IT-Notfallplan erstellen

Ist ein IT-Notfallplan wirklich notwendig?

Bei einem IT-Notfallplan ist es wie mit den Hinweisen »Verhalten im Brandfall« sowie den Hinweisschildern und Piktogrammen »Notausgang« in Ihrer Organisation. Höchstwahrscheinlich kennen Mitarbeitende alle möglichen Ein- und Ausgänge auch für den Notfall und trotzdem ist es in Ausnahmesituationen u. U. lebenswichtig, sich entsprechend zu verhalten und sofort den richtigen Weg zu finden. Was bei Katastrophen logisch klingt, wird im IT-Notfall nur von 40 % aller Organisationen in Deutschland umgesetzt. Nicht zuletzt wegen der Umsetzung von NIS2 bekommt auch ein Notfallkonzept zukünftig eine noch größere Bedeutung.

Sie finden im Internet IT-Notfallpläne von verschiedenen Anbietern zum Download. Natürlich bietet auch das Bundesamt für die Sicherheit in der Informationstechnik / BSI ein umfangreicheres Notfallmanagement und ein Notfallhandbuch zum Download an und berücksichtigt hier auch den möglichen Ausfall von Infrastrukturen und Personal im Zusammenhang mit Katastrophen. Wenn Sie der umfangreiche Maßnahmenkatalog vom BSI abschreckt, dann finden Sie nachfolgend eine bewährte und trotzdem reduzierte Form eines Notfallplans für KMU.

IT-Notfallplan: Die 5 essenziellen Bestandteile

Ein Notfallplan (erweitert auch Notfallmanagement / BCM (Business Continuity Management) genannt) muss eindeutig und einfach verständlich formuliert und aufbereitet sein. Die Vorlagen sind nur die Grundlage, die jeweils auf Ihre Ist-Situation und die Infrastruktur angepasst sein muss. Es kann helfen, zunächst einen einfachen Notfallplan, als Basis zu erstellen und sukzessive auszubauen. Dann reichen im Prinzip zunächst die folgenden 5 Maßnahmen:

1. Übung macht den Meister

»Ein nicht getestetes Backup ist schlimmer als gar kein Backup!« Das gilt auch für einen nicht getesteten Notfallplan, wenn er sich im Notfall als »heiße Luft« erweist und die Ransomware in Ruhe Daten exfiltrieren und verschlüsseln kann. Überprüfen Sie, wie sehr sich Ihr Notfallplan in unterschiedlichen Szenarien bewährt. Bei neuen Komponenten, neuen Mitarbeitenden und Änderungen an der Infrastruktur, muss ein Workflow etabliert werden, der die Neuerungen und deren Auswirkungen auf den »Notfallplan« überprüft und ggf. anpasst. Im erweiterten Umfang zählen hier auch Awareness-Unterweisungen für alle Mitarbeitenden dazu, denn Insider-Bedrohungen sind immer noch das größte Risiko für Ihre IT. Das wichtigste zuerst: Identifizieren Sie geschäfts- und zeitkritische Assets und priorisieren Sie deren Schutzmaßnahmen.

2. Notfallkontakte: Wer kann helfen und wie ist der Kontakt erreichbar?

Hier müssen alle wichtigen internen und externen Kontakte (Erstkontakte bzw. Notfallkontakte) nach einer festen Struktur aufgelistet werden. Die Liste muss auch externe Dienstleister enthalten und mit Vorfällen kombinieren, in denen diese fallbezogen unterstützen können. Außerdem müssen die Kontaktlisten ständig überprüft und aktualisiert werden und auch private Kontaktangaben wie Handynummern enthalten. Eine Priorisierung z. B. nach Kenntnisstand bzw. Entfernung zum Standort kann hier entscheidend sein, um die wichtigen Kontakte, die kurzfristig helfen können zu priorisieren.

3. Funktionierende Kommunikation

Sind alle relevanten Kontakte erfasst, muss festgelegt werden, wer über welchen Kommunikationsweg wann kontaktiert wird. Neben technischen Kollegen sind auch Stakeholder wie Mitglieder des Managements zu kontaktieren, denen durch NIS2 eine höhere Verantwortung zur Absicherung der IT obliegt. Auch mögliche Meldepflichten für IT-Vorfälle gehören zur Kommunikation. Besonders in der Urlaubszeit sind Vertreter der Hauptkontakte ebenfalls zu erfassen. Handelt es sich um einen meldepflichtigen Vorfall, sind zeitnah auch die zuständige Datenschutzbehörde und das BSI zu informieren.

4. Notfall-Equipment

Ersatz-Hardware wie eine vorkonfigurierte Arbeitsstation, VoIP-Telefon, Server, ein funktionsfähiges Backup (siehe oben) sowie ausgedruckte Handbücher und Anleitungen helfen ausgefallene Systeme schnell wieder online zu bringen. Dabei ist es wichtig, dass auch beim Notfall-Equipment alle Änderungen und Aktualisierungen berücksichtigt und umgesetzt werden.

5. Notfallkarte

Analog zu den Hinweisen »Verhalten im Brandschutzfall« sind auch ausgedruckte Hinweise zum Verhalten in IT-Notfällen am Arbeitsplatz oder gut sichtbar in den Büroräumen wichtig. Schreiben Sie dort allgemeingültige Gegenmaßnahmen auf, die Mitarbeitende umsetzen können, um den Schaden so gering wie möglich zu halten. Geben Sie die Telefonnummern der zuständigen IT-Mitarbeitenden an, die kurzfristig vor Ort sein können. Auch hier sind Unterweisungen hilfreich, um das Risiko von IT-Notfällen zu minimieren.

FAZIT: IT-Notfallplan – ein Anfang ist gemacht!

KI-unterstützte Cyberangriffe, steigende Anforderungen an die IT sowie Fachkräftemangel bilden schon seit Jahren eine ungünstige »Melange«. Cyberangriffe sind nicht in jedem Fall zu verhindern. Ein erprobtes Notfallmanagement dämmt die Auswirkungen von Attacken durch schnelle und zielführende Gegenmaßnahmen ein.

Dazu muss das Notfallmanagement als Prozess in das Lifecycle-Management eingebunden werden, um alle relevanten IT-Assets berücksichtigen zu können. Neue Mitarbeitende sind ggf. als Notfallkontakte zu hinterlegen. Zudem sollten alle Mitarbeiter:innen regelmäßige Security-Unterweisungen mitsamt dokumentierten Notfallplänen erhalten, um richtig auf Cyberangriffe reagieren zu können. trainiert.

Ein IT-Notfallplan sollte nämlich nicht das erste Mal bei einem tatsächlichen Angriff aus der Schublade geholt werden. Wahrscheinliche Angriffsszenarien lassen sich simulieren, zudem können erlebte Erfahrungen das Notfallmanagement verbessern. Überfrachten Sie als KMU die Notfallpläne nicht, halten Sie wie bei ISO-Dokumenten gewisse Strukturen und Formatierungen ein und haben Sie Notfallpläne, Anleitungen und Benutzerhandbücher auch immer ausgedruckt an definierter Stelle parat.