Je digitaler, desto gefährdeter
Die Digitalisierung nimmt Fahrt auf: In zahlreichen Fällen hat die Covid-Pandemie wie ein Katalysator für entsprechende Vorhaben und Projekte gewirkt.
Damit einhergehend steigen auch die Risiken durch Cyber-Bedrohungen – und sie steigen überproportional zum Digitalisierungsgrad aufgrund weiterer Faktoren, welche die Attraktivität des “Geschäfts Cybercrime” zusätzlich steigern. An dieser Stelle sei auf die Lageberichte des BSI verwiesen (Link); die hier geschilderten Entwicklungen zeugen zudem leider von immer noch mangelndem Problembewusstsein.
Vor dem Hintergrund des wachsenden Handlungsbedarfs und unter dem Eindruck von zahlreichen Beispielen erfolgreicher Cyberattacken in der jüngsten Vergangenheit stellen sich viele IT-Verantwortliche die Frage: Wie wappne ich mein Unternehmen für einen Bad/Worst Case und was muss ich beachten ?
Vorbereitung ist das halbe Leben
… wie der Volksmund so schön sagt. Für das Szenario eines Cyberangriffs bedeutet Vorbereitung mehr, nämlich im äußersten Fall das Überleben des Unternehmens.
Disaster Management ist hier das relevante Stichwort, und wesentlicher Bestandteil dessen ist die Planung der Wiederherstellung von Daten und Infrastruktur, neudeutsch Disaster Recovery Planning.
Das Ziel dieser Planung sollte nicht reduziert werden auf Maßnahmen zur Wiederherstellung: Die Bestimmung von Prioritäten, Verantwortlichkeiten und benötigten Ressourcen ist ebenso notwendig zur Definition von belastbaren Recovery-Prozessen. So können, auf Grundlage von spezifischen Recovery-Strategien, Notfallpläne für verschiedene Bereiche, Standorte und Szenarien erstellt werden mit dem Ziel der Schadensminimierung.
Der Weg zum Plan
Das Ziel ist also definiert, nun geht es um den Weg: Woran sollte sich die Erstellung einer Notfallplanung orientieren?
Nachfolgend möchte ich einige Leitplanken aufzeigen, die als Kriterien dienen und – in der entsprechenden Reihenfolge betrachtet – methodische Orientierung bieten können.
Im ersten Schritt ist eine Analyse der Szenarien erforderlich.
Im Rahmen dieser sollten die wahrscheinlichsten Ursachen von Notfällen identifiziert werden. Ein einfaches Beispiel hierfür sind geologische oder geografische Rahmenbedingungen (z.B. durch Erdbeben gefährdete Gebiete), aber auch der Grad der Cyber-Resilienz der Infrastruktur, IT-Sicherheitsbewusstsein der Mitarbeitenden und die individuelle kriminelle Bedrohungslage sollten kalkuliert werden. Hierüber können dann – zu einem gewissen Grand – Eintrittswahrscheinlichkeiten und Szenarien bestimmt werden.
Somit ist der übergroße Begriff “Worst Case” eingedampft auf Notfälle, mit welchen das Unternehmen wahrscheinlich konfrontiert ist, es liegen Indikatoren für Vorhersagbarkeit und Schweregrad vor.
Nun können im nächsten Schritt potenzielle Auswirkungen betrachtet werden. Konkret: Welche Ausfälle können toleriert werden? Als Ergebnis dieser Risikobewertung sollten verkraftbare Ausfallzeiten (Recovery Time Objective, kurz: RTO) und Ausmaße des Datenverlustes (Recovery Point Objective, kurz: RPO) bestimmt worden sein. Sie wissen also im Notfall, was wie schnell wieder hergestellt werden muss, sodass ein signifikanter Schaden vom Unternehmen abgewendet wird.
Mit diesen Ziel-Vorgaben können schließlich kritische Faktoren beleuchtet werden: Sind die vorhandenen personellen Ressourcen ausreichend, um entsprechend auf einen Notfall zu reagieren? Ist die Backup-Strategie angemessen hinsichtlich Dimensionierung und Verfügbarkeit? Kann ggf. schnell genug Hard- und Software wieder beschafft werden? Ist die Bandbreite der Leitungen groß genug, um die definierten Recovery-Ziele zu erreichen?
Jeder weiß, was zu tun ist
Das Ergebnis der oben genannten Analysen und Bewertungen soll zum einen eine managementtaugliche Entscheidungsgrundlage sein, sofern die erarbeitete Recovery-Strategie mit den vorhandenen Ressourcen nicht umsetzbar ist. Zum anderen sind sie Grundlage für die Erarbeitung eines Drehbuchs für den Fall der Fälle.
Selbstredend ist jedes Unternehmen und jede Bedrohungslage zu spezifisch, als dass seriös eine Notfallplan-Blaupause empfohlen werden könnte.
Aber einige, allgemein gültige “Qualitätskriterien” möchte ich hier nennen.
Es sollten alle Ressourcen benannt sein. Dies beinhaltet sowohl Mitarbeitende mit ihren jeweiligen Rollen als auch Tools, sowie eine Liste der betroffenen Hard- und Software, welche die definierten RTOs und RPOs sowie gegenseitige Abhängigkeiten aufführt. Das Kernstück des Plans bilden detaillierte, schrittweise dokumentierte Verfahren zur Wiederherstellung. Hierbei sollten Sie die Dokumentation des Fortschritts für reibungslose Übergaben nicht vergessen (auch der nächste Audit kommt bestimmt) und funktionsfähige Kommunikationswege/-ketten bestimmen.
Und schließlich gibt es einige “Kleinigkeiten” , die man gerne übersieht, wie z.B. nicht (mehr) zugängliche Anmeldeinformationen oder schlicht die Zugänglichkeit des Notfallplans. Deswegen gilt, bei aller Sorgfalt in der Vorbereitung: Übung macht den Meister und Generalproben sind durchaus zielführend – deshalb sind auch Prüfverfahren ein fester Bestandteil eines Notfallplans.
Dies hat die positiven Nebeneffekte, dass auch die Aktualität des Plans verprobt werden kann und er, wie Ihre Infrastruktur auch, die notwendigen Updates erhält – und dass schließlich jeder weiß: Sie haben einen Plan!
Sie sehen Handlungsbedarf bei Ihrer digitalen Widerstandsfähigkeit? Gerne unterstützen wir Sie bei diesem sowie weiteren strategischen und operativen Themen des IT-Managements. Nehmen Sie einfach Kontakt auf – wir freuen uns auf Ihre Fragen.
