Zum Inhalt springen

Informationssicherheit

IT-Notfallmanagement nach BSI und ISO

Ein IT-Notfallplan kann über das Überleben eines Unternehmens entscheiden. Wie Sie sich gut auf Krisen vorbereiten, lesen Sie hier.

Zum Blog Wissen kompakt
Zwei IT-Fachkräfte analysieren Sicherheitsvorfälle an Monitoren in einem abgedunkelten Büro.
18. Juli 2022

Notfallmanagement – darum ist es so wichtig für Unternehmen

Die Corona-Pandemie hat es eindrucksvoll gezeigt: Unternehmen müssen ihre Informationen nicht nur vor Cyberkriminalität wie zum Beispiel Hackerangriffen schützen, sondern brauchen auch einen IT-Notfallplan. Nur so können sie ihr Überleben während und nach der Krise sicherstellen – und möglichst gut oder im Idealfall sogar fast ohne Einschränkung weiter operieren.

Insbesondere im produzierenden Gewerbe ist das IT-gestützte Notfallmanagement von jeher ein großes Thema, für kritische Infrastrukturen ist es sogar vorgeschrieben. Aber auch immer mehr andere Branchen und Behörden erkennen heute, wie wichtig es ist, in Krisenzeiten weiter arbeiten zu können – nicht zuletzt, weil die Gesellschaft es von ihnen fordert.

Maßnahmenkatalog zum Notfallmanagement

Der Maßnahmenkatalog bietet kleinen und mittleren Unternehmen praxisorientierte Handlungsempfehlungen für IT-Notfälle.
Jetzt informieren!

Notfallkarte: Verhalten bei IT-Notfällen

Die IT-Notfallkarte bietet Beschäftigten wichtige Verhaltenshinweise bei IT-Notfällen.
Jetzt informieren!

Definition Notfallmanagement

Das Notfallmanagement ist ein Teil der Informationssicherheitsstrategie. Es soll kritische Geschäftsprozesse bei Notfällen aufrechterhalten oder wiederherstellen. „Ausgangspunkt ist die Überlegung, was man als Unternehmen zum Überleben braucht“, sagt Prof. Dr. Christoph Thiel, Informationssicherheitsexperte an der FH Bielefeld. Das kann zum Beispiel ein Hauptkunde sein, auf den man sich im Notfall konzentriert. Im nächsten Schritt leitet man im Rahmen einer Business Impact Analyse sowie einer Risikoanalyse her, unter welchen zeitlichen Rahmenbedingungen welche Ressourcen wieder zur Verfügung stehen müssen – etwa ein Rechenzentrum nach einem Brand.

Zu einem wirksamen Notfallmanagement gehören abteilungs- und aufgabenübergreifende Maßnahmen, die die folgenden Aspekte berücksichtigen:

  1. Technisch
  2. Personell
  3. Organisatorisch
  4. Infrastrukturell

Verschiedene Standards enthalten Empfehlungen, wie man die einzelnen Aspekte erfasst und welche Rollen dafür benötigt werden. Und sie unterstützen dabei, im Rahmen eines IT-Sicherheitskonzeptes vorbeugende Maßnahmen festzulegen und umzusetzen. Dies kann zum Beispiel der Abschluss eines Vertrages mit einem Dienstleister sein, der im Notfall einspringt, oder der Bau eines zweiten Produktionsgebäudes. Auch das Festlegen und Proben von Prozessen sowie das Erstellen eines Notfallhandbuches gehören dazu.

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

Vielfalt

Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.

Flexibilität

Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.

Qualität

Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Notfallmanagement: BSI 200-4 und DIN ISO 22301

Es gibt verschiedene Standards für das Notfallmanagement. Einer davon ist der derzeitig noch gültige BSI-Standard 100-4, daneben gibt es zum Beispiel auch die DIN ISO 22301. Der BSI-Standard gilt jedoch als sehr ausgereift und bietet für das Notfallmanagement viele gute Hilfsmittel und Beispiele. Dadurch eignet er sich auch für Unternehmen, die sonst nicht nach dem BSI-Standard für den IT-Grundschutz vorgehen.

Die Community Draft 2.0, also die zweite Vorversion zum BSI-Standard 200-4, soll im Sommer 2022 bekannt gegeben werden. Die Veröffentlichung des finalen Standards erfolgt nach der Einbeziehung der Rückmeldungen zur Vorversion. Dieser modernisierte Standard heißt nicht mehr „Notfallmanagement“ heißen, sondern „Business Continuity Management“. Doch das Thema bleibt dasselbe: Wie können Unternehmen sich darauf vorbereiten, Krisensituationen zu überstehen?

Diese Unternehmen brauchen ein Notfallmanagement

„Im Grunde brauchen alle Unternehmen, die Notfälle überleben wollen oder müssen, ein IT-Notfallmanagement.“, sagt Professor Dr. Thiel. Natürlich sei es legitim, wenn zum Beispiel ein Start-up sich die Kosten dafür spart und in Kauf nimmt, dass es im Notfall dann eben nicht weiter existieren kann. Doch bei größeren Unternehmen, bei kritischen Infrastrukturen und Organisationen mit gesellschaftlicher Verantwortung, wie zum Beispiel Behörden, ist ein Notfallmanagement im Bereich der Informationssicherheit Pflicht.

Qualifiziertes Personal für ein wirksames Notfallmanagement

Geschulte Fachleute stellen nicht nur die Wirksamkeit des Notfallmanagements eines Unternehmens sicher, sondern sind auch hilfreich für dessen Zertifizierung gemäß BSI:

  • Generell ist die Geschäftsleitung für das Notfallmanagement verantwortlich, entscheidet über die dafür zur Verfügung stehenden Ressourcen und gibt die Strategie vor.
  • Ein Notfallbeauftragter, auch Notfallmanager genannt, stellt dann einzelne themenbezogene Teams zusammen. Sie unterstützen ihn individuell bei den verschiedenen Aspekten des Sicherheitskonzeptes.
  • Der Notfallbeauftragte kann in Personalunion der IT-Sicherheitsbeauftragte, der CISO oder auch ein IT-Grundschutz-Praktiker sein.
  • Die Funktion kann aber auch mit einer zusätzlichen Vollzeitstelle besetzt sein.

Was sind die größten Herausforderungen im Notfallmanagement?

„Eine ehrliche Bewertung dessen, was man zum Überleben braucht, und das Dokumentieren der Entscheidungen, die man trifft, stellen für viele Unternehmen eine große Hürde da“, weiß Professor Dr. Thiel. Doch genau dies kann wesentlich sein für das Überleben eines Notfalles: „Wenn ein Unternehmen aus Kostengründen auf den Bau eines Ausweich-Rechenzentrums verzichtet, sollte es dies genau dokumentieren“, empfiehlt Prof. Dr. Thiel. „Wenn dann im Notfall ein Kunde klagt, weil er nicht bedient werden kann, hat man eine saubere Begründung.“

Solche Bewertungen und Dokumentationen sind aufwändig gefragt sind eigens dafür qualifizierte Experten. „Unternehmen, die das Thema einfach jemandem aufs Auge drücken, verlieren“, sagt Prof. Dr. Thiel. Denn das Notfallmanagement ist extrem vielseitig mit seinen technischen, organisatorischen, personellen und infrastrukturellen Aspekten. Gefragt sind neben einem hohen technischen Verständnis auch starke Führungsqualitäten – und der Wille zur permanenten Weiterbildung. Prof. Dr. Thiel: „Wer das mitbringt, kann sich hier richtig austoben.“

Unsere Seminar-Empfehlungen für Sie

Seminar & Webinar

BCM-Praktiker (TÜV)

In dieser Schulung lernen Sie die wesentlichen Aufgaben eines BCM-Praktikers (auch Business Continuity Manager, Business Continuity Management Beauftragter oder auch IT-Notfallbeauftragter genannt) kennen.
Zu den Veranstaltungen
Seminar & Webinar

Security Incident Manager (TÜV)

Im diesem Seminar bauen Sie Wissen über Cyberangriffe und dem damit verbundenen Vorfallmanagement/ Incident Response Management auf. Der hohe Praxisbezug, die vielfältigen Aufgaben sowie der aktive Austausch mit weiteren Teilnehmenden geben Ihnen die Möglichkeit, Ihre eigenen Pläne zu ergänzen bzw. zu vervollständigen.
Zu den Veranstaltungen
Webinar

Vorfall-Experte (BSI)

Sie erwerben das nötige Wissen, um als Vorfall-Experte zu arbeiten und sich beim BSI zertifizieren zu lassen. Mit der Teilnahme an unserem Webinar erfüllen Sie die Anforderungen, um an der Prüfung zum Vorfall-Experten beim BSI teilzunehmen.
Zum Webinar

Weitere Artikel lesen

Zwei Geschäftsleute diskutieren vor einem Laptop mit Datenschutz-Warnsymbol auf dem Bildschirm.
Informationssicherheit & Cyber-Security

Business Continuity Management

Auf Notfälle gut vorbereitet – mit einem Business Continuity Management laufen wichtige Geschäftsprozesse im Unternehmen weiter.
Zum Artikel
IT-Spezialist arbeitet mit Laptop im Serverraum und prüft Netzwerksysteme
Informationssicherheit & Cyber-Security

Informationssicherheit: Rollen, Aufgaben

Relevante Rollen und Aufgaben der Informationssicherheit für Ihr Unternehmen
Zum Artikel
IT-Spezialist arbeitet mit Laptop in einem modernen, blau beleuchteten Serverraum.
Informationssicherheit & Cyber-Security

IT-Grundschutz-Kompendium des BSI

Die Grundlagen des modernisierten IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik stellen wir Ihnen hier vor.
Zum Artikel
Zwei IT-Fachkräfte prüfen mit Laptop und Klemmbrett Server in einem Rechenzentrum.
Informationssicherheit & Cyber-Security

NIS2-Richtlinie: Übersicht

Wer ist von NIS2 betroffen? Lesen Sie hier mehr zu den wichtigsten Änderungen in der Richtlinie sowie neuen Risiken und Bedrohungen.
Zum Artikel
Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Alle Themen von Wissen kompakt finden Sie hier im Überblick

Ihre Ansprechpartnerin

Anna-Lena Bartsch

TÜV NORD Akademie GmbH & Co. KG
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-41 / abartsch@tuev-nord.de