Business Continuity Management | Betriebliches Kontinuitätsmanagement | IT-Notfallmanagement | BSI Standard 200-4 / ISO 22301

IT-Notfallmanagement
Business Continuity Management

Wir unterstützen Sie bei der konzeptionellen, technischen und organisatorischen Ausgestaltung der Informationssicherheit. Maßgeschneidert auf Ihre Bedürfnisse.

Das Business Continuity Management ist ein wichtiger Bestandteil der IT-Notfallvorsorge- und Reaktionsplanung eines jeden Unternehmens. Es liegt in der Verantwortung der IT-Leitung, Strategien, Pläne und Maßnahmen zu entwickeln (oder entwickeln zu lassen), um Aktivitäten oder Prozesse zu schützen, die im Falle einer Unterbrechung zu schweren Schäden oder verheerenden Verlusten für das Unternehmen führen würden.

Wenn Sie Hilfe bei der Identifizierung und Verbesserung Ihrer geschäftskritischen Systeme und Prozesse suchen, sind wir der perfekte Partner für Sie. Gemeinsam mit Ihnen definieren wir ein Ziel und begleiten Sie anschließend bei der Umsetzung einzelner oder ganzheitlicher Maßnahmen, um eine optimale und kontinuierliche Verfügbarkeit für Ihr Unternehmen zu gewährleisten.

Was ist betriebliches Kontinuitätsmanagement?

Business Continuity Management (zu Deutsch Betriebliches Kontinuitätsmanagement oder auch Notfallmanagement genannt) bezeichnet die Entwicklung von Strategien, Plänen und Handlungen, um betriebsinterne Tätigkeiten oder Prozesse zu schützen bzw. im Ernstfall alternative Abläufe zu ermöglichen. Diese Form der IT-Security umfasst die Bereiche der Notfallvorsorge mit Präventivmaßnahmen zur Vermeidung von Notfällen und Krisen sowie die Planung der Notfallbewältigung mit der Wiederherstellung von Geschäftsprozessen und Systemen.

Neben Business Continuity- / Notfallmanagement gibt es auch IT-Notfallmanagement und (IT-) Krisenmanagement sowie weitere Teildisziplinen. In Notfällen, welche keinen IT-Notfall umfassen (z.B. Gebäudeschaden durch Brand oder Wasser, etc.), koordiniert das Betriebliche Kontinuitätsmanagement bzw. der Notfallbeauftragte die Notfallbewältigung.

Unser IT-Notfallmanagement umfasst das Managen jener Risiken, die gravierende Auswirkungen auf die Verfügbarkeit der IT-Dienstleistungen haben können. Wir stellen sicher, dass Ihre IT auch im Falle außergewöhnlicher Ereignisse die in den Prioritäten vereinbarten Serviceanforderungen bereitstellen kann. Dafür realisieren wir in Absprache mit Ihnen risikomindernde Maßnahmen sowie eine gezielte Wiederherstellungsplanung für Ihre IT- Dienstleistungen.

Mit IT-Notfallmanagement vom Experten die eigene IT-Sicherheit erhöhen

Ziel unseres Business Continuity-/IT-Notfallmanagements ist es, die Widerstandsfähigkeit von einzelnen Systemelementen oder ganzen Infrastrukturen gegenüber schädigenden Einflüssen und Ereignissen zu erhöhen. Darüber hinaus sollen Risiken im Bereich Datenschutz einfacher identifiziert und gesteuert werden.

Die 4 wichtigsten Standards für das Kontinuitätsmanagement
ISO/IEC 27031
NIST Special Publication 800-34
ISO 22301
(BSI) 200-4 Notfallmanagement

Bei der Bedrohung der Informationssicherheit werden die Schadensereignisse in fünf Kategorien klassifiziert:

  • Störung: Ist eine Situation, in der Prozesse oder Ressourcen einer Organisation nicht wie vorgesehen funktionieren. Die dadurch entstehenden Schäden sind als gering einzustufen
  • Sicherheitsvorfall: Kann sich stark auf eine Institution auswirken und große Schäden nach sich ziehen. Solche Vorfälle sind bspw. Fehlkonfigurationen oder kriminelle Handlungen, wie das Hacking von Servern, der Diebstahl von vertraulichen Informationen oder Sabotage.
  • Notfall: Bezeichnet ein Schadensereignis, bei dem Prozesse oder Ressourcen einer Organisation nicht wie vorgesehen funktionieren. Der Geschäftsbetrieb ist stark beeinträchtigt.
  • Krise: Ein Schadensereignis, das die Existenz der Organisation oder das Leben und die Gesundheit von Personen gefährdet.
  • Katastrophe: Beschreibt ein Großschadensereignis, das zeitlich und örtlich kaum begrenzbar ist und großflächige Auswirkungen auf Menschen, Werte und Sachen haben kann.

Die Abweichung der Betriebskontinuität kann direkte und indirekte Ursachen haben:

Direkte Ursachen für IT-Bedrohungen
Organisatorische Mängel
Veraltete Produktionstechnologie
Führungsmängel / Unerfahrenheit
Ausfall der Informations- / Kommunikationstechnik
Stromausfall
Feuer / Wasser
Terrorismus/Kriminalität
Naturkatastrophen
Indirekte Ursachen für IT-Bedrohungen
Verstöße gegen regulatorische Anforderungen
Streiks
Steigende Rohstoffpreise
Wechselkursänderungen
Ausfall von Lieferanten
Politische/soziale Instabilität

So läuft ein gut funktionierendes IT-Notfallmanagement ab

Damit die IT-Notfallorganisation (BCM) koordiniert und strukturiert abläuft, müssen feste Rollen definiert werden - jeweils für die proaktive Notfallvorsorge und für die reaktive Notfallbewältigung.

Die Gesamtverantwortung für die Notfallvorsorge übernimmt grundsätzlich die Organisationsleitung und das Entscheidungsgremium für die Notfallbewältigung. Sämtliche Umsetzungsvorhaben sind durch den Notfallbeauftragten präventiv zu steuern. Der Notfallstab steuert die Umsetzungsvorhaben im Falle einer Notfallbewältigung. Die lokale Steuerung in den Fachbereichen gestalten die Notfallkoordinatoren und der Leiter des Notfallteams im Falle eines Notfalls. Sämtliche Umsetzungstätigkeiten werden präventiv vom Notfallvorsorgeteam und reaktiv vom Notfallteam durchgeführt.

Aufgaben und Verantwortung des Notfallkoordinators

Der Koordinator des IT-Notfallmanagements steuert alle Aktivitäten rund um die IT-Notfallvorsorge und wirkt bei den damit verbundenen Aufgaben mit. Er ist für die Erstellung, Umsetzung, Pflege und Betreuung des IT-Notfallmanagements und der zugehörigen Dokumente und Regelungen zuständig. Er plant im Rahmen des IT-Notfallmanagements Maßnahmen zur Erfüllung der IT-Notfallmanagement-Ziele, ermittelt die für die kritischen Geschäftsprozesse notwendigen IT-Dienstleistungen (Services) und erstellt und pflegt Dienst- sowie Arbeitsanweisungen für das IT-Notfallmanagement.

Zudem steuert der Notfallkoordinator in Abstimmung mit der IT-Leitung die Bereitstellung der Ressourcen für die Mitarbeitergruppen, die im Rahmen der IT-Notfallvorsorge-Planung sowie bei der IT- Notfallbewältigung mitwirken. Er ist verantwortlich für die Planung und Koordination von Schulungen und sensibilisiert so alle internen Mitarbeiter für das IT-Notfallmanagement.

Das IT-Notfallhandbuch (einschließlich der IT-Notfall- / Wiederanlaufpläne) wird ebenfalls vom Notfallkoordinator erstellt und regelmäßig aktualisiert. Er überprüft die Umsetzung der IT-Notfallmanagement-Maßnahmen, plant und leitet IT-Notfallübungen und stimmt die Planung mit der IT-Leitung ab. Der Notfallkoordinator ist auch an der Fortschreibung des IT-Sicherheitskonzeptes beteiligt und stellt dadurch die Anliegen des IT-Notfallmanagements sicher.

Darüber hinaus analysiert er nach T-Notfallübungen oder eingetretenen IT-Notfällen den Gesamtablauf der IT-Notfallmanagement- Maßnahmen, verfasst entsprechende Berichte, wertet diese aus und legt sie für das IT-Notfallmanagement ab.

Aufgaben und Verantwortung des Notfallteams

Das Notfallteam berät die Notfallkoordinatoren zu speziellen Themen oder setzt die Vorgaben und Maßnahmen der strategischen IT-Notfallvorsorge-Planung um. Gegebenenfalls nehmen die Teammotglieder auch an der Vorbereitung, Durchführung und Nacharbeitung von Tests und Übungen teil.

Der operative Teil der IT-Notfallbewältigung wird durch verschiedene Notfallteams geleistet. Diese sind für den Wiederanlauf bzw. die Wiederherstellung von Geschäftsprozessen, Anwendungen oder Systemen zuständig. Die IT-Notfallteams sind im Rahmen der IT- Notfallbewältigung ausschließlich gegenüber dem IT-Notfallstab bzw. den IT-Notfallkoordinatoren weisungsgebunden.

Die IT-Notfallkoordinatoren leiten ihr jeweiliges Notfallteam und sind während der IT-Notfallbewältigung gegenüber dem Notfallbeauftragten in regelmäßigen Abständen berichtspflichtig. Sie sammeln die Informationen vor Ort, leiten diese an den Notfallkoordinator weiter und kontrollieren die Umsetzung der angeordneten Maßnahmen vor Ort.

So wird das IT-Notfallmanagement qualitätsgeprüft

Um die Effizienz und Effektivität des IT-Notfallmanagements gewährleisten zu können, sind Kennzahlen unabdinglich.

Typische Key Goal Indicators (KGI)
Anzahl der Prozessänderungen, die durch das BCM initiiert wurden
Gesamtanzahl der Business-Impact-Analyse (BIA) Bögen
Anzahl der ermittelten kritischen Geschäftsprozesse
Anzahl der durchgeführten Notfallübungen

Neben den KGIs sind insbesondere zwei Formeln der Key Performance Indicator (KPI) essenziell. Den KPI der durchgeführten Übungen erhält man durch die Division aus der Anzahl der durchgeführten IT-Notfallübungen und der planmäßigen Anzahl der durchzuführenden Übungen.

Ein weiterer wichtiger KPI ist die Aktualität der BCM-Pläne. Dieser erschließt sich aus der Division von der Menge durchgeführter Aktualisierungen pro Jahr und der Soll-Anzahl der periodischen Aktualisierungen pro Jahr.

Das erhalten Sie nach einem erfolgreichen Business Continuity Management vom Experten

Typische Übergabeobjekte im IT-Notfallmanagement sind im Wesentlichen die geforderten Dokumente aus dem BSI Standard 100-4 die Leitlinie zum Notfallmanagement (gegebenenfalls als Richtlinie im ISMS):

  • das Notfallvorsorgekonzept
  • die Business Impact Analyse (BIA)
  • die Risikoanalyse
  • das Notfallhandbuch

Außerdem werden ein Übungshandbuch, ein Übungsplan, Übungskonzepte und -protokolle sowie ein Schulungs- und Sensibilisierungskonzept für Ihr Unternehmen erstellt. Als Nachweisdokumente oder Entscheidungsgrundlagen dienen zusätzlich Berichte, Protokolle und weitere Aufnahmehilfen.

Durch die bereitgestellten Notfallpläne erhalten Sie zudem konkrete Handlungsanweisungen mit dem Ziel, mögliche Ausfallzeiten Ihrer IT-Systeme und IT-Anwendungen zu minimieren, damit im Störungsfall der Regelbetrieb zeitnah wieder aufgenommen werden kann.

Cyber Curriculum® sorgt für optimale IT-Security - auch im Notfall!

Sie sind auf das Funktionieren einzelner Systemkomponenten oder ganzer Infrastrukturen angewiesen, denn Ihre Kunden erwarten einen Rund-um-die-Uhr-Service? Mit unseren Konzepten und Fachkenntnissen erreichen Sie genau das Level an Verfügbarkeit und Sicherheit, das Sie benötigen!

Wir von Cyber Curriculum® sind die Experten für Business Continuity und Krisen- und Notfallmanagement und entwickeln gemeinsam mit Ihnen Notfallkonzepte zur Wiederherstellung Ihres Geschäftsbetriebs und geben Ihnen Expertentipps, wie Sie in Ihrem Unternehmen für kontinuierliche IT-Security sorgen.

Fragen Sie uns jetzt an und wir beraten Sie persönlich zu einem Business Continuity Management, welches exakt zu Ihren Bedürfnissen und Ihrem Budget passt!

Icon
Zertifizierte Expertise in IT-Sicherheit

Wir setzen zertifizierte IT-Experten für Ihre Datensicherheit ein, die mit allen Themenbereichen vertraut sind.

Icon
Security Services für KMU und Großkonzerne

Zu unseren zufriedenen Kunden zählen Unternehmen jeder Größe und aus vielen Branchen.

Icon
Vorbereitung zur Zertifizierung nach BSI IT-Grundschutz

Unsere erfahrenen Berater unterstützen Sie dabei, die Auditierung nach BSI-Grundschutz vorzubereiten.

Icon
Prozessbegleitung

Datensicherheit ist ein stetig andauernder Prozess, bei dessen Steuerung und Überwachung wir Sie gern unterstützen.

Icon
Persönliche Betreuung in ganz Deutschland

Von unserem Headquarter in Berlin aus beraten wir unsere Kunden bundesweit, ob virtuell oder live vor Ort.

Icon
Breite Partner-Allianz für Cybersicherheit

Wir sind Partner der Allianz für Cyber-Sicherheit (ACS), Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands e. V. sowie im Bundesverband IT-Mittelstand e. V. (BITMi).