IT-Notfallplanung

Die IT-Notfallplanung umfasst alle Massnahmen und Vorbereitungen, die getroffen werden, um im Falle eines aussergewöhnlichen Ereignisses, das zu erheblichen Störungen in der Nutzung der Infrastruktur der Informations- und Kommunikationstechnologie eines Unternehmens oder einer Organisation führt, angemessen reagieren zu können. Eine Reaktion ist dann angemessen, wenn Sie erlaubt in geordneter, planvoller Weise Massnahmen zu ergreifen, die die für die Erreichung der Geschäftsziele (enger gefasst, die die für die Erfüllung der operativen Vorgaben an den Informatikbetrieb) unabdingbaren IT-Systeme innert der erforderlichen Frist nach einer Störung (wieder) zur Verfügung stellt. Hierzu gehören nicht nur klar definierte Prozesse für die Störungs- und Problembehebung (Incident und Problem Management) für den Regelbetrieb (s. auch IT-Management) und Ihre Schnittstelle zur Ausnahmehandhabung bzw. Eskalation in der Notfallsituation, sondern auch die ggf. notwendige Bereitstellung von Ersatzsystemen.

In einem weiteren Sinne kann Notfallmanagement auch auf das gesamte Unternehmen bzw. die gesamte Organisation bezogen werden. In jedem Fall, sollte die Notfallplanung für die Informations- und Kommunikationstechnologie in die Notfallplanung des Unternehmens (z.B. bezüglich Gebäude bzw. Räumlichkeiten) eingebettet sein und auf die Geschäftsfortführungsplanung (Business Continuity Plan) und damit auf die Geschäftsziele ausgerichtet sein.

Warum IT-Notfallplanung?

Die meisten Organisationen sind in hohem Masse von der Informationstechnik abhängig. Diese Abhängigkeit beginnt bereits bei der Telefoninfrastruktur und beihaltet in der Regel Mitarbeiterarbeitsplätze sowie Dateiserver. Häufig werden darüber hinaus auch noch auch Datenbanksysteme genutzt. Viele Organisationen benötigen ständig einen unmittelbaren Zugriff auf diese Systeme. Wenn solche Systeme geschäftskritische Prozesse unterstützen, z.B. Logistik oder Fertigung, dann hat die Unterbrechung dieser Prozesse in der Regel unmittelbar negative finanzielle Folgen für die Organisation. Bestehen darüber hinaus gesetzliche oder regulatorische Aufzeichnungsflichten, so können Ausfälle auch zu straf- oder zivilrechtlichen Konsequenzen für das Management führen.

Ein unzureichende oder fehlende IT-Notfallplanung kann somit aufgrund langer Prozessausfallzeiten leicht zu einer Bedrohung des Fortbestands der Organisation werden.

Unsere Dienstleistungen

Häufig steht am Anfang der Nofallvorsorge zunächst die Planung und Vorbereitung der Fortführung der Geschäftstätigkeit des Unternehmens oder der Organisation (Business Continuity ManagementBCP). Hierauf wird die Notfallvorsorge der Informatik ausgerichtet und aufgebaut. Damit ist sichergestellt, dass die IT-Notfallplanung sich an den geschäftlichen Erfordernissen orientiert.

Unter gewissen Umständen kann es jedoch auch sinnvoll sein, die IT-Notfallplanung unabhängig von der Geschäftsfortführungsplanung ("Business Continuity") zu erstellen. In diesem Fall ist es notwendig, zunächst die Auswirkungen der einzelnen Komponenten der im Unternehmen eingesetzten Informations- und Kommunikationstechnologie auf die Geschäftsprozesse bzw., umgekehrt gesagt, deren Abhängigkeit von den Systemen zu erfassen und zu bewerten.

Am Anfang unserer Arbeiten steht damit in jedem Fall die Identifikation der Abhängigkeiten zwischen Prozessen und IT. In der Regel erfolgt eine solche Analyse in Form eines Business Impact Assessments (BIA).

Im nächsten Schritt werden einerseits die bestehenden Massnahmen seitens der IT-Organisation erhoben und andererseits technische Restriktionen im Rahmen einer Analyse ermittelt. Oftmals fehlen in Unternehmen die hierfür erforderlichen Richtlinien und Vorgaben, sodass diese zunächst erstellt werden müssen. Welchen Umfang diese Regelwerke annehmen, richtet sich ausschliesslich nach den Bedürfnissen des Unternehmens hinsichtlich Formalisierung und Regelungsdichte.

Aus dieser Analyse und den erforderlichen Regeln ergibt sich das Notfallhandbuch der Organisation.

Aufbauend hierauf wird der konkrete Handlungsbedarf identifiziert und mit Prioritäten versehen sowie ein konkreter Zeitplan für die Umsetzung erstellt.

Die Umsetzung der Massnahmen erfolgt im allgemeinen im Rahmen eines Projektes, das sich wiederum in die Erarbeitung der organisatorischen Vorgaben und die konkrete Implementierung unterteilt. Im Rahmen der Implementierung erfolgt auch die Schulung der Mitarbeiter. Weiterhin sollte nach Abschluss der Implementierung eine erste Notfallübung durchgeführt werden. Diese Übung wird gezielt beobachtet. Die Erkenntnisse hieraus helfen, die Notfallplanung in einem ersten Revisionszyklus zu optimieren.

Die Notfallplanung muss regelmässig getestet und bei Bedarf angepasst werden. Welche Periodizität für Ihr Unternehmen geeignet ist, erarbeiten wir mit Ihnen im Rahmen der Erstellung des Notfallhandbuchs.

Ihr Nutzen

Mit einer geeigneten Notfallplanung bereiten Sie sich gezielt auf mögliche unvorhergesehene, grössere Ereignisse, die die Nutzung Ihrer IT-Systeme einschränken oder unmöglich machen, vor. Durch die klare Planung und Priorsierung ist allen beteiligten in einer Ausnahmesituation klar, was wer tun muss, um den möglichen Schaden gering zu halten. Sie gewinnen einerseits Zeit und andererseits den nötigen Freiraum, um mit der Situation professionell umgehen zu können und die nicht planbaren Teile der Behebung gezielt angehen zu können.