Warum Unternehmen einen durchdachten IT-Notfallplan benötigen

– und was unbedingt hineingehört

Cyberattacke, Überschwemmung, Server-Ausfall oder Einbruch: Wenn IT-Systeme nicht mehr so funktionieren, wie sie sollen, drohen Ausfallzeiten und der Geschäftsbetrieb wird empfindlich gestört. Mit einem IT-Notfallplan bereiten sich Unternehmen auf den Ernstfall vor. Bislang haben allerdings zu wenige Firmen einen solchen Plan im Einsatz. 

Unternehmen stehen unter Druck, denn IT-Sicherheitsvorfälle nehmen ständig zu. 43 Prozent der deutschen Firmen verzeichneten laut einer aktuellen IDC-Studie eine Zunahme von Cyberangriffen, rund 50 Prozent erwarten einen weiteren Anstieg.

Gerät eine Firma unter Beschuss oder gibt es sonstige Ausfälle, ist der Faktor Zeit entscheidend: Wie schnell werden die richtigen Schritte eingeleitet? Je rascher das geht, desto besser. Dann werden Schäden minimiert und Ausfallzeiten begrenzt. Essenziell dafür ist ein IT-Notfallplan. Er „umfasst alle Dokumente, die eine angemessene Reaktion auf Krisen und Notfälle unterstützen sollen“, beschreibt das Bundesamt für Sicherheit in der Informationstechnik.

Trotzdem besitzt nur jedes zweite Unternehmen einen solchen IT-Notfallplan, erklärt Bitkom . Und nur jeder zweite Beschäftigte in deutschen Unternehmen weiß, was im Notfall zu tun ist. Das zeigt die Studie „Cybersicherheit in Zahlen“ von G DATA und Statista. In kleinen Firmen mit weniger als 50 Mitarbeiter kennt demnach nicht einmal jeder Dritte die richtigen Maßnahmen.

Wann greift der Notfallplan?

Nicht nur durch Cyberattacken kann die IT-Infrastruktur teilweise oder komplett ausfallen. Mitarbeiter können Fehler machen und versehentlich Daten löschen oder Systeme torpedieren. Software kann versagen und Festplatten oder Server können beschädigt werden – etwa durch Fehlfunktionen, technische Defekte, Stromausfälle, Brände oder Überschwemmungen. Zudem kann die Infrastruktur durch Einbrüche oder Vandalismus beeinträchtigt werden.

Es muss sich nicht immer um große Katastrophen handeln, etwa einen gezielten Hackerangriff oder ein Feuer im Rechenzentrum. Schon kleinere Störungen können wichtige Geschäftsprozesse empfindlich stören.

Was ist ein IT-Notfallplan und was bringt er?

Der IT-Notfallplan ist ein Handbuch mit technischen Anweisungen und Notfallmaßnahmen, das bei Problemen mit der IT zum Einsatz kommt. Einen solchen sollten laut Bitkom alle Unternehmen vorhalten und „entsprechende Vorbereitungen treffen“.

Der Leitfaden enthält Checklisten und Anweisungen, die Sicherheitsteams im Ernstfall durcharbeiten. Dazu kommen organisatorische Informationen, etwa, wer wann benachrichtigt werden muss und wer wofür verantwortlich ist. Das spart Zeit, weil diese Daten dann nicht erst beschafft werden müssen. Die Dokumente müssen allen Mitarbeitern zugänglich sein.

Das Ziel eines Notfallplans ist es, Schäden und Unterbrechungen des Geschäftsbetriebs zu begrenzen. Zudem soll er Transparenz schaffen und Beschäftigten helfen, nach zuvor definierten Anleitungen zu handeln sowie den Überblick zu behalten.

Weil sich Organisationen vorausschauend mit möglichen Bedrohungen auseinandersetzen müssen, dient der Notfallplan einem weiteren Ziel: Mit seiner Hilfe werden Risiken für IT-Infrastruktur und wichtige Geschäftsprozesse identifiziert. Im Idealfall lassen sich im Vorfeld Sicherheitslücken schließen.

Der erste Schritt: Die Bestandsaufnahme

Die Grundlage für den IT-Notfallplan ist die lückenlose und korrekte Dokumentation sämtlicher IT-Ressourcen und Konfigurationen. Das Handbuch umfasst unter anderem ein Inventar der Hardware, von Peripheriegeräten wie Druckern sowie Software.

Ein Notfallplan sollte sich aber in erster Linie an Prozessen orientieren, die für den Geschäftsablauf zentral sind. Zusätzlich sind darum Kernanwendungen und solche Prozesse zu definieren und erfassen.

Was umfasst ein IT-Notfallplan bzw. ein Handbuch?

Ein IT-Notfallplan muss sich an den Bedürfnissen des jeweiligen Unternehmens orientieren. Eine Aufteilung in Module ist sinnvoll, damit Mitarbeiter relevante Informationen umgehend finden. Alle Formulierungen müssen präzise und unmissverständlich sein.

Folgende Inhalte sollte ein IT-Notfallplan beispielsweise enthalten:

  • Verzeichnis aller IT-Assets und Dokumentationen
  • Definitionen möglicher Notfälle inklusive einer Priorisierung danach, wie kritisch sie sein können, sowie möglicher Schäden
  • Checklisten mit Handlungsanweisungen je nach Notfall
  • Schritt-für-Schritt-Anleitungen mit möglichen Behelfslösungen und Notfallprozessen
  • Liste von Kontaktpersonen mit Telefonnummern und deren genauer Rolle und Zuständigkeit im Notfall
  • Alarmierungskette: Wer wird in welcher Reihenfolge benachrichtigt?
  • Vertretungsregeln: Wer springt ein, wenn jemand nicht da ist?
  • Notrufnummern von Dienstleistern und Providern
  • Verzeichnis aller Zugangsdaten, Lizenzen, Handbücher, relevanter Vertragsdaten sowie Codes etwa für Türen
  • Anleitungen und Verfahren zur Wiederherstellung des Betriebs, wo liegen Backups?
  • Plan zur Krisenkommunikation

Die Herausforderungen: Der Notfallplan muss stets aktuell sein

Ein IT-Notfallplan kann seinen Zweck nur erfüllen, wenn er stets auf dem aktuellen Stand und vollständig ist. Fehlen wichtige Informationen oder sind Telefonnummern oder Zugangsdaten falsch bzw. veraltet, werden Sicherheitsteams im Schadensfall ausgebremst. Es ist entscheidend, dass der Notfallplan regelmäßig überprüft und aktualisiert wird. Dabei sollten auch die einzelnen Schritte und Szenarien Tests bzw. Simulationen unterzogen werden.

Nicht nur die Auffrischung stellt viele Unternehmen – gerade auch kleinere Firmen – vor Herausforderungen, sondern auch die Aufstellung des Plans selbst. Im Tagesgeschäft haben IT-Sicherheitsteams dafür oft keine Zeit. Hilfreich ist es in diesem Fall, externe Dienstleister ins Boot zu holen, die bei der Umsetzung helfen. Der Notfallplan kann auch in einzelnen Schritten implementiert werden. Jeder Baustein verhilft im Schadensfall zu einer schnelleren Reaktion.

Fazit: Ein IT-Notfallplan schützt – wenn er gepflegt wird

Ein Notfallplan für die IT bereitet Unternehmen auf Katastrophen und Krisen vor, egal, ob es sich um Cyberangriffe, Hardware-Ausfälle oder Brände handelt. Ein strukturiertes und aktuelles Handbuch für solche Szenarien hilft Mitarbeitern, den Überblick zu behalten und sofort die richtigen Schritte einzuleiten. So lassen sich Ausfallzeiten vermeiden und finanzielle Schäden minimieren.

Checkliste für den Notfallplan

Um einen Notfallplan zu erstellen, sollten sich Unternehmen folgende Fragen beantworten:

  • Was sind kritischen Prozesse und Systeme?
  • Welche haben Priorität, damit der Geschäftsbetrieb weiterlaufen kann? Wie lange dürfen Teile der Infrastruktur maximal ausfallen?
  • Was muss erledigt werden, wenn ein bestimmter Notfall eintritt?
  • Wie sehen die genauen Abläufe aus?
  • Wer ist dann für welche Aufgaben verantwortlich und hat welche Rolle?
  • Welche Maßnahmen sind bei welchen Vorfällen zu welchem Zeitpunkt einzuleiten?
  • Wer muss in welcher Reihenfolge alarmiert werden?
  • Wie und wann sind die entsprechenden Personen erreichbar?
  • Welche Dienstleister gibt es und wer sind die Ansprechpartner im Notfall?
  • Wie sind die Zugangsdaten zu internen und externen Diensten? Wie sind Systeme konfiguriert und welche Lizenzen sind verfügbar?
  • Wo liegen Daten und Backups? Wie können Systeme wiederhergestellt werden?
  • Nach welchen Regeln muss in einer Krise kommuniziert werden?
  • Wie können Services schnellstmöglich wieder anlaufen oder wo werden Hardware-Ersatzteile beschafft?

Passend zum Thema:

Grenzen von MFA und Chancen von Passwort-freier Authentifizierung

Wie Sie eine Authentifizierung ohne Passwort erfolgreich in die Zero-Trust-basierte IT-Security-Architektur Ihres Unternehmens integrieren.

Cyberversicherungen: So gestalten und finden Sie das richtige Modell

Kriterien für die Fixierung und Auswahl der bestgeeigneten Cyberversicherung. Schritte und Etappen zum Erreichen des Cyber Insurance-Ziels.

Paranoia trifft Realismus: Wie viel Cybersecurity braucht es wirklich?

Kosten/Nutzen-Analyse von Cybersecurity-Investitionen: Warum neben Technik auch Prozesse, Ausbildung und Bewusstseinsbildung wichtig sind.