IT-Notfallmanagement weist vielfach noch große Defizite auf

Viele Unternehmen sind nach den Beobachtungen des Beratungshauses mikado ag nur unzureichend auf IT-Notfälle vorbereitet. Seinen Analysen zufolge bestehen oft vielfältige Schwächen, die im Problemfall erhebliche Auswirkungen auf die Geschäftstätigkeit haben können. Sie können vor allem in Unternehmensverhältnissen mit einer hohen Komplexität der Geschäftsprozesse und großen Abhängigkeit von der Informationstechnik entstehen. Zu typischen Notfallsituationen gehören beispielsweise gravierende IT-Schäden, Feuer oder der plötzliche Ausfall wichtiger IT-Provider.

„Im Bewusstsein vieler und selbst großer IT-Organisationen kommen weitreichende Notfälle praktisch nicht vor, dementsprechend ist auch kein angemessenes IT-Notfallmanagement implementiert", beschreibt Robert Hellwig, Security-Analyst bei mikado, das Problem. Die Aufgabe des Business Continuity Managements (BCM) besteht einerseits darin, durch Präventivmaßnahmen eine umfassende Notfallvorsorge zu treffen und andererseits durch definierte Vorgehensweisen die Wiederherstellung von Geschäftsprozessen, Anwendungen und Systemen sicherzustellen.

Zu den hauptsächlichen Schwächen in der Praxis gehört, dass es an einer vorgeschalteten Business Impact Analyse (BIA) mangelt. Sie identifiziert die Kernprozesse einschließlich der dazu gehörigen Infrastrukturen und Anwendungssysteme, um die Auswirkungen technischer Ausfälle auf die Geschäftsprozesse zu ermitteln und darauf bezogene Vorsorgemaßnahmen zu konzipieren bzw. Wiederherstellungsmaßnahmen zu definieren. Auch fehlt es häufig an ausreichend differenzierten und aktuellen Notfallhandbüchern. In ihnen werden die Verfahren und Rollen für alle vorstellbaren technischen Ausfälle beschrieben, außerdem enthalten sie konkrete Wiederanlaufpläne. Noch seltener sind Alert-Systeme, die im Falle eines Problems automatisch den betreffenden Notfallprozess in seiner aktuellen Version auslösen. Aber auch die Zusammensetzung der Notfallteams und des Krisenstabs für solche Situationen ist vielfach nicht genau festgelegt oder ist ohne klar definierte Verantwortlichkeitsverhältnisse.

„Zahlreiche Unternehmen glauben, allein durch technische Maßnahmen, wie redundante Systeme, Notstromversorgungen oder eine zweiten Rechenzentrumsstandort, auftretende Notfälle absichern zu können. Doch erst durch die passende Organisation und eine durchgängige Systematik gewinnt ein IT-Notfallmanagement die erforderliche Wirksamkeit", betont Hellwig. Er empfiehlt deshalb eine konsequente Orientierung an Standards, wie ihn etwa der ISO/IEC 27002 oder der BSI IT-Grundschutz 100-4 bieten. Zudem weist er darauf hin, dass durch Nutzung moderner Methoden eine schlankere Realisierung solcher Projekte einschließlich der Auswahl bedarfsgerechter Tools möglich ist. So setzt mikado ihre Best Practice Guideline „miLEAN" ein, um Lösungen für das Notfallmanagement effizienter umzusetzen. „Dies gewährleistet einen spürbar geringeren Aufwand", erläutert Hellwig den Nutzen.