Informationen schützen – aber richtig! (Teil II): Dokumentation der IT-Landschaft

Veröffentlicht am 7. April 2011 in der Kategorie IT & Technik von

Themen:

Jeder IT-Spezialist und jeder Unternehmer weiß, wie wichtig eine verständliche und einwandfreie Dokumentation von Prozessen, Verfahren und Systemen für das Unternehmen ist – und doch passiert es immer wieder: IT-Landschaft und -Prozesse werden nur lückenhaft oder überhaupt nicht dokumentiert. Meist lautet die simple, wie paradoxe Erklärung für das Versäumnis Zeitmangel.

Das kann große Probleme nach sich ziehen. Denken Sie zum Beispiel an einen Fall, der häufig eintritt: Ein Rechner ist ausgefallen und alles muss ganz schnell gehen, um Arbeitsausfall zu vermeiden. In kürzester Zeit muss ein neuer, fertig installierter Rechner her. Spätestens dann holt Sie das Versäumnis wieder ein, wenn sich die Beschaffung verzögert, weil niemandem klar ist, wie vorzugehen ist. Besonders kritisch wird das Szenario, wenn die Dokumentation im Kopf einer einzelnen Person „gespeichert“ ist und diese Person das Unternehmen verlässt – vielleicht sogar bewusst abgeworben von einem Mitbewerber.

Nutzen Sie ein Notfallhandbuch

In beiden Fällen ist ein Notfallhandbuch von unschätzbarem Wert. Es vermeidet unnötigen Arbeitsaufwand und verhindert Arbeitsausfall.

Hilfe bei der Umsetzung eines IT- oder Notfallhandbuches gibt es in der „Normenwelt“ zu Genüge. Allerdings existiert derzeit noch kaum ein einheitliches Verständnis von Business-Continuity-Management, Notfallmanagement, IT-Service-Management und Disaster-Recovery. Die Normenwelt entwickelt sich zurzeit in diesem Bereich rasant weiter. In Kürze wird eine international gültige Norm für das Business-Continuity-Management (ISO 22301, im Beuth-Verlag ist derzeit eine Draft-Version erhältlich) bereit stehen.

Abseits der Normenwelt ist es wichtig, wie Sie selbst diese Begriffe in Ihrem Unternehmen definieren und welches Verständnis Ihre Kunden und Partner davon haben. Die folgenden Kurzdefinitionen der unterschiedlichen Begriffe sollen helfen, ein einheitliches Verständnis zu schaffen und die einzelnen Bereiche voneinander abzugrenzen:

Business-Continuity-Management

Business-Continuity-Management (kurz BCM) gewährleistet, dass die Kernfunktionen von Geschäftsprozessen auch im Notfall aufrecht erhalten bleiben. BCM sichert damit das „nackte Überleben“ des Unternehmens. Oft werden für den Fall einer Betriebsunterbrechung kompensierende Maßnahmen definiert, die nur eingeschränkt auf IT zurückgreifen oder manchmal auch ganz auf den IT-Einsatz verzichten.

IT-Service-Continuity-Management

IT-Service-Continuity-Management stellt sicher, dass vitale IT-Services weiter laufen. Mit anderen Worten: ITSCM ist das Business-Continuity von IT-Unternehmen.

Notfallmanagement oder Incident-Management

Notfallmanagement oder Incident-Management fokussiert „alltägliche“ Störungen und Vorfälle im Unternehmen – und geeignete Lösungen. Eine Notfallsituation kann zu einer Betriebsunterbrechung führen, die dann allerdings bewusst in das Business-Continuity-Management eskaliert wird.

Disaster-Recovery

Disaster-Recovery wird häufig als Bestandteil des Notfallmanagements angesehen. Die zentrale Frage dabei: Wie lassen sich Daten oder IT-Systeme „wiederbeleben“? Dazu braucht es umfangreiche Dokumentationen und Ressourcen. Disaster-Recovery kann ein lang andauernder Prozess sein. Deshalb sorgt das Business-Continuity-Management solange dafür, dass die wichtigsten Funktionen erhalten bleiben, bis das Disaster-Recovery abgeschlossen ist.

Ob Sie sich nun auf Normen beziehen oder diese nur als Hilfsmittel nutzen möchten, immer gilt es, die kritischen Geschäftsprozesse Ihres Unternehmens und die dafür erforderlichen Ressourcen genau zu kennen. Diese Kenntnis erlangen Sie, indem Sie ein möglichst breites Spektrum an informationssicherheitsrelevanten Szenarien betrachten, angefangen vom Ausfall einzelner Geräte über Ausfälle der Infrastruktur wie Strom oder Telekommunikation bis hin zum Ausfall des gesamten Rechenzentrums. So gelingt es, Ihre Dokumentation für den Fall der Fälle aufzubauen.

Im BSI-Standard 100-4: Notfallmanagement gibt es im Anhang C einen Vorschlag zur Gliederung eines Notfallhandbuchs. Diese Gliederung kann als grober Leitfaden genutzt werden, muss jedoch individuell an die Bedürfnisse Ihres Unternehmens angepasst werden.

Die IT-Landschaft lückenlos zu dokumentieren, spart Ressourcen – sowohl finanzielle als auch personelle. Beachten Sie insbesondere fünf Punkte:

  • Einrichtung und vor allem Veränderungen an der IT-Landschaft und anderen Ressourcen sofort dokumentieren
  • Verantwortliche ernennen (kein Notfallplan ohne Verantwortlichen dafür)
  • Genug Zeit investieren, damit die Dokumentation verständlich und leicht nachvollziehbar ist
  • Mitarbeiter sensibilisieren, die Dokumentation stets aktuell zu halten
  • Üben, üben, üben – Testen Sie Ihre Notfallplanung und werten Sie die Ergebnisse aus: Hätte im Ernstfall alles geklappt?

Weitere Artikel dieser Serie:

Informationen schützen – aber richtig! (Teil I): Sicherheit im Web 2.0
Informationen schützen – aber richtig! (Teil III): Wirtschaftsspionage
Informationen schützen - aber richtig! (Teil IV): Datensicherheit beim Dialogmarketing
Informationen schützen – aber richtig! (Teil V): Die Organisation

(Bild: © Laurent Renault – Fotolia.com)