist das eigentlich und wofür braucht man ihn?

(S) Grundsätzlich dient dieser Plan als Absicherung für den IT-Notfall. Er soll dabei helfen, Risiken zu ermitteln und Routinen zu schaffen, sodass jeder Mitarbeiter genau weiß, was zu tun ist, wenn es zum GAU kommt. Der IT-Notfallplan kann die Notfallerkennungszeit und damit auch die Wiederherstellungszeit von Diensten und Prozessen stark reduzieren und gibt dem Unternehmer Sicherheit.

Gleichzeitig können Standards und Gesetzesvorgaben (ISO:9001, DS-GVO) mit einem IT-Notfallplan erreicht und eingehalten werden. Die Dokumentation technischer und organisatorischer Maßnahmen gemäß DS-GVO beispielsweise kann in Form eines IT-Notfallplans erfolgen.

(R) Wer trägt die Verantwortung für die Dokumentation dieser Maßnahmen?

(S) Die Verantwortung trägt allein der Geschäftsführer des Unternehmens. Um sich abzusichern, kann der Geschäftsführer Bereiche der Erstellung abgeben und sich dort vertraglich Garantien zusichern lassen; verantwortlich bleibt er jedoch selbst. Daher sollte er die Dokumentation der technischen und organisatorischen Maßnahmen gemeinsam mit fachkundigen Experten vornehmen und selbst ein Auge darauf haben.

(R) Welche Bereiche werden in einem IT-Notfallplan abgedeckt?

(S) Zunächst wird bei der Erstellung eine Analyse der Prozesse und Systeme durchgeführt, um etwaige Schwachstellen zu identifizieren.

Die Bereiche, die der Plan abdeckt, gliedern sich in die Komponenten Technik und Mensch. Bei der technischen Betrachtung werden Hard- und Software, Serverlandschaften, Storage und Backup betrachtet, aber auch Serverraum und IT-Sicherheitskomponenten sowie Arbeitsplätze und das Netzwerk beleuchtet.

Was den Faktor Mensch angeht, werden die Bereiche Sensibilisierung, Zutritt, Zugriff, Berechtigungen und natürlich Routineabläufe bewertet. Ich habe festgestellt, dass viele Mittelständler schon gut organisiert dabei sind, einen Prozess „Mitarbeiter kommt“ zu organisieren. Beim Ausscheiden von Mitarbeitern werden IT-Zugriffsberechtigungen häufig noch nicht betrachtet und sorgen für ungewollte Hintertüren zu kritischen Systemen. Hier kann ein IT-Notfallplan helfen.

(R) Das klingt sehr umfangreich. Ist das nicht nur etwas für größere Firmen?

(S) Auf keinen Fall! Gerade für die kleinen Firmen ist es wichtig, sich zu dem Thema Gedanken zu machen, da dort oftmals viele Einzelsysteme und Prozesse laufen. Es ist keine Seltenheit, dass bestimmte Abläufe von einer einzigen Person oder einem System abhängen. Im Krankheitsfall oder bei Systemausfall kann das Fortbestehen des Unternehmens gefährdet sein. Trotzdem finden wir häufig Situationen vor, in denen dieses Problem ausgeblendet wird.

Um auch kleineren und mittelständischen Unternehmen eine erschwingliche Lösung zu bieten, haben wir die Produktreihe „MR SafeData“ in unser Portfolio aufgenommen. Hier haben wir Standards definiert, um den einzelnen Anforderungen des Gesetzgebers zu begegnen. Vorteile für Unternehmer sind, dass sie mit Nutzung unserer Standards eigene Ressourcen sparen und schnell zu einem schlagkräftigen Ergebnis gelangen.

Insbesondere können sich Unternehmer auf die Entwicklung eines IT-Notfallplans vorbereiten, indem sie eine aktuelle Dokumentation ihrer IT-Umgebung und darauf betriebener kritischer Prozesse vorhalten und sich an gängige Standards wie den IT-Grundschutz des BSI halten.

(R) Ich höre gelegentlich von Kunden, dass es doch bisher auch immer ohne einen IT-Notfallplan ging. Was sagst du zu diesem Einwand?

(S) Das gebrannte Kind scheut das Feuer. Leider ist im Umkehrschluss bei vielen Unternehmern, die noch nie von einem echten IT-Notfall betroffen waren, die Sensibilisierung nicht vorhanden. Dabei kann ein solcher IT-Notfall schnell unternehmensgefährdend werden.

Wie wichtig ihre einzelnen Systeme, Prozesse und Daten sind, wird bei der Risikobewertung im Rahmen der Dokumentation festgestellt. Vorrangig die Hochrisikobereiche werden im IT-Notfallplan betrachtet. So wird auch ein klarer Fokus sichergestellt. Wenn dann tatsächlich der Fall eintritt, spart der vorab erstellte IT-Notfallplan schnell ein Vielfaches an Zeit und damit bares Geld. Übrigens kann er auch davor schon helfen, bspw. bei günstigeren Unternehmenskrediten oder niedrigeren Prämien für Unternehmenshaftpflichtversicherungen.

Nebenbei gibt es noch einen sehr hilfreichen Mitnahmeeffekt: Durch die Ermittlung des IST-Zustands inklusive der Risikobewertung werden oft Optimierungspotentiale offengelegt, die zu deutlichen Kosteneinsparungen führen können. Unseren Kunden geben wir bei der Erstellung eines IT-Notfallplans auch eine Handlungsempfehlung mit auf den Weg, die mit Augenmaß erstellt wird. Dabei kategorisieren wir nach Priorität.

(R) Wie stelle ich sicher, dass der IT-Notfallplan nicht gleich wieder veraltet ist?

(S) Wie auch bei anderen Dokumentationen üblich, sollte der IT-Notfallplan regelmäßig überprüft und fortgeschrieben werden. Spätestens bei jeder größeren Änderung der Umgebung (Prozess- oder IT-) sollte das Dokument angepasst werden. Wir empfehlen in diesem Zusammenhang außerdem, das betreuende Systemhaus bzw. die Unternehmens-IT auch bei augenscheinlich Nicht-IT-Themen mit ins Boot zu holen: diverse Prozesse könnten von den Änderungen abhängen, die auf den ersten Blick nicht erkennbar sind.