Skip to main content
main-content

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2017 | OriginalPaper | Buchkapitel

13. Geschäftskontinuitäts-Management und IT-Notfall-Planung

verfasst von : Hans-Peter Königs

Erschienen in: IT-Risikomanagement mit System

Verlag: Springer Fachmedien Wiesbaden

share
TEILEN

Überblick

Plötzlich eingetretene Ereignisse können Schäden für einen Teil des Unternehmens aber auch für ein ganzes Unternehmen nach sich ziehen. Plötzlich erkennbare Gefahren und Schwachstellen können aber auch die Vorboten grosser Schäden sein, wenn sie nicht sofort und adäquat behandelt werden. Ausgehend von Erläuterungen über den Erhalt von Unternehmenszielen durch ein gutes Geschäfts-Kontinuitätsmanagement und eine IT-Notfallplanung, werden in diesem Kapitel einige wichtigen „Pläne“ zum Erhalt dieser Ziele aufgezeigt. Die ganzheitliche Sicht auf die Behandlung von Schadensfolgen, nach eingetretenen Ereignissen, wird durch ein Geschäfts-Kontinuitätsmanagement, als wichtige Massnahme innerhalb eines übergeordneten Unternehmens-Risikomanagements, gezeigt. Im Rahmen dieses Buches gehört zu den in das Geschäfts-Kontinuitätsmanagement zu integrierenden Pläne vor allem der IT-Notfallplan, der zusammen mit einem für die Informationssicherheits-Ereignisse wichtigen Incident-Management und Vulnerability-Management in wesentlichen Zügen erläutert wird. Aus der Unterscheidung von „Events“ und „Incidents“ in der Informationssicherheit wird klar, dass gerade bei den heute für viele Unternehmen sehr gefährlichen Cyber-Bedrohungen umfangreiche Massnahmen der Prävention (z. B. im Rahmen eines Vulnerability Managements) erforderlich sind, um grosse Schadensereignisse und deren Eskalation abzuwenden oder einzudämmen. Als solche grossen Schadensereignisse gelten nicht alleine die Unterbrechungen von Geschäftsprozessen, sondern auch Beschädigungen von Geschäftsinformationen oder Abflüsse von vertraulichen Geschäftsinformationen. Der Rahmen eines Kontinuitäts-Management-Systems, der früher ausschliesslich den „Unterbrechungsereignissen“ gewidmet war, wird heute meist sinnvollerweise auf die „plötzlich erkennbaren Ereignisse“, die Schäden nach sich ziehen können, erweitert.
Fußnoten
1
Im Unterschied zum zuvor erwähnten Plan für die Geschäftskontinuität werden mit diesem Plan lediglich die wichtigsten Betriebsfunktionen eines Unternehmens (z. B. eines Hauptsitzes) sichergestellt. Gemäss dem „Federal Preparedness Circular, FPC 65“ muss jede Regierungsstelle in den USA einen solchen Plan eingerichtet haben.
 
2
Ausführliche Planungshilfen können dem NIST-Dokument „Contingency Planning Guide for Federal Information Technology Systems“ entnommen werden [Nisc10].
 
3
Die direkten Supportsysteme unterstützen in Form von Geschäftsapplikationen direkt einen Geschäftsprozess. Die indirekten Supportsysteme (z. B. Büro-Automation, Administration, Buchhaltung, Dokumentenarchivierung) unterstützen mit entsprechenden Applikationen alle Prozesse einschliesslich der direkten Support-Prozesse. Ebenfalls dient die IT-Infrastruktur (z. B. Server, Speichereinheiten, Informationennetze) sowohl den direkten als auch den indirekten Supportprozessen.
 
4
Der englische Business Continuity Standard BS 25999–2:2007 [Busp07] definiert ein „incident“ als „situation that might be, or could lead to, a business disruption, loss, emergency or crisis.“
 
5
Der Standard ISO 22301:2012 wird im Folgenden in wesentlichen Punkten weitgehend inhaltsgetreu wiedergegeben. Für eine Zertifizierung ist jedoch die Genauigkeit des Originalstandards massgebend. Zusätzlich zu den Erfordernissen des Standards werden nützliche anwendungsspezifische Details aus den Erfahrungen des Autors, der Standards BS 25999-x, ([Buco06] [Busp07]), dem Handbuch HB 221:2004 ([Anhb04]), sowie dem Standard ISO 22313:2012 (BCMS-Guidance [Isog12]) in die Ausführungen einbezogen.
 
6
BIA = Business Impact Analyse.
 
7
Commitment: In den ISO-Standards häufig anzutreffender Begriff mit der Bedeutung „Selbstverpflichtung“ oder „freiwillige Bindung“.
 
8
Interessierte Kreise sind die Anspruchsgruppen des Unternehmens.
 
9
Nach dieser Zeit ist die Kontinuität in einem allfälligen Notbetrieb hergestellt. Diese Dauer muss unter der MTPD-Zeit liegen. Das Ziel wird auch als „RTO = Recovery Time Objective“ bezeichnet. Diese Dauer muss unter der MTPD-Zeit liegen.
 
10
Nach dieser Zeit wird aus dem Notbetrieb wieder in den Normalbetrieb zurückgekehrt.
 
11
Die minimal notwendige Notbetriebsdauer muss so bemessen sein, dass der Wiederanlauf in der vorgesehenen Leistungsfähigkeit bis zur Wiederherstellung der Prozesse für den Normalbetrieb gewährleistet ist; (Beispiel: Kraftstoffvorrat für Notstromdiesel bis zur Wiederherstellung der normalen Stromversorgung).
 
12
Die maximal tolerierbare Notbetriebsdauer gibt die Zeit an, nach der spätestens in den Normalbetrieb zurückgekehrt sein muss, z. B. aufgrund von negativen Nebeneffekten des Notbetriebs.
 
13
MTPD = MAO (Maximum Acceptable Outage).
 
14
Entsprechend der Organisationsstruktur des Unternehmens können für verschieden Problemkategorien verschiedene Gremien definiert sein, die hierarchisch aufeinander abgestimmt und geführt werden. Es können auch dieselben Gremien entsprechend der Führungsanforderungen personell modifiziert werden.
 
15
Der Begriff „Notfall“ wird oft auch für die Eskalationsstufen „Krise“ und „Katastrophe“ verwendet.
 
16
„Vorbehaltene Entscheide“ gelangen zur Ausführung, sobald die im Notfallplan vorgesehenen Bedingungen erfüllt sind. Ein vorbehaltener Entscheid kann beispielsweise lauten, dass nach vergeblichen Reparatur- und Restart-Versuchen von x Stunden ohne weitere Rückfragen die Umschaltung auf ein kaltes Backup-System vorgenommen wird.
 
17
Unter anderem gilt es für das zuständige Management zu bedenken, dass es für Unterlassungen mit allfälligen Konsequenzen verantwortlich gemacht werden kann.
 
18
Die deutsche Bezeichnung „IT-Notfallplan“ anstelle der englischen Bezeichnung „IT Contingency Plan“ wird unabhängig davon verwendet, ob es sich um die Bewältigung eines Notfalls, einer Krise oder einer Katastrophe handelt.
 
19
[Nisc10]: Contingency Planning Guide for Federal Information Technology Systems, NIST Special Publication 800–34 Rev. 1.
 
20
[Klet11]: IT-Notfallmanagement mit System. Wiesbaden: Springer Vieweg.
 
21
Die NIST-Empfehlung „Contingency Planning Guide for Information Technology Systems“ bezeichnet einen solchen Plan als „Cyber Incident Response Plan“ ([Nisc02], S. 9).
 
22
Sowohl der Standard ISO/IEC 27002:2013 ([Isoc13], S. 67–71)] als auch das COBIT Framework ([Cobi12], S. 145–146) schlagen ein „Security Incident Management“ für die Behandlung sämtlicher Ereignisse und Schwachstellen vor.
 
23
Die Begriffe für die einzelnen Eskalationsstufen werden von Unternehmen zu Unternehmen unterschiedlich verwendet; so ist beispielsweise auch die Verwendung des Begriffs „Notfall“ für eine der „Krise“ übergeordnete Eskalationsstufe anzutreffen. Wichtig ist die einheitliche Verwendung der Begriffe in einem Unternehmen.
 
24
In einem IT-Notfall-Plan ist die Verknüpfung des „technischen“ Vulnerabiltiy-Managements mit dem Informationssicherheits-Incident-Management eine naheliegende Lösungsvariante, um möglichst zeitnahe Aktionen zu ermöglichen. Das Informationssicherheits-Incident-Management sollte natürlich auch in geeigneter Weise mit einem Incident-Management für die „Geschäftskontinuität“ verknüpft werden.
 
25
CERT® = Computer Emergency Response Team .
 
Literatur
[Anhb04]
Zurück zum Zitat Standards Australia/New Zealand: HB 221:2004, Handbook Business Continuity Management. Sydney: Standards Australia International, 2004. Standards Australia/New Zealand: HB 221:2004, Handbook Business Continuity Management. Sydney: Standards Australia International, 2004.
[Bcmg05]
Zurück zum Zitat BCI: Good practice guidelines – A Framework for Business Continuity Management. The Business Continuity Institute, 2005. BCI: Good practice guidelines – A Framework for Business Continuity Management. The Business Continuity Institute, 2005.
[Buco06]
Zurück zum Zitat BS 25999-1:2006: Business continuity management – Part 1: Code of practice. British Standards Institution, 2006. BS 25999-1:2006: Business continuity management – Part 1: Code of practice. British Standards Institution, 2006.
[Busp07]
Zurück zum Zitat BS 25999–2:2007: Business continuity management – Part 2: Specification. British Standards Institution, 2007. BS 25999–2:2007: Business continuity management – Part 2: Specification. British Standards Institution, 2007.
[Cobi12]
Zurück zum Zitat ISACA: COBIT® 5 for Information Security. Rolling Meadows: Information Systems Audit and Control Association, 2012. ISACA: COBIT® 5 for Information Security. Rolling Meadows: Information Systems Audit and Control Association, 2012.
[Isob12]
Zurück zum Zitat ISO 22301:2012: Societal security – Business continuity management systems – Requirements. International Organization for Standardization, 2012. ISO 22301:2012: Societal security – Business continuity management systems – Requirements. International Organization for Standardization, 2012.
[Isoc13]
Zurück zum Zitat ISO/IEC 27002:2013: Code of practice for information security controls. International Organization for Standardization, 2013. ISO/IEC 27002:2013: Code of practice for information security controls. International Organization for Standardization, 2013.
[Isog12]
Zurück zum Zitat ISO DIS 22313: 2012: Societal security – Business continuity management systems – Guidance. International Organization for Standardization, 2012. ISO DIS 22313: 2012: Societal security – Business continuity management systems – Guidance. International Organization for Standardization, 2012.
[Isok16]
Zurück zum Zitat ISO/IEC FDIS 27035-1:2016: Information security management systems – Information security incident management. International Organization for Standardization, 2016. ISO/IEC FDIS 27035-1:2016: Information security management systems – Information security incident management. International Organization for Standardization, 2016.
[Isoo16]
Zurück zum Zitat ISO/IEC 27000:2016: Information security management systems – Overview and vocabulary. International Organization for Standardization, 2016. ISO/IEC 27000:2016: Information security management systems – Overview and vocabulary. International Organization for Standardization, 2016.
[Klet11]
Zurück zum Zitat Klett, Gerhard, Klaus-Werner Schröder und Heinrich Kersten: IT-Notfallmanagement mit System. Wiesbaden: Springer Vieweg, 2011. Klett, Gerhard, Klaus-Werner Schröder und Heinrich Kersten: IT-Notfallmanagement mit System. Wiesbaden: Springer Vieweg, 2011.
[Mose02]
Zurück zum Zitat Moser, Ulrich: Der IT-Ernstfall - Katastrophenvorsorge. Rheinfelden/Schweiz: BPX, 2002. Moser, Ulrich: Der IT-Ernstfall - Katastrophenvorsorge. Rheinfelden/Schweiz: BPX, 2002.
[Nisc02]
Zurück zum Zitat NIST: Contingency Planning Guide for Information Technology Systems. Washington DC: U.S. Department of Commerce, 2002. NIST: Contingency Planning Guide for Information Technology Systems. Washington DC: U.S. Department of Commerce, 2002.
[Nisc10]
Zurück zum Zitat NIST: Contingency Planning Guide for Federal Information Technology Systems, NIST Special Publication 800–34 Rev. 1. Washington DC: U.S. Department of Commerce, 2010. NIST: Contingency Planning Guide for Federal Information Technology Systems, NIST Special Publication 800–34 Rev. 1. Washington DC: U.S. Department of Commerce, 2010.
[Röss05]
Zurück zum Zitat Rössing Von, Rolf: Betriebliches Kontinuitätsmanagement. Bonn: mitp-Verlag, 2005. Rössing Von, Rolf: Betriebliches Kontinuitätsmanagement. Bonn: mitp-Verlag, 2005.
Metadaten
Titel
Geschäftskontinuitäts-Management und IT-Notfall-Planung
verfasst von
Hans-Peter Königs
Copyright-Jahr
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_13

Premium Partner