Skip to main content
SpringerLink
Log in

Geschäftskontinuitäts-Management und IT-Notfall-Planung

  • Chapter
  • First Online:
IT-Risikomanagement mit System

Part of the book series: Edition <kes> ((EDKES))

Überblick

Plötzlich eingetretene Ereignisse können Schäden für einen Teil des Unternehmens aber auch für ein ganzes Unternehmen nach sich ziehen. Plötzlich erkennbare Gefahren und Schwachstellen können aber auch die Vorboten grosser Schäden sein, wenn sie nicht sofort und adäquat behandelt werden. Ausgehend von Erläuterungen über den Erhalt von Unternehmenszielen durch ein gutes Geschäfts-Kontinuitätsmanagement und eine IT-Notfallplanung, werden in diesem Kapitel einige wichtigen „Pläne“ zum Erhalt dieser Ziele aufgezeigt. Die ganzheitliche Sicht auf die Behandlung von Schadensfolgen, nach eingetretenen Ereignissen, wird durch ein Geschäfts-Kontinuitätsmanagement, als wichtige Massnahme innerhalb eines übergeordneten Unternehmens-Risikomanagements, gezeigt. Im Rahmen dieses Buches gehört zu den in das Geschäfts-Kontinuitätsmanagement zu integrierenden Pläne vor allem der IT-Notfallplan, der zusammen mit einem für die Informationssicherheits-Ereignisse wichtigen Incident-Management und Vulnerability-Management in wesentlichen Zügen erläutert wird. Aus der Unterscheidung von „Events“ und „Incidents“ in der Informationssicherheit wird klar, dass gerade bei den heute für viele Unternehmen sehr gefährlichen Cyber-Bedrohungen umfangreiche Massnahmen der Prävention (z. B. im Rahmen eines Vulnerability Managements) erforderlich sind, um grosse Schadensereignisse und deren Eskalation abzuwenden oder einzudämmen. Als solche grossen Schadensereignisse gelten nicht alleine die Unterbrechungen von Geschäftsprozessen, sondern auch Beschädigungen von Geschäftsinformationen oder Abflüsse von vertraulichen Geschäftsinformationen. Der Rahmen eines Kontinuitäts-Management-Systems, der früher ausschliesslich den „Unterbrechungsereignissen“ gewidmet war, wird heute meist sinnvollerweise auf die „plötzlich erkennbaren Ereignisse“, die Schäden nach sich ziehen können, erweitert.

This is a preview of subscription content, log in via an institution to check access.

Access this chapter

Log in via an institution
Chapter
USD 29.95
Price excludes VAT (USA)
  • Available as PDF
  • Read on any device
  • Instant download
  • Own it forever
eBook
USD 69.99
Price excludes VAT (USA)
  • Available as EPUB and PDF
  • Read on any device
  • Instant download
  • Own it forever

Tax calculation will be finalised at checkout

Purchases are for personal use only

Institutional subscriptions

Notes

  1. 1.

    Im Unterschied zum zuvor erwähnten Plan für die Geschäftskontinuität werden mit diesem Plan lediglich die wichtigsten Betriebsfunktionen eines Unternehmens (z. B. eines Hauptsitzes) sichergestellt. Gemäss dem „Federal Preparedness Circular, FPC 65“ muss jede Regierungsstelle in den USA einen solchen Plan eingerichtet haben.

  2. 2.

    Ausführliche Planungshilfen können dem NIST-Dokument „Contingency Planning Guide for Federal Information Technology Systems“ entnommen werden [Nisc10].

  3. 3.

    Die direkten Supportsysteme unterstützen in Form von Geschäftsapplikationen direkt einen Geschäftsprozess. Die indirekten Supportsysteme (z. B. Büro-Automation, Administration, Buchhaltung, Dokumentenarchivierung) unterstützen mit entsprechenden Applikationen alle Prozesse einschliesslich der direkten Support-Prozesse. Ebenfalls dient die IT-Infrastruktur (z. B. Server, Speichereinheiten, Informationennetze) sowohl den direkten als auch den indirekten Supportprozessen.

  4. 4.

    Der englische Business Continuity Standard BS 25999–2:2007 [Busp07] definiert ein „incident“ als „situation that might be, or could lead to, a business disruption, loss, emergency or crisis.“

  5. 5.

    Der Standard ISO 22301:2012 wird im Folgenden in wesentlichen Punkten weitgehend inhaltsgetreu wiedergegeben. Für eine Zertifizierung ist jedoch die Genauigkeit des Originalstandards massgebend. Zusätzlich zu den Erfordernissen des Standards werden nützliche anwendungsspezifische Details aus den Erfahrungen des Autors, der Standards BS 25999-x, ([Buco06] [Busp07]), dem Handbuch HB 221:2004 ([Anhb04]), sowie dem Standard ISO 22313:2012 (BCMS-Guidance [Isog12]) in die Ausführungen einbezogen.

  6. 6.

    BIA = Business Impact Analyse.

  7. 7.

    Commitment: In den ISO-Standards häufig anzutreffender Begriff mit der Bedeutung „Selbstverpflichtung“ oder „freiwillige Bindung“.

  8. 8.

    Interessierte Kreise sind die Anspruchsgruppen des Unternehmens.

  9. 9.

    Nach dieser Zeit ist die Kontinuität in einem allfälligen Notbetrieb hergestellt. Diese Dauer muss unter der MTPD-Zeit liegen. Das Ziel wird auch als „RTO = Recovery Time Objective“ bezeichnet. Diese Dauer muss unter der MTPD-Zeit liegen.

  10. 10.

    Nach dieser Zeit wird aus dem Notbetrieb wieder in den Normalbetrieb zurückgekehrt.

  11. 11.

    Die minimal notwendige Notbetriebsdauer muss so bemessen sein, dass der Wiederanlauf in der vorgesehenen Leistungsfähigkeit bis zur Wiederherstellung der Prozesse für den Normalbetrieb gewährleistet ist; (Beispiel: Kraftstoffvorrat für Notstromdiesel bis zur Wiederherstellung der normalen Stromversorgung).

  12. 12.

    Die maximal tolerierbare Notbetriebsdauer gibt die Zeit an, nach der spätestens in den Normalbetrieb zurückgekehrt sein muss, z. B. aufgrund von negativen Nebeneffekten des Notbetriebs.

  13. 13.

    MTPD = MAO (Maximum Acceptable Outage).

  14. 14.

    Entsprechend der Organisationsstruktur des Unternehmens können für verschieden Problemkategorien verschiedene Gremien definiert sein, die hierarchisch aufeinander abgestimmt und geführt werden. Es können auch dieselben Gremien entsprechend der Führungsanforderungen personell modifiziert werden.

  15. 15.

    Der Begriff „Notfall “ wird oft auch für die Eskalationsstufen „Krise“ und „Katastrophe“ verwendet.

  16. 16.

    „Vorbehaltene Entscheide“ gelangen zur Ausführung, sobald die im Notfallplan vorgesehenen Bedingungen erfüllt sind. Ein vorbehaltener Entscheid kann beispielsweise lauten, dass nach vergeblichen Reparatur- und Restart-Versuchen von x Stunden ohne weitere Rückfragen die Umschaltung auf ein kaltes Backup-System vorgenommen wird.

  17. 17.

    Unter anderem gilt es für das zuständige Management zu bedenken, dass es für Unterlassungen mit allfälligen Konsequenzen verantwortlich gemacht werden kann.

  18. 18.

    Die deutsche Bezeichnung „IT-Notfallplan“ anstelle der englischen Bezeichnung „IT Contingency Plan“ wird unabhängig davon verwendet, ob es sich um die Bewältigung eines Notfalls, einer Krise oder einer Katastrophe handelt.

  19. 19.

    [Nisc10]: Contingency Planning Guide for Federal Information Technology Systems, NIST Special Publication 800–34 Rev. 1.

  20. 20.

    [Klet11]: IT-Notfallmanagement mit System. Wiesbaden: Springer Vieweg.

  21. 21.

    Die NIST-Empfehlung „Contingency Planning Guide for Information Technology Systems“ bezeichnet einen solchen Plan als „Cyber Incident Response Plan“ ([Nisc02], S. 9).

  22. 22.

    Sowohl der Standard ISO/IEC 27002:2013 ([Isoc13], S. 67–71)] als auch das COBIT Framework ([Cobi12], S. 145–146) schlagen ein „Security Incident Management“ für die Behandlung sämtlicher Ereignisse und Schwachstellen vor.

  23. 23.

    Die Begriffe für die einzelnen Eskalationsstufen werden von Unternehmen zu Unternehmen unterschiedlich verwendet; so ist beispielsweise auch die Verwendung des Begriffs „Notfall“ für eine der „Krise “ übergeordnete Eskalationsstufe anzutreffen. Wichtig ist die einheitliche Verwendung der Begriffe in einem Unternehmen.

  24. 24.

    In einem IT-Notfall-Plan ist die Verknüpfung des „technischen“ Vulnerabiltiy-Managements mit dem Informationssicherheits-Incident-Management eine naheliegende Lösungsvariante, um möglichst zeitnahe Aktionen zu ermöglichen. Das Informationssicherheits-Incident-Management sollte natürlich auch in geeigneter Weise mit einem Incident-Management für die „Geschäftskontinuität“ verknüpft werden.

  25. 25.

    CERT® = Computer Emergency Response Team .

Literatur

  1. Standards Australia/New Zealand: HB 221:2004, Handbook Business Continuity Management. Sydney: Standards Australia International, 2004.

    Google Scholar 

  2. BCI: Good practice guidelines – A Framework for Business Continuity Management. The Business Continuity Institute, 2005.

    Google Scholar 

  3. BS 25999-1:2006: Business continuity management – Part 1: Code of practice. British Standards Institution, 2006.

    Google Scholar 

  4. BS 25999–2:2007: Business continuity management – Part 2: Specification. British Standards Institution, 2007.

    Google Scholar 

  5. ISACA: COBIT® 5 for Information Security. Rolling Meadows: Information Systems Audit and Control Association, 2012.

    Google Scholar 

  6. ISO 22301:2012: Societal security – Business continuity management systems – Requirements. International Organization for Standardization, 2012.

    Google Scholar 

  7. ISO/IEC 27002:2013: Code of practice for information security controls. International Organization for Standardization, 2013.

    Google Scholar 

  8. ISO DIS 22313: 2012: Societal security – Business continuity management systems – Guidance. International Organization for Standardization, 2012.

    Google Scholar 

  9. ISO/IEC FDIS 27035-1:2016: Information security management systems – Information security incident management. International Organization for Standardization, 2016.

    Google Scholar 

  10. ISO/IEC 27000:2016: Information security management systems – Overview and vocabulary. International Organization for Standardization, 2016.

    Google Scholar 

  11. Klett, Gerhard, Klaus-Werner Schröder und Heinrich Kersten: IT-Notfallmanagement mit System. Wiesbaden: Springer Vieweg, 2011.

    Google Scholar 

  12. Moser, Ulrich: Der IT-Ernstfall - Katastrophenvorsorge. Rheinfelden/Schweiz: BPX, 2002.

    Google Scholar 

  13. NIST: Contingency Planning Guide for Information Technology Systems. Washington DC: U.S. Department of Commerce, 2002.

    Google Scholar 

  14. NIST: Contingency Planning Guide for Federal Information Technology Systems, NIST Special Publication 800–34 Rev. 1. Washington DC: U.S. Department of Commerce, 2010.

    Google Scholar 

  15. Ponemon Institute: 2015 Cost of Cyber Crime Study: Global, 2015. URL: ssl.www8.hp.com/ww/en/secure/pdf/4aa5-5207enw.pdf, abgerufen 11.9.2016.

  16. Rössing Von, Rolf: Betriebliches Kontinuitätsmanagement. Bonn: mitp-Verlag, 2005.

    Google Scholar 

Download references

Author information

Authors and Affiliations

  1. Olsberg, Schweiz

    Hans-Peter Königs

Authors
  1. Hans-Peter Königs
    View author publications

    You can also search for this author in PubMed Google Scholar

Rights and permissions

Reprints and permissions

Copyright information

© 2017 Springer Fachmedien Wiesbaden GmbH

About this chapter

Cite this chapter

Königs, HP. (2017). Geschäftskontinuitäts-Management und IT-Notfall-Planung. In: IT-Risikomanagement mit System. Edition <kes>. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-12004-7_13

Download citation

Publish with us

Policies and ethics

Search

Navigation