Newsletter

Melden Sie sich für unseren Newsletter an!

So bekommen Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und Compliance zugeschickt.

Notfallplan – Wann ist Ihr Unternehmen wieder einsatzfähig?

Informationssicherheit

von Andreas Hellmann

Unterschätztes Risiko – Viele Faktoren machen es erforderlich vorausschauend zu planen!

Ihre IT läuft ohne Probleme, die Datensicherungen werden laut Sicherungssoftware regelmäßig erstellt und Ihr zuständiger IT-Mitarbeiter versichert Ihnen, dass Ihr Unternehmen innerhalb von 24 Stunden nach einem Ausfall wieder einsatzfähig ist. Also ist doch alles in Ordnung, oder?

Unterschätztes Risiko

Viele Geschäftsführer verlassen sich - teilweise blind - auf Ihre IT-Verantwortlichen, welche oft „betriebsblind“ sind und darum Wiederanlaufzeiten falsch einschätzen. Viele Unternehmen sind sich ihres Risikos nicht bewusst und wissen auch nicht, dass sie bei einem „echten“ Notfall vielleicht mehrere Tage ohne IT auskommen müssen.

Notsituationen

In extremen Situationen z.B. Diebstahl, Feuer, Wasser kann die gesamte IT-Infrastruktur beschädigt sein. So geschehen bei einem unserer Kontakte, wo bei einer Flutkatastrophe das gesamte Gebäude zerstört wurde.

Ebenfalls ein sehr großer Schaden wurde 2016 durch Verschlüsselungstrojaner wie z.B. „Locky“ oder „Goldeneye“ verursacht, wobei die letzte Datensicherung meistens die einzige Rettung für betroffene Unternehmen war.

Damit man in solchen Situationen schnell wieder einsatzfähig ist, sollte man ein solches Szenario durchgehen und ein Notfallkonzept erstellen. Festgelegte Zuständigkeiten und eine schnelle Kommunikation sind erforderlich um bei einem Notfall schnell reagieren zu können und z.B. bei einem Diebstahl Kennwörter zu sperren.

Inventarisierung

Es gibt mehrere Möglichkeiten seine IT-Infrastruktur zu inventarisieren. Aber egal ob man manuelle Listen erstellt oder automatisiert mit einem Programm arbeitet, sind folgende Fragen wichtig.

  • Anschaffungskosten bzw Neuwert
    • Wenn alles zerstört ist, welche Summe benötigt man von der Versicherung?
  • Alter & Laufzeit
    • Wie alt ist die Hardware?
    • Wann laufen Lizenzen aus?
    • Für welche Geräte oder Lizenzen benötigt man unter Umständen zeitnah Ersatz bzw. eine Aktualisierung und muss sie in die Budgetplanung aufnehmen?
  • Kapazitäten
    • Reichen Speicherplatz und Geschwindigkeit noch lange genug aus?

Datensicherung

Wichtig ist, dass man sich nicht auf die Information – der erfolgreichen Sicherung - aus dem Sicherungsprogramm verlässt, um im Notfall festzustellen, dass alle Datensicherungen unbrauchbar sind. So sollten regelmäßige Kontrollen und Wiederherstellungen durchgeführt werden, um für extreme Notsituationen vorbereitet zu sein. Daher ist es sehr wichtig, mindestens eine aktuelle, vollständige Sicherung aller Daten an einem externen Speicherort zu sichern. Um den Überblick zu behalten ist es erforderlich alle Sicherungen und Überprüfungen zu dokumentieren:

  • Welche Daten werden gesichert?
  • In welcher Form werden die Daten gesichert, als Kopie oder als Abbild (Image)?
  • Wohin werden die Daten gesichert?
  • Wie lange werden die Sicherungen gespeichert?
  • Wann und in welchem Abstand werden die Sicherungen überprüft?

Zeit

Der am häufigsten unterschätzte Faktor bei einem Notfall ist die Zeit. Dies zeigt sich immer wieder bei den „klassischen“ 24 Stunden, welche von den IT-Verantwortlichen kommuniziert werden. Folgende Angaben sind dabei häufig theoretisch, selten gut geplant oder praktisch nachgewiesen und zeigen sehr schnell, dass die 24 Stunden eine unrealistische Wiederanlaufzeit ist.

  • Neuanschaffung der Hardware
    • Wie lange dauert es die jeweilige Hardware zu ersetzen?
    • Müssen Ersatzgeräte bestellt werden oder sind sie im Lager verfügbar?
      Hierfür wird nicht selten ein Tag benötigt.
  • Die Rücksicherung der extern – z.B. im Rechenzentrum – gespeicherten Daten
    • Wie lange dauert es, bei der vorhandenen Internetverbindung die X Giga- oder Terrabyte wieder lokal zu speichern? Abhängig von der Internetverbindung und der Datenmenge können hier mehrere Tage erforderlich sein.
  • Die „eigentliche“ Wiederanlaufzeit
    • Der Start aller Geräte in der korrekten Reihenfolge der Abhängigkeiten und ein anschließender Funktionstest.
  • Nacherfassung
    • Alle während des Ausfalls der EDV-Anlagen manuell erfassten Daten müssen nach der Wiederherstellung im System eingegeben und der aktuelle Stand überprüft werden.

Tipps und Fazit

Planen Sie Zeit für Ihre IT-Verantwortlichen ein, in welcher – falls nicht bereits detailliert vorhanden - Dokumentationen und Notfallpläne erstellt werden. Überprüfen Sie Ihr Risiko bei einem totalen Ausfall der IT, in Bezug auf die gespeicherten Daten und deren möglichen Verlust. Daraus ergibt sich die Anforderung an die erforderlichen Redundanzen um eine Ausfallzeit so gering wie möglich zu gestalten. Um dies zu erreichen, sollten Sie rechtzeitig in neue Hardware investieren. Denken Sie daran, dass ein Ausfall fast immer teurer ist, als die neue Hardware.


Eine gute IT-Sicherheit ist für den Datenschutz unerlässlich und mit der Datenschutz-Grundverordnung können sehr hohe Geldbußen fällig werden. Daher ist es ratsam, sich jetzt Gedanken zu machen und rechtzeitig zu handeln.

Zurück