MENU

IT-Notfallmanagement nach BSI und ISO

Zur Themenwelt Informationssicherheit
  1. Bildung
  2. Wissen kompakt
  3. Informationssicherheit
  4. IT-Notfallmanagement nach BSI und ISO

Beitrag vom 20.08.2020

Notfallmanagement – darum ist es so wichtig für Unternehmen

Die Corona-Pandemie hat es eindrucksvoll gezeigt: Unternehmen müssen ihre Informationen nicht nur vor Cyberkriminalität wie zum Beispiel Hackerangriffen schützen, sondern brauchen auch einen IT-Notfallplan. Nur so können sie ihr Überleben während und nach der Krise sicherstellen – und möglichst gut oder im Idealfall sogar fast ohne Einschränkung weiter operieren.

Insbesondere im produzierenden Gewerbe ist das IT-gestützte Notfallmanagement von jeher ein großes Thema, für kritische Infrastrukturen ist es sogar vorgeschrieben. Aber auch immer mehr andere Branchen und Behörden erkennen heute, wie wichtig es ist, in Krisenzeiten weiter arbeiten zu können – nicht zuletzt, weil die Gesellschaft es von ihnen fordert.

Definition Notfallmanagement

Das Notfallmanagement ist ein Teil der Informationssicherheitsstrategie. Es soll kritische Geschäftsprozesse bei Notfällen aufrechterhalten oder wiederherstellen. „Ausgangspunkt ist die Überlegung, was man als Unternehmen zum Überleben braucht“, sagt Prof. Christoph Thiel, Informationssicherheitsexperte an der FH Bielefeld. Das kann zum Beispiel ein Hauptkunde sein, auf den man sich im Notfall konzentriert. Im nächsten Schritt leitet man im Rahmen einer Business Impact Analyse sowie einer Risikoanalyse her, unter welchen zeitlichen Rahmenbedingungen welche Ressourcen wieder zur Verfügung stehen müssen – etwa ein Rechenzentrum nach einem Brand.

Zu einem wirksamen Notfallmanagement gehören abteilungs- und aufgabenübergreifende Maßnahmen, die

  • technische
  • organisatorische
  • personelle und
  • infrastrukturelle

Aspekte berücksichtigen. Verschiedene Standards enthalten Empfehlungen, wie man die einzelnen Aspekte erfasst und welche Rollen dafür benötigt werden. Und sie unterstützen dabei, im Rahmen eines IT-Sicherheitskonzeptes vorbeugende Maßnahmen festzulegen und umzusetzen. Dies kann zum Beispiel der Abschluss eines Vertrages mit einem Dienstleister sein, der im Notfall einspringt, oder der Bau eines zweiten Produktionsgebäudes. Auch das Festlegen und Proben von Prozessen sowie das Erstellen eines Notfallhandbuches gehören dazu.

Notfallmanagement: BSI 100-4 und DIN ISO 22301

Es gibt verschiedene Standards für das Notfallmanagement. Einer davon ist der BSI 100-4, daneben gibt es zum Beispiel auch die DIN ISO 22301. Der BSI-Standard gilt jedoch als sehr ausgereift und bietet für das Notfallmanagement viele gute Hilfsmittel und Beispiele. Dadurch eignet er sich auch für Unternehmen, die sonst nicht nach dem BSI-Standard für den IT-Grundschutz vorgehen.

Derzeit gültig ist die Ausgabe BSI 100-4. Sie wird bald abgelöst vom BSI 200-4. Dieser neue Standard wird zwar nicht mehr „Notfallmanagement“ heißen, sondern „Business Continuity Management“. Doch das Thema bleibt dasselbe: Wie können Unternehmen sich darauf vorbereiten, Krisensituationen zu überstehen?

Im Grunde brauchen alle Unternehmen ein IT-Notfallmanagement, die Notfälle überleben wollen oder müssen

Prof. Christoph Thiel

Diese Unternehmen brauchen ein Notfallmanagement

„Im Grunde brauchen alle Unternehmen ein IT-Notfallmanagement, die Notfälle überleben wollen oder müssen“, sagt Professor Thiel. Natürlich sei es legitim, wenn zum Beispiel ein Start-up sich die Kosten dafür spart und in Kauf nimmt, dass es im Notfall dann eben nicht weiter existieren kann. Doch bei größeren Unternehmen, bei kritischen Infrastrukturen und Organisationen mit gesellschaftlicher Verantwortung, wie zum Beispiel Behörden, ist ein Notfallmanagement im Bereich der Informationssicherheit Pflicht.

Qualifiziertes Personal für ein wirksames Notfallmanagement

Geschulte Fachleute stellen nicht nur die Wirksamkeit des Notfallmanagements eines Unternehmens sicher, sondern sind auch hilfreich für dessen Zertifizierung gemäß BSI:

  • Generell ist die Geschäftsleitung für das Notfallmanagement verantwortlich, entscheidet über die dafür zur Verfügung stehenden Ressourcen und gibt die Strategie vor.
  • Ein Notfallbeauftragter, auch Notfallmanager genannt, stellt dann einzelne themenbezogene Teams zusammen. Sie unterstützen ihn individuell bei den verschiedenen Aspekten des Sicherheitskonzeptes.
  • Der Notfallbeauftragte kann in Personalunion der IT-Sicherheitsbeauftragte, der CISO oder auch ein IT-Grundschutz-Praktiker sein.
  • Die Funktion kann aber auch mit einer zusätzlichen Vollzeitstelle besetzt sein.

Eine ehrliche Bewertung dessen, was man zum Überleben braucht, … stellt für viele Unternehmen eine große Hürde dar

Thiel

Was sind die größten Herausforderungen im Notfallmanagement?

„Eine ehrliche Bewertung dessen, was man zum Überleben braucht, und das Dokumentieren der Entscheidungen, die man trifft, stellen für viele Unternehmen eine große Hürde da“, weiß Professor Thiel. Doch genau dies kann wesentlich sein für das Überleben eines Notfalles: „Wenn ein Unternehmen aus Kostengründen auf den Bau eines Ausweich-Rechenzentrums verzichtet, sollte es dies genau dokumentieren“, empfiehlt Prof. Thiel. „Wenn dann im Notfall ein Kunde klagt, weil er nicht bedient werden kann, hat man eine saubere Begründung.“

Solche Bewertungen und Dokumentationen sind aufwändig, gefragt sind eigens dafür qualifizierte Experten. „Unternehmen, die das Thema einfach jemandem aufs Auge drücken, verlieren“, sagt Prof. Thiel. Denn das Notfallmanagement ist extrem vielseitig mit seinen technischen, organisatorischen, personellen und infrastrukturellen Aspekten. Gefragt sind neben einem hohen technischen Verständnis auch starke Führungsqualitäten – und der Wille zur permanenten Weiterbildung. Prof. Thiel: „Wer das mitbringt, kann sich hier richtig austoben.“

Hat Ihnen der Artikel gefallen?

Entdecken Sie jetzt unsere Themenwelten! Hier finden Sie spannende Fachbeiträge, Experteninterviews und vieles mehr. 

Das könnte Sie auch interessieren:

Alle unsere Themenwelten im Überblick finden Sie in Wissen kompakt.

Unsere Empfehlungen für Sie

Seminar/Webinar

Information Security Officer - ISO (TÜV)

Lernen Sie die Rolle des ISO´s im Betrieb und Erfolgsfaktoren für ein Informationsmanagementsystem kennen.
Zu den Veranstaltungen
Seminar

Chief Information Security Officer - CISO (TÜV)

Sie erhalten einen fundierten Überblick über die Standards zur Informationssicherheit, um taktische und operative Entscheidungen zu treffen.
Zum Seminar
Seminar

IT-Grundschutz-Praktiker (TÜV)

Erfüllt Anforderungen der BSI-Basisschulung. In täglicher Anwendung schafft BSI-Standard 200x Sicherheit und Zuverlässigkeit bei der Verarbeitung von Informationen und Daten.
Zum Seminar

Sprechen Sie mich gerne an

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und IT
Am Technologiepark 1, 45307 Essen

+49 201 31955-42
Fax : +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen