IT-Notfall­management &
Business Continuity Management

Business Continuity Management | Betriebliches Kontinuitätsmanagement | IT-Notfallmanagement | BSI Standard 200-4 / ISO 22301

Was es genau mit dieser Leistung auf sich hat, erklären wir Ihnen …

Business Continuity Management (BCM) stellt einen entscheidenden Aspekt der IT-Notfallvorsorge und Reaktionsplanung eines jeden Unternehmens dar. Die IT-Leitung ist dafür verantwortlich, Strategien, Pläne und Maßnahmen zu entwickeln oder entwickeln zu lassen, die darauf abzielen, kritische Aktivitäten oder Prozesse zu schützen. Diese Maßnahmen sind unerlässlich, um im Falle einer Unterbrechung schwerwiegende Schäden oder verheerende Verluste für das Unternehmen zu verhindern.

Falls Sie Unterstützung bei der Identifizierung und Verbesserung Ihrer geschäftskritischen Systeme und Abläufe benötigen, sind wir der ideale Partner für Sie. In enger Zusammenarbeit mit Ihnen setzen wir klare Ziele und begleiten Sie bei der Umsetzung einzelner oder ganzheitlicher Maßnahmen, um eine optimale und kontinuierliche Verfügbarkeit für Ihr Unternehmen sicherzustellen.

Was ist betriebliches
Kontinuitäts­management?

Business Continuity Management (BCM), auch als Betriebliches Kontinuitätsmanagement oder Notfallmanagement bezeichnet, konzentriert sich auf die Entwicklung von Strategien, Plänen und Maßnahmen, um betriebsinterne Aktivitäten und Prozesse zu schützen und im Ernstfall alternative Abläufe zu ermöglichen. Dieser Bereich der IT-Sicherheit umfasst die Notfallvorsorge, die präventive Maßnahmen zur Vermeidung von Notfällen und Krisen umfasst, sowie die Planung der Notfallbewältigung, einschließlich der Wiederherstellung von Geschäftsprozessen und Systemen.

Zusätzlich zum Business Continuity- bzw. Notfallmanagement existieren auch das IT-Notfallmanagement und das (IT-) Krisenmanagement sowie andere spezielle Teildisziplinen. Im Falle von Notfällen, die nicht ausschließlich IT-bezogen sind (wie beispielsweise Gebäudeschäden durch Feuer oder Wasser), übernimmt das betriebliche Kontinuitätsmanagement oder der Notfallbeauftragte die Koordination der Notfallbewältigung.

Unser IT-Notfallmanagement konzentriert sich auf die Verwaltung von Risiken, die erhebliche Auswirkungen auf die Verfügbarkeit von IT-Dienstleistungen haben können. Wir stellen sicher, dass Ihre IT auch bei außergewöhnlichen Ereignissen die im Voraus festgelegten Serviceanforderungen erfüllen kann. Dies erreichen wir durch die Umsetzung von gemeinsam abgestimmten risikomindernden Maßnahmen sowie die Entwicklung eines gezielten Wiederherstellungsplans für Ihre IT-Dienstleistungen.

Mit IT-Notfallmanagement vom Experten
die eigene IT-Sicherheit erhöhen

Ziel unseres Business Continuity- / IT-Notfallmanagements ist es, die Widerstandsfähigkeit von einzelnen Systemelementen oder ganzen Infrastrukturen gegenüber schädigenden Einflüssen und Ereignissen zu erhöhen. Darüber hinaus sollen Risiken im Bereich Datenschutz einfacher identifiziert und gesteuert werden.

Die wichtigsten Standards für das Kontinuitätsmanagement

  • NIST Special Publication 800-34

  • (BSI) 200-4 Notfallmanagement

  • ISO/IEC 27031

Bei der Bedrohung der Informationssicherheit werden die Schadensereignisse
in fünf Kategorien klassifiziert:

Störung: 

Eine Situation, in der Prozesse oder Ressourcen einer Organisation nicht wie vorgesehen funktionieren. Die dadurch entstehenden Schäden sind als gering einzustufen.

Sicherheitsvorfall: 

Kann sich stark auf eine Institution auswirken und große Schäden mit sich ziehen. Solche Vorfälle sind bspw. Fehlkonfigurationen oder kriminelle Handlungen, wie das Hacking von Servern, der Diebstahl von vertraulichen Informationen oder Sabotage.

Notfall: 

Ein Schadensereignis, bei dem Prozesse oder Ressourcen einer Organisation nicht wie vorgesehen funktionieren. Der Geschäftsbetrieb wird hier stark beeinträchtigt.

Krise: 

Ein Schadensereignis, das die Existenz der Organisation oder das Leben und die Gesundheit von Personen gefährdet.

Katastrophe: 

Beschreibt ein Großschadensereignis, das zeitlich und örtlich kaum begrenzbar ist und großflächige Auswirkungen auf Menschen, Werte und Gegenstände haben kann.

Störung:
Eine Situation, in der Prozesse oder Ressourcen einer Organisation nicht wie vorgesehen funktionieren. Die dadurch entstehenden Schäden sind als gering einzustufen.

Sicherheitsvorfall: 

Kann sich stark auf eine Institution auswirken und große Schäden mit sich ziehen. Solche Vorfälle sind bspw. Fehlkonfigurationen oder kriminelle Handlungen, wie das Hacking von Servern, der Diebstahl von vertraulichen Informationen oder Sabotage.

Notfall: 

Ein Schadensereignis, bei dem Prozesse oder Ressourcen einer Organisation nicht wie vorgesehen funktionieren. Der Geschäftsbetrieb wird hier stark beeinträchtigt.

Krise:
Ein Schadensereignis, das die Existenz der Organisation oder das Leben und die Gesundheit von Personen gefährdet.

Katastrophe: 

Beschreibt ein Großschadensereignis, das zeitlich und örtlich kaum begrenzbar ist und großflächige Auswirkungen auf Menschen, Werte und Gegenstände haben kann.

Ursachen einer Abweichung der Betriebskontinuität

Ursachen einer Abweichung der Betriebskontinuität können vielfältig sein und reichen von Naturkatastrophen und technischen Ausfällen bis hin zu menschlichem Versagen und Cyberangriffen. Diese Abweichungen können erhebliche Auswirkungen auf die Geschäftsabläufe haben. Daher ist es entscheidend, robuste Business Continuity Management (BCM)-Pläne zu entwickeln und zu implementieren, um die Geschäftskontinuität sicherzustellen und auf unvorhergesehene Ereignisse angemessen reagieren zu können.

Direkte Ursachen für IT-Bedrohungen

Die direkten Ursachen für IT-Bedrohungen können vielfältig sein:

  • Organisatorische Mängel

  • Veraltete Produktionstechnologie

  • Führungsmängel / Unerfahrenheit

  • Ausfall der Informations- / Kommunikationstechnik

  • Stromausfall

  • Feuer / Wasser

  • Terrorismus/Kriminalität

  • Naturkatastrophen

Indirekte Ursachen für IT Bedrohungen

Auch gibt es eine Vielzahl von indirekten Ursachen für IT-Bedrohungen:

  • Verstöße gegen regulatorische Anforderungen

  • Streiks

  • Steigende Rohstoffpreise

  • Wechselkursänderungen

  • Ausfall von Lieferanten

  • Politische / soziale Instabilität

Was passiert im notfall?

Notfallerkennung

Hierbei kommen oft Überwachungs- und Frühwarnsysteme zum Einsatz, die auf verschiedene Arten von Notfällen reagieren können, sei es ein Serverausfall, ein Sicherheitsvorfall oder eine Naturkatastrophe.

Notfallberater
reagiert

Ein Notfallberater ist darauf spezialisiert, in Notsituationen umgehend Maßnahmen zu ergreifen, um Schäden zu minimieren und die Geschäftskontinuität sicherzustellen.

Notfall wird 
gelöst

Die effiziente Lösung eines Notfalls erfordert eine gut durchdachte Notfallplanung, klare Kommunikation und die Mobilisierung von Ressourcen, um die Herausforderungen zu bewältigen.

So läuft ein gut funktionierendes IT-Notfallmanagement ab

Damit die IT-Notfallorganisation (BCM) koordiniert und strukturiert abläuft, müssen feste Rollen definiert werden – jeweils für die proaktive Notfallvorsorge und für die reaktive Notfallbewältigung.

Die Gesamtverantwortung für die Notfallvorsorge übernimmt grundsätzlich die Organisationsleitung und das Entscheidungsgremium für die Notfallbewältigung. Sämtliche Umsetzungsvorhaben sind durch den Notfallbeauftragten präventiv zu steuern. Der Notfallstab steuert die Umsetzungsvorhaben im Falle einer Notfallbewältigung. Die lokale Steuerung in den Fachbereichen gestalten die Notfallkoordinatoren und der Leiter des Notfallteams im Falle eines Notfalls. Sämtliche Umsetzungstätigkeiten werden präventiv vom Notfallvorsorgeteam und reaktiv vom Notfallteam durchgeführt.

Verantwortlichkeiten und Verpflichtungen

Aufgaben und Verantwortung des Notfallkoordinators

Der Koordinator des IT-Notfallmanagements steuert alle Aktivitäten rund um die IT-Notfallvorsorge und wirkt bei den damit verbundenen Aufgaben mit. Er ist für die Erstellung, Umsetzung, Pflege und Betreuung des IT-Notfallmanagements und der zugehörigen Dokumente und Regelungen zuständig. Er plant im Rahmen des IT-Notfallmanagements Maßnahmen zur Erfüllung der IT-Notfallmanagement-Ziele, ermittelt die für die kritischen Geschäftsprozesse notwendigen IT-Dienstleistungen (Services) und erstellt und pflegt Dienst- sowie Arbeitsanweisungen für das IT-Notfallmanagement.

Zudem steuert der Notfallkoordinator in Abstimmung mit der IT-Leitung die Bereitstellung der Ressourcen für die Mitarbeitergruppen, die im Rahmen der IT-Notfallvorsorge-Planung sowie bei der IT- Notfallbewältigung mitwirken. Er ist verantwortlich für die Planung und Koordination von Schulungen und sensibilisiert so alle internen Mitarbeiter für das IT-Notfallmanagement.

Das IT-Notfallhandbuch (einschließlich der IT-Notfall- / Wiederanlaufpläne) wird ebenfalls vom Notfallkoordinator erstellt und regelmäßig aktualisiert. Er überprüft die Umsetzung der IT-Notfallmanagement-Maßnahmen, plant und leitet IT-Notfallübungen und stimmt die Planung mit der IT-Leitung ab. Der Notfallkoordinator ist auch an der Fortschreibung des IT-Sicherheitskonzeptes beteiligt und stellt dadurch die Anliegen des IT-Notfallmanagements sicher.

Darüber hinaus analysiert er nach IT-Notfallübungen oder eingetretenen IT-Notfällen den Gesamtablauf der IT-Notfallmanagement- Maßnahmen, verfasst entsprechende Berichte, wertet diese aus und legt sie für das IT-Notfallmanagement ab.

Aufgaben und Verantwortung des Notfallteams

Das Notfallteam berät die Notfallkoordinatoren zu speziellen Themen oder setzt die Vorgaben und Maßnahmen der strategischen IT-Notfallvorsorge-Planung um. Gegebenenfalls nehmen die Teammitglieder auch an der Vorbereitung, Durchführung und Nacharbeitung von Tests und Übungen teil.

Der operative Teil der IT-Notfallbewältigung wird durch verschiedene Notfallteams geleistet. Diese sind für den Wiederanlauf bzw. die Wiederherstellung von Geschäftsprozessen, Anwendungen oder Systemen zuständig. Die IT-Notfallteams sind im Rahmen der IT- Notfallbewältigung ausschließlich gegenüber dem IT-Notfallstab bzw. den IT-Notfallkoordinatoren weisungsgebunden.

Die IT-Notfallkoordinatoren leiten ihr jeweiliges Notfallteam und sind während der IT-Notfallbewältigung gegenüber dem Notfallbeauftragten in regelmäßigen Abständen berichtspflichtig. Sie sammeln die Informationen vor Ort, leiten diese an den Notfallkoordinator weiter und kontrollieren die Umsetzung der angeordneten Maßnahmen vor Ort.

So wird das IT-Notfallmanagement qualitätsgeprüft

Um die Effizienz und Effektivität des IT-Notfallmanagements gewährleisten zu können, sind Kennzahlen unabdinglich.

Typische Key Goal Indicators (KGI)

  • NIST Special Publication 800-34

  • BSI 200-4 Notfallmanagement

  • ISO/IEC 27031

Das Notfallteam berät die Notfallkoordinatoren zu speziellen Themen oder setzt die Vorgaben und Maßnahmen der strategischen IT-Notfallvorsorge-Planung um. Gegebenenfalls nehmen die Teammitglieder auch an der Vorbereitung, Durchführung und Nacharbeitung von Tests und Übungen teil.

Der operative Teil der IT-Notfallbewältigung wird durch verschiedene Notfallteams geleistet. Diese sind für den Wiederanlauf bzw. die Wiederherstellung von Geschäftsprozessen, Anwendungen oder Systemen zuständig. Die IT-Notfallteams sind im Rahmen der IT- Notfallbewältigung ausschließlich gegenüber dem IT-Notfallstab bzw. den IT-Notfallkoordinatoren weisungsgebunden.

Die IT-Notfallkoordinatoren leiten ihr jeweiliges Notfallteam und sind während der IT-Notfallbewältigung gegenüber dem Notfallbeauftragten in regelmäßigen Abständen berichtspflichtig. Sie sammeln die Informationen vor Ort, leiten diese an den Notfallkoordinator weiter und kontrollieren die Umsetzung der angeordneten Maßnahmen vor Ort.

Das erhalten Sie nach einem erfolgreichen Business Continuity Management vom Experten

Typische Übergabeobjekte im IT-Notfallmanagement sind im Wesentlichen die geforderten Dokumente aus dem BSI Standard 100-4 die Leitlinie zum Notfallmanagement (gegebenenfalls als Richtlinie im ISMS):

  • Das Notfallvorsorgekonzept
  • Die Business Impact Analyse (BIA)
  • Die Risikoanalyse
  • Das Notfallhandbuch

Außerdem werden ein Übungshandbuch, ein Übungsplan, Übungskonzepte und -protokolle sowie ein Schulungs- und Sensibilisierungskonzept für Ihr Unternehmen erstellt. Als Nachweisdokumente oder Entscheidungsgrundlagen dienen zusätzlich Berichte, Protokolle und weitere Aufnahmehilfen.

Durch die bereitgestellten Notfallpläne erhalten Sie zudem konkrete Handlungsanweisungen mit dem Ziel, mögliche Ausfallzeiten Ihrer IT-Systeme und IT-Anwendungen zu minimieren, damit im Störungsfall der Regelbetrieb zeitnah wieder aufgenommen werden kann.

Typische Übergabeobjekte im IT-Notfallmanagement sind im Wesentlichen die geforderten Dokumente aus dem BSI Standard 100-4 die Leitlinie zum Notfallmanagement (gegebenenfalls als Richtlinie im ISMS):

  • das Notfallvorsorgekonzept
  • die Business Impact Analyse (BIA)
  • die Risikoanalyse
  • das Notfallhandbuch

Außerdem werden ein Übungshandbuch, ein Übungsplan, Übungskonzepte und -protokolle sowie ein Schulungs- und Sensibilisierungskonzept für Ihr Unternehmen erstellt. Als Nachweisdokumente oder Entscheidungsgrundlagen dienen zusätzlich Berichte, Protokolle und weitere Aufnahmehilfen.

Durch die bereitgestellten Notfallpläne erhalten Sie zudem konkrete Handlungsanweisungen mit dem Ziel, mögliche Ausfallzeiten Ihrer IT-Systeme und IT-Anwendungen zu minimieren, damit im Störungsfall der Regelbetrieb zeitnah wieder aufgenommen werden kann.

Cyber Curriculum® sorgt für optimale IT-Security – auch im Notfall!

Sie sind auf das Funktionieren einzelner Systemkomponenten oder ganzer Infrastrukturen angewiesen, denn Ihre Kunden erwarten einen Rund-um-die-Uhr-Service? Mit unseren Konzepten und Fachkenntnissen erreichen Sie genau das Level an Verfügbarkeit und Sicherheit, das Sie benötigen!

Wir von Cyber Curriculum® sind die Experten für Business Continuity und Krisen- und Notfallmanagement und entwickeln gemeinsam mit Ihnen Notfallkonzepte zur Wiederherstellung Ihres Geschäftsbetriebs und geben Ihnen Expertentipps, wie Sie in Ihrem Unternehmen für kontinuierliche IT-Security sorgen.

Fragen Sie uns jetzt an und wir beraten Sie persönlich zu einem Business Continuity Management, welches exakt zu Ihren Bedürfnissen und Ihrem Budget passt!

Persönliche Betreuung
in ganz Deutschland

Von unserem Headquarter in Berlin aus beraten wir unsere Kunden bundesweit, ob virtuell oder live vor Ort.

Security Services für KMU
und Großkonzerne

Zu unseren zufriedenen Kunden zählen Unternehmen jeder Größe aus verschiedenen Branchen.

Zertifizierte Expertise
in IT-Sicherheit

Wir setzen zertifizierte IT-Experten für Ihre Datensicherheit ein, die mit allen Themenbereichen vertraut sind.

Haben wir Ihr Interesse geweckt?

Sind Sie bereit, Ihre
Organisation abzusichern?

Benötigen Sie ein unverbindliches Angebot oder weitere Informationen?
Dann schreiben Sie uns oder buchen Sie sich einen unverbindlichen Beratungstermin.
Erstgespräch vereinbaren