:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/ac/90/ac909e6e2800db299da86bd1add1f12b/0111445793.jpeg "Sophos ereweitert sein internationales Managed Detection and Response (MDR) Team um ein zusätzliches Team in Deutschland. (Bild: Sven - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/f6/8ff67f37275779fb9e5b52248146b4d0/0111493119.jpeg "Backups sind ein hoch komplexes Thema – angefangen bei der Auswahl der richtigen Backup-Lösung, über die pasende Methode, bis hin zur Planung und zum Test der Wiederhestellung der gesicherten Daten gibt es viel zu beachten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risikomanagement IT-Notfallplanung in 8 Schritten
Es müssen nicht immer gleich Katastrophen sein, wie ein Brand im Rechenzentrum oder ein Hochwasserschaden in der Firma. Auch kleinere Störungen der IT-Systeme, wie der Ausfall eines Servers oder einer anderen Komponente, können die Geschäftsprozesse eines Unternehmens empfindlich stören oder vollständig lahmlegen. Eine strukturierte Notfallplanung ist daher auch für kleine Unternehmen unverzichtbar.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Von Ausfällen betroffene Unternehmen erleiden in der Regel schmerzhafte finanzielle Schäden. Auch Imageschäden sind oft die Folge, vor allem, wenn sich herausstellt, dass sie den Krisenfall nicht schnell bzw. allein meistern können.
Besonders für kleine und mittelständische Unternehmen (KMU) nehmen solche Fälle schnell existenzbedrohende Ausmaße an. Wohl dem also, der vorgesorgt hat — beispielsweise in Form einer umfassenden prozessorientierten Notfallplanung.
„Wir machen das in Excel“
Der Chef möchte in der Regel kein Geld für die Umsetzung einer Notfallplanung in die Hand nehmen. Stattdessen soll diese mit den gängigen Office-Programmen erledigt werden. Der IT-Leiter ist ohnehin schon überlastet und bekommt nun die zusätzliche Aufgabe, die IT-Infrastruktur zu dokumentieren. Excel und andere Office-Anwendungen, bei vielen KMU das Mittel der Wahl, sind jedoch aufgrund ihres sehr hohen Pflegeaufwands für eine Notfallplanung relativ ungeeignet. Hinzu kommt, dass die Daten an vielen verschiedenen Stellen gepflegt werden müssen. Dieser Weg ist nicht nur demotivierend für die Mitarbeiter, sondern wohl auch die teuerste Variante, eine Notfallplanung oder ein Informationssicherheits-Managementsystem (ISMS) zu erstellen und zu pflegen. Zudem ist diese Variante für externe Berater oft nur eine willkommene Gelegenheit, viele Tage zu berechnen.
Warum ist es für mich als Organisation dennoch wichtig, eine IT-Notfallplanung zu haben, obwohl das im ersten Schritt mehr Aufwand und mehr Kosten bedeutet? Die IT-Notfallplanung ermöglicht in meinem Unternehmen mehr Transparenz und zeigt Gefährdungen der Kernprozesse auf. Das könnten Kopfmonopole sein, also einzelne Mitarbeiter, die über exklusives wichtiges Spezialwissen verfügen. Aber auch Sicherheitslücken oder fehlende Redundanzen in den Prozessen können die Kernprozesse gefährden. Durch Transparenz habe ich die Möglichkeit, zielgerichtete Investitionen zu tätigen und auf diese Weise Geld einzusparen.
Dennoch scheitert die Umsetzung einer Notfallplanung oftmals an der Kommunikation im Unternehmen. IT und Geschäftsführung sprechen nicht die gleiche Sprache. Werden der Geschäftsführung allerdings klare Zahlen vorgelegt und das daraus entstehende Risiko bei einem Ausfall benannt, hat sie die Möglichkeit, fundierte Entscheidungen zu treffen.
Bei den Kernprozessen ansetzen
Oft fehlt diese Grundlage für eine fundierte Entscheidung jedoch, und das hat einen einfachen Grund. Bei der Notfallplanung wird meistens von der Infrastruktur im Unternehmen ausgegangen. Wenn man jedoch bei den Kernprozessen ansetzt, die Verknüpfung zur IT-Infrastruktur darstellt und die dazugehörigen Ausfallszenarien definiert, wird ein klares Risiko deutlich. Auf diese Weise lässt sich der Schaden im Falle eines Ausfalls für die Geschäftsführung leicht beziffern. Demgegenüber die Investition für eine gute Notfallplanung betriebswirtschaftlich aufzurechnen, ist anschließend kein Problem mehr. Diese Herangehensweise hat noch einen weiteren entscheidenden Vorteil: Anstatt sich auf die Infrastruktur zu konzentrieren und dort stehen zu bleiben, kann eine umfassende prozessorientierte Notfallplanung entstehen, die die IT mit einbezieht und die Auswirkungen auf die Kernprozesse aufzeigt. Eine solche Notfallplanung lässt sich in acht einfachen Schritten realisieren.
Notfallplanung in acht Schritten
Schritt 1: In dieser Phase werden alle notfallkritischen Elemente identifiziert und aufgenommen. Ist die Liste vollständig, werden die Elemente in Prozesse, Services und Basisservices eingeteilt und nach ihrer Kritikalität bewertet. Diese Auflistung gibt bereits Aufschluss über mögliche Ausfallszenarien.
Schritt 2: Aus den möglichen Ausfallszenarien ergibt sich bereits der zweite Schritt. Sind die Szenarien bekannt, kann das Schadensausmaß und mögliche Folgeschäden anhand der Liste aus Schritt eins bewertet werden.
Schritt 3: Je nach Unternehmensart und Notfallsituation können zusätzliche, gesetzliche Bestimmungen gelten. Diese sind vom Schadensausmaß sowie den möglichen Folgeschäden abhängig. Sie müssen in einer Notfallsituation auf jeden Fall und sofort umgesetzt werden, daher sind sie unverzichtbarer Teil einer jeden Notfallplanung.
Schritt 4: Ein Notfall erfordert schnelles Handeln von allen Verantwortlichen. Daher sollten im vierten Schritt die Mitarbeiter mit den entsprechenden Fähigkeiten aufgelistet werden. Auf diese Weise werden Kopfmonopole sichtbar.
Schritt 5: Im nächsten Schritt werden den Mitarbeitern, je nach Ausfallszenario, Rollen zugewiesen. So wissen die Mitarbeiter im Krisenfalls sofort, welche Aufgaben und Befugnisse sie haben. In Notfallteams können die Mitarbeiter dann zielgerichtet und schnell handeln.
Schritt 6: Damit im Notfall alle wichtigen Dokumente sofort vorliegen, sollten im Rahmen einer umfassenden Notfallplanung alle wichtigen Dokumente erfasst und an einer zentralen Stelle archiviert werden. Dazu gehören zum Beispiel Handbücher, Lizenzurkunden und Service-Level-Agreements, aber auch Lage- und Raumpläne. Die Dokumente sollten am besten digital erfasst und über eine Zuordnungsfunktion für ihr jeweiliges Ausfallszenario markiert werden. Das erleichtert das schnelle Auffinden der Dokumente.
Schritt 7: Erst im vorletzten Schritt wird die IT-Infrastruktur betrachtet. In diesem Schritt wird zunächst die komplette IT-Infrastruktur einer Organisation aufgenommen und dokumentiert. Dazu gehört selbstverständlich auch, wo sich zum Beispiel eine Hardware befindet oder von welchen anderen Infrastrukturelementen sie abhängig ist.
Schritt 8: Im achten und letzten Schritt werden einzelne Teile der IT-Infrastruktur den unternehmenskritischen Prozessen zugeordnet. Dieser letzte Schritt ist besonders wichtig, da hier die entsprechenden Abhängigkeiten dargestellt werden. Gerade deshalb ist aber eine gute Grundlage durch die Schritte 1 bis 7 unerlässlich. Aus diesem Grund ist es erfolgversprechend, für eine umfassende Notfallplanung eben nicht bei der Infrastruktur, sondern bei den Prozessen anzusetzen.
Fazit
Eine umfassende Notfallplanung muss nicht kompliziert sein; vorausgesetzt, man macht sich zuvor Gedanken über die Vorgehensweise und die Umsetzung. Der Vorteil, den eine softwaregestützte Lösung bietet, die diese Schritte in einem einfachen, digitalen System nachvollzieht, liegt auf der Hand. Man wird strukturiert durch den Aufnahmeprozess geleitet und kann vorhandene IT-Systeme an die Lösung anbinden. Einmal installiert, hält die Lösung so alle Dokumente und Serverinformationen ohne großen Aufwand aktuell. Außerdem lassen sich mit einer Software Abhängigkeiten zwischen Prozessen, Services und IT ebenso abbilden wie das Personal mit den entsprechenden Verantwortlichkeiten. Damit sind Organisationen auf jedes Szenario vorbereitet und können im Notfall schnell und gezielt reagieren.
Über den Autor: Jörg Kretzschmar ist Senior Consultant bei Contechnet Ltd..
(ID:44634349)
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940949/original.jpg "Die Sicherheit in einer Windows-basierten Infrastruktur beginnt mit der Sicherung des Active Directory. (Weissblick - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923672/original.jpg "Die Energieversorgung mit Strom und Gas muss auch in der Corona-Pandemie gewährleistet sein (Eisenhans - stock.adobe.com)")