Eine IT-Notfallplanung gehört für Unternehmen spätestens seit dem Inkrafttreten des neuen IT-Sicherheitsgesetzes am 25.06.2015 zu einem vorgeschriebenen Baustein der IT-Sicherheit. Mit der Software INDART von Contechnet lassen sich die gesetzlichen Anforderungen optimal und rechtssicher abdecken. Trans4mation bietet jetzt als Premium-Partner von Contechnet den vollen Service bei Beratung, Vertrieb, Training und Support von INDART.
Das IT-Sicherheitsgesetz wurde vor eine halben Jahr auf den Weg gebracht und wird nun aktuell per Rechtsverordnung umgesetzt. Doch wer ist überhaupt von diesem Gesetz betroffen? Einen umfassenden Überblick wer, wann und unter welchen Bedingungen meldepflichtig wird, liefert ein Heise Online Artikel von Detlef Borchers vom 08.02.2016. Demnach ist jede Firma, jede Anlage und jede öffentliche Institution (z.B. Gemeinden), die mehr als 500.000 Datensätze verarbeitet oder von der mehr als 500.000 Bürger abhängig sind, gesetzlich dazu verpflichtet ein nach ISO-27001 zertifiziertes und dem BSI-Grundschutz-Standard entsprechendes Sicherheitskonzept vorzuweisen. Ein Baustein eines solchen Sicherheitskonzepts ist die IT-Notfallplanung, bei der es darum geht geeignete Maßnahmen zu treffen, um im „Worst Case“ sowohl Daten schützen bzw. wiederherstellen zu können, als auch den grundlegenden Betrieb abzusichern. Wenn wir betrachten in welchen Umfang wir heute von IT-Infrastrukturen abhängig sind und wie stark die Bedrohungsszenarien mittlerweile zugenommen haben, sind diese Anforderungen mehr als verständlich.
Vom Notfall nicht in die Krise geraten
Bei der typischen Klassifikation von Bedrohungen nach dem Verständnis des BSI-Standards 100-4 sprechen wir in aufsteigender Reihenfolge von Störungen, Notfällen, Krisen und Katastrophen. Während einfache Störungen nur durch den kurzzeitigen Ausfall von Prozessen oder Ressourcen mit geringem Schaden gekennzeichnet sind, versteht man unter Notfällen schon länger andauernde Ausfälle mit hohem bis sehr hohem Schaden. Natürlich soll die Eskalation zur nächsthöheren Stufe „Krise“ unbedingt vermieden werden. Denn als solche werden bereits stark verschärfte Notfälle verstanden, die entweder die Existenz der betreffenden Institution und/oder das Leben bzw. die Gesundheit von Menschen bedrohen. Ein Beispiel wäre hier z. B. der vollständige Verlust des Rechenzentrums eines Krankenhauses nach einem Feuer – klar, dass das nie passieren darf. Aus diesem Grund sollte ein explizites Notfallmanagement so aufgebaut werden, dass im Fall der Fälle (z. B. bei Nichtverfügbarkeit von Mitarbeitern) auch externe Dritte anhand des Plans alle nötigen Systeme wieder zum Laufen bringen können. Weiterhin kann der Geschäftsführung dann berichtet werden, wie lang es dauern und was es kosten würde eine echte Krise abzuwenden. Die Managementebene des Unternehmens kennt also jederzeit den Budgetrahmen für einen gewissen Grundschutz.
Eine gute Planung ist alles
Das typische Vorgehen bei der Erstellung des Plans ist zunächst die Analyse und Inventarisierung aller bestehenden Assets und Systeme im Unternehmen. Welches sind die kritischsten Komponenten, welche Abhängigkeiten bestehen unter ihnen und wie lange dauert im Notfall eine Wiederherstellung – mit und ohne verfügbarem Backup? Wenn sich einzelne Assets ändern oder neue hinzukommen, ändert sich natürlich auch das Notfallmanagement. Die Listen müssen also immer synchron zum Status des Livesystems gehalten werden. Zu einer guten Notfallplanung gehört auch die physische Separierung und Unabhängigkeit des Notfallsystems vom Livesystem. Ein häufig gemachter Fehler ist es, den erarbeiteten Plan im eigenen Produktivsystem zu hinterlegen. Das bringt im Ernstfall natürlich nichts, da man möglicherweise keinen Zugriff auf das Filesystem hat. Deswegen ist es üblich, sein Notfallmanagement auf einer mobilen, virtuellen Maschine (z. B. in einem Hyper-V OS auf einem Laptop) einsatzbereit zu halten. Außerdem sollte diese Umgebung unabhängig von äußeren Infrastrukturen (Strom, Internet, Gebäude etc.) sein. Nur so wird sichergestellt, dass man sicher und ortsunabhängig weiterarbeiten kann.
Trans4mation empfiehlt INDART
Für unsere Kunden haben wir nach einer Lösung gesucht mit welcher der andauernde Prozess der Notfallplanung so effizient wie möglich, aber auch sicherheits- und gesetzeskonform umgesetzt werden kann. Insgesamt wurden 10 verschiedene Anbieter vom BSI (Bundesministerium für Sicherheit und Informationstechnik) für den deutschen Markt zertifiziert. Unser Auswahlverfahren führte uns zum Angebot von Contechnet. INDART halten wir für die beste Lösung die derzeit am Markt verfügbar ist. INDART hilft beim Aufbau und der Verwaltung bzw. Aktualisierung des Notfallmanagements – ganz ohne den Einsatz von schwer zu handhabenden Excel-Listen und einer Flut von Word-Dokumenten. Außerdem lassen sich durch zwei weitere Add-ons Audits nach ISO 27001 und BSI-Grundschutzstandards durchführen. Wir freuen uns, dass Trans4mation nun Premium-Partner von Contechnet geworden ist. Speziell für Sachsen sind wir damit das einzige IT Unternehmen, das die INDART-Software vertreibt, zur Einführung berät bzw. trainiert und professionellen Support leistet. Selbstverständlich sind unsere qualifizierten Consultants aber auch bundesweit für unsere Kunden verfügbar.
Downloads, Quellen und weiterführende Links
Broschüre INDART Professional (PDF Firmenwebsite CONTECHNET IT Sicherheitsgesetz im Detail auf technically.legal Erläuterung der Meldepflicht nach neuem IT Sicherheitsgesetzt auf Heise Online
Visits: 20
