Wenn ein Brand ausbricht, wissen Mitarbeiter dank Schulungen und Hinweisen, wie sie am besten reagieren. Bei Hackerangriffen können die Folgen für die IT ebenso katastrophal sein, deshalb sollte die Reaktion darauf eindeutig und klar in einem IT-Notfallplan dokumentiert werden. Denn, wenn Ihnen erst im IT-Notfall einfällt, dass Sie die neue Handynummer des Kollegen noch nicht gespeichert haben und Ersatzgeräte nicht vorkonfiguriert oder keine Anleitungen vorhanden sind, kommen zusätzlich zu Stress und Panik auch noch unkoordinierte Reaktionen dazu. Die stehen einer schnellen und zielgerichteten »Response« entgegen. Planloses reagieren trägt womöglich dazu bei, dass die Hacker mehr Zeit haben, sich in Ihren Netzwerken weiter auszubreiten.
Ist ein IT-Notfallplan wirklich notwendig?
Bei einem IT-Notfallplan ist es wie mit den Hinweisen »Verhalten im Brandfall« sowie den Hinweisschildern und Piktogrammen »Notausgang« in Ihrer Organisation. Höchstwahrscheinlich kennen Mitarbeitende alle möglichen Ein- und Ausgänge auch für den Notfall und trotzdem ist es in Ausnahmesituationen u. U. lebenswichtig, sich entsprechend zu verhalten und sofort den richtigen Weg zu finden. Was bei Katastrophen logisch klingt, wird im IT-Notfall nur von 40 % aller Organisationen in Deutschland umgesetzt. Nicht zuletzt wegen der Umsetzung von NIS2 bekommt auch ein Notfallkonzept zukünftig eine noch größere Bedeutung.
Sie finden im Internet IT-Notfallpläne von verschiedenen Anbietern zum Download. Natürlich bietet auch das Bundesamt für die Sicherheit in der Informationstechnik / BSI ein umfangreicheres Notfallmanagement und ein Notfallhandbuch zum Download an und berücksichtigt hier auch den möglichen Ausfall von Infrastrukturen und Personal im Zusammenhang mit Katastrophen. Wenn Sie der umfangreiche Maßnahmenkatalog vom BSI abschreckt, dann finden Sie nachfolgend eine bewährte und trotzdem reduzierte Form eines Notfallplans für KMU.
IT-Notfallplan: Die 5 essentiellen Bestandteile
Ein Notfallplan muss eindeutig und einfach verständlich formuliert und aufbereitet sein. Die Vorlagen sind nur die Grundlage, die jeweils auf Ihre Ist-Situation und die Infrastruktur angepasst sein muss. Es kann helfen, zunächst einen einfachen Notfallplan, als Basis zu erstellen und sukzessive auszubauen. Dann reichen im Prinzip zunächst die folgenden 5 Maßnahmen:
1. Übung macht den Meister
»Ein nicht getestetes Backup ist schlimmer als gar kein Backup!« Das gilt auch für einen nicht getesteten Notfallplan, wenn er sich im Notfall als »heiße Luft« erweist und die Ransomware in Ruhe Daten exfiltrieren und verschlüsseln kann. Überprüfen Sie, wie sehr sich Ihr Notfallplan in unterschiedlichen Szenarien bewährt. Bei neuen Komponenten, neuen Mitarbeitenden und Änderungen an der Infrastruktur, muss ein Workflow etabliert werden, der die Neuerungen und deren Auswirkungen auf den »Notfallplan« überprüft und ggf. anpasst. Im erweiterten Umfang zählen hier auch Awareness-Unterweisungen für alle Mitarbeitenden dazu, denn Insider-Bedrohungen sind immer noch das größte Risiko für Ihre IT.
2. Notfallkontakte: Wer kann helfen und wie ist der Kontakt erreichbar?
Hier müssen alle wichtigen internen und externen Kontakte nach einer festen Struktur aufgelistet werden. Die Liste muss auch ständig überprüft und aktualisiert werden und muss auch private Kontaktangaben wie Handynummern enthalten. Eine Priorisierung z. B. nach Kenntnisstand bzw. Entfernung zum Standort kann hier entscheidend sein, um die wichtigen Kontakte, die kurzfristig helfen können zu priorisieren.
3. Funktionierende Kommunikation
Sind alle relevanten Kontakte erfasst, muss festgelegt werden, wer über welchen Kommunikationsweg kontaktiert wird. Neben technischen Kollegen sind auch Stakeholder wie Mitglieder des Managements zu kontaktieren, denen durch NIS2 eine höhere Verantwortung zur Absicherung der IT obliegt. Besonders in der Urlaubszeit sind Vertreter der Hauptkontakte ebenfalls zu erfassen. Handelt es sich um einen meldepflichtigen Vorfall, sind zeitnah auch die zuständige Datenschutzbehörde und das BSI zu informieren.
4. Notfall-Equipment
Ersatz-Hardware wie eine vorkonfigurierte Arbeitsstation, VoIP-Telefon, Server, ein funktionsfähiges Backup (siehe oben) sowie ausgedruckte Handbücher und Anleitungen helfen ausgefallene Systeme schnell wieder online zu bringen. Auch dabei ist es wichtig, dass beim Notfall-Equipment auch alle Änderungen und Aktualisierungen berücksichtigt werden.
5. Notfallkarte
Analog zu den Hinweisen »Verhalten im Brandschutzfall« sind auch ausgedruckte Hinweise zum Verhalten in IT-Notfällen am Arbeitsplatz oder gut sichtbar in den Büroräumen wichtig. Schreiben Sie dort allgemeingültige Gegenmaßnahmen auf, die Mitarbeitende umsetzen können, um den Schaden so gering wie möglich zu halten. Geben Sie die Telefonnummern der zuständigen IT-Mitarbeitenden an, die kurzfristig vor Ort sein können. Auch hier sind Unterweisungen hilfreich, um das Risiko von IT-Notfällen zu minimieren.
FAZIT: IT-Notfallplan – ein Anfang ist gemacht!
KI-unterstützte Cyberangriffe, steigende Anforderungen an die IT sowie Fachkräftemangel bilden schon seit Jahren eine ungünstige »Melange«. Cyberangriffe sind nicht in jedem Fall zu verhindern. Ein erprobtes Notfallmanagement dämmt die Auswirkungen von Attacken durch schnelle und zielführende Gegenmaßnahmen ein.
Dazu muss das Notfallmanagement als Prozess in das Lifecycle-Management eingebunden werden, um alle relevanten IT-Assets berücksichtigen zu können. Neue Mitarbeitende sind ggf. als Notfallkontakte zu hinterlegen. Zudem sollten alle Mitarbeiter regelmäßige Security-Unterweisungen mitsamt dokumentierten Notfallplänen erhalten, um richtig auf Cyberangriffe reagieren zu können. trainiert.
Ein IT-Notfallplan sollte nämlich nicht das erste Mal bei einem tatsächlichen Angriff aus der Schublade geholt werden. Wahrscheinliche Angriffsszenarien lassen sich simulieren, zudem können erlebte Erfahrungen das Notfallmanagement verbessern. Überfrachten Sie als KMU die Notfallpläne nicht, halten Sie wie bei ISO-Dokumenten gewisse Strukturen und Formatierungen ein und haben Sie Notfallpläne, Anleitungen und Benutzerhandbücher auch immer ausgedruckt an definierter Stelle parat.