IT-Notfallpläne für Unternehmen

Es ist der Abend des 4. November 2006 als das funkelnagelneue Kreuzfahrtschiff „Norwegian Pearl“ von der Werft über die Ems in die offene See fahren will. Während der Luxusliner langsam durch die norddeutsche Tiefebene tuckert, werden um 21:39 Uhr zwei Hochspannungsleitungen abgeschaltet, die den Fluss überqueren. Das soll dem Schiff eine gefahrlose Passage ermöglichen. In diesem Moment setzt sich eine Kettenreaktion in Gang. Die Elektrizität fließt über andere Leitungen, die sich nach und nach wegen Überlastung abschalten. Um 22:10 Uhr gehen plötzlich von Holland bis nach Spanien und Italien die Lichter aus. Zehn Millionen Haushalte in Europa sind ohne Strom, Züge können nicht mehr fahren, und in den Leitwarten der Elektrizitätsunternehmen herrscht Alarmzustand.

Eine kleine Ursache mit einer großen Wirkung. Bis nach Nordafrika war der Stromausfall anno 2006 zu merken, der von der Abschaltung dieser zwei Leitungen im Emsland ausging. So ein Ausfall der Energieversorgung kann sich punktuell oder auch großflächiger immer wieder ereignen und auch die IT-Netze in einem Unternehmen lahmlegen. „Vielfach ist nicht klar, wie verwundbar Institutionen eigentlich sind. Nahezu alle Unternehmen und Behörden sind beispielsweise in hohem Maße davon abhängig, dass ihre Informations- und Kommunikationstechnik korrekt funktioniert“, schreibt das Bundesamt für die Sicherheit in der Informationstechnik (BSI) auf seiner Internetpräsenz. Die Folgen können umfangreich sein: Datenverlust, Stillstand von Arbeitsprozessen, Schäden an Hard- und Software…

Notfallpläne sollen helfen, diese und schlimmere Situationen gut zu bewältigen. Aber wie geht man so einen Notfallplan an? Wie sollte er aufgebaut sein?

„IT-Notfallpläne müssen die individuellen Gegebenheiten und potenziellen Störfälle aufnehmen und in Handlungsanweisungen umsetzen“, schildert Henning Weibezahl, IT-Sicherheitsbeauftragter unserer Unternehmensgruppe. „Wer noch keinen IT-Notfallplan angelegt hat, sollte jetzt damit beginnen“, empfiehlt er dringend. Denn tagtäglich ist zu lesen, mit welchen Schwierigkeiten Unternehmen jedweder Art zu kämpfen haben, deren Informationstechnologie auf welche Art und Weise auch immer zusammengebrochen ist. Für manche Branchen verlangt auch der Gesetzgeber entsprechende Vorkehrungen. So müssen Krankenhäuser egal welcher Größe bei der IT-Sicherheit heute einen Sicherheitsstandard aufweisen, der dem entspricht, was große Kliniken beibringen müssen, die zur Kritischen Infrastruktur (Kritis) gezählt werden.


Der Plan: Denkarbeit im Vorfeld der Krise

Ein qualifizierter Notfallplan ist ein umfangreiches Thema, denn er soll die Denkarbeit vorwegnehmen und zusammenfassen, die während des Notfalls nicht geleistet werden kann. Dann muss der Ablauf funktionieren. Auch die Feuerwehr überlegt bei einem Alarm ja nicht erst, welches Fahrzeug gebraucht wird, sondern alarmiert nach klaren, festliegenden Regeln. „Entsprechend sollte ein IT-Notfallplan ebenfalls festhalten, was in den denkbaren unterschiedlichen Szenarien wie von wem getan werden muss“, sagt Henning Weibezahl. Das umfasst alle Hierarchieebenen einer Organisation und erfordert unter anderem die Kontaktdaten aller notwendigen Ansprechpartnerinnen und Ansprechpartner. Der Plan ist damit die Grundlage, um im Notfall Ressourcen freizusetzen, die für die Bewältigung der Lage zusammengezogen werden müssen. Henning Weibezahl: „Damit sind unter Umständen auch Entscheidungen von großer finanzieller Tragweite verbunden. Deshalb müssen von der Geschäftsführung an alle notwendigen Ebenen im Vorfeld eingebunden sein.“


Ansatz Szenariotechnik

An erster Stelle definiert der Plan die unterschiedlichen Krisenstufen. Was ist ein Zwischenfall, der im laufenden Betrieb geklärt wird? Was definiert den Notfall, was die Krise, was die Katastrophe? So kann situationsadäquat vorgegangen werden. „Diagnose kommt vor der Therapie“, vergleicht Henning Weibezahl das Vorgehen. Ein IT-Notfall tritt demnach ein, wenn Prozesse und Ressourcen nicht wie vorgesehen funktionieren und/oder nicht innerhalb der verfügbaren Zeit wiederhergestellt werden können. Denn dann werden zusätzliche Ressourcen benötigt, die aber durchaus je nach Art und Ursache des Ausfalls unterschiedlich zugeschnitten sein können. „Das ist immer sehr individuell zu betrachten“, verweist der IT-Sicherheitsexperte auf die unterschiedlichen Gegebenheiten. Die Szenariotechnik hat sich als ein Ansatz der Notfallplanung bewährt. Szenario für Szenario wird hier festgelegt, was benötigt wird, um die Lage in den Griff zu bekommen – vom Stromausfall über einen Providerausfall bis zum Cyberangriff – um nur einige mögliche Problemthemen zu nennen.

Bei der Herstellung solcher Pläne helfen Fachleute, die auch im Netzwerk unserer Unternehmensgruppe zu finden sind, beispielsweise bei der IT-Sicherheits- und -Management-Beratung HiSolutions AG. Wertvolle Hinweise hält zudem das BSI vor. In Sprache und Stil lassen sich Vorbilder beim Blick über den Tellerrand finden, beispielsweise in den aus der Luftfahrt bekannten Checklisten oder den Einsatz-Anweisungen von Feuerwehr und Technischem Hilfswerk. Dass ein IT-Notfallplan letztlich in mehrfacher Ausfertigung an unterschiedlichen Orten sicher verwahrt werden muss – und zwar auch auf Papier – versteht sich von selbst.


Krisenmanager einbinden

In den aus den Szenarien festliegenden Ablaufplänen wird nicht nur die operative Krisenbewältigung festgelegt, sondern auch geklärt, wer die Krisenkommunikation in welcher Form übernimmt und ob externe Fachleute zu Rate gezogen werden müssen. „Oftmals ist es sehr sinnvoll, externe Krisenmanagerinnen und -manager hinzuziehen, um Emotion aus dem Geschehen zu nehmen und gleichzeitig die Entscheidungshoheit an einer neutralen Stelle zu bündeln, die außerhalb der internen Hierarchien steht“, erläutert Frank Schultz, TÜV-zertifizierter Cyber-Sicherheitsberater und Experte für Cyberversicherungen in unserer Unternehmensgruppe. Diese Krisen-Expertinnen und -Experten müssen im Fall des Falles auf Abruf bereitstehen. Frank Schultz: „Das sollte im Vorfeld vertraglich geregelt sein. Gute Krisenmanager haben eine Reaktionszeit von zehn Minuten nach Eintritt des Notfalls. Das wird man nicht erreichen, wenn man sich nicht vorher bereits kennt und miteinander klare Absprachen getroffen hat.“

Der Vorteil der klaren Aufgabenteilung liegt auf der Hand. Während ein hochspezialisiertes, aber auch hoch beanspruchtes Team mit der operativen Krisenbewältigung befasst ist, schirmen Andere Anfragen und Störungen ab und schaffen so mehr notwendige Ruhe und Zeit zum Arbeiten.


IT-Sicherheit ist ein Prozess

Auch der beste Plan muss seine Praxistauglichkeit unter Beweis stellen. Deshalb raten IT-Sicherheitsmanager wie Henning Weibezahl dazu, einzelne Szenarien immer wieder zu üben und die Leistungsfähigkeit der festgelegten Schritte damit zu erproben. Daraus ergeben sich neue Erkenntnisse, die dann wiederum in die Verbesserung des Notfallplans einfließen. Voraussetzung dafür ist, dass sowohl in der Übung wie auch im Notfall selbst sofort eine Dokumentation der Schritte erfolgt. Nur dann lässt sich auch später noch erkennen, was gut war und was verbessert werden muss. „IT-Sicherheit ist eben kein Ergebnis, sondern ein Prozess“, unterstreicht Frank Schultz.

Schalten wir noch einmal kurz zurück ins Jahr 2006. Während die Stromversorgungsunternehmen nach ihren eigenen Notfallplänen den Elektrizitätsfluss im Netz wiederherstellen und nach gut 40 Minuten wieder Stabilität schaffen (es braucht dafür mehrere Versuche), heißt der Notfallplan für die „Norwegian Pearl“ schlicht: warten. Denn es ist unklar, ob wirklich kein Strom mehr durch die Leitungen fließt. Der Dampfer liegt vor einer Schleuse fest und kehrt schließlich wieder um. Erst am nächsten Tag gelingt die Ausfahrt in die Nordsee.


CHECKLISTE NOTFALLPLAN

Der gute Notfallplan leistet im Vorfeld die Denkarbeit, die im Notfall nicht zu leisten ist.

  • Er definiert die unterschiedlichen Eskalationsstufen und umfasst je nach individuellen Gegebenheiten denkbare Notfall-Szenarien.
  • Der Plan enthält aktuelle Kontaktdaten aller wesentlichen Akteure und benennt, wer für welche Aufgabe zuständig ist.
  • Im Vorfeld ist geklärt, welche externen Hilfen wann zur Verfügung stehen. Auch das benennt der Plan.
  • Die einzelnen Teile des Notfallplans werden immer wieder geprobt, Erkenntnisse fließen in die kontinuierliche Verbesserung ein.
  • Der Plan wird in der Struktur übersichtlich und im Stil so einfach wie möglich gehalten.
  • Der Plan wird an verschiedenen Orten – auch ausgedruckt – sicher verwahrt und ist allen bekannt, die damit arbeiten müssen.