Leitf aden für IT-Leiter/-innenin der Industrie

Grundsätzliche Überlegungen

1. Risikoerfassung

1.1 Erfassung der Kernprozesse des Unternehmens

1.2 Erfassung der IT-Services und Abbildung der Ausfallszenarien

1.3 Schadensdefi niti on bei Ausfall der einzelnen Kernprozesse

1.4 Müssen rechtliche Aufl agen beachtet werden?

2. Prozessorienti erte Notf allplanung

2.1 Personalerfassung zu den Notf allteams und zum Krisenstab

2.2 Zuordnung des Personals zu den jeweiligen Prozessen

2.3 Aufnahme der Dokumente 2.4 Aufnahme der Infrastruktur

2.5 Infrastrukturzuordnung zu den jeweiligen Prozessen

3. Aufrechterhaltung der Aktualität

4. Organisatorische Notf allpläne

5. Analysen

6. Notf allübungen und Notf allhandbuch

Zusammenfassung

Benefi ts und aktuelle Referenz

Ihre 8 Schritt e zum opti malen Notf allmanagement | Checkliste

Impressum

2

© www.contechnet.de 2013

3

3

4

5

6

7

8

8

8

8

9

9

9

9

10

11

12

Inhalt

Bevor Sie beginnen

3

© www.contechnet.de 2013

Warum benöti ge ich eine IT-Notf allplanung?

Die IT in einem Unternehmen, egal welcher Branche, wird immer komplexer. Wir virtualisieren immer mehr Geschäft sprozesse und Services und bilden diese auf unseren IT-Syste-men ab. SAP-gestützte Produkti onskett en, umfangreiche CRM-Systeme in Logisti k, Buchhaltung und Vertrieb stellen uns vor die Fragen: „Wie lange können wir ohne unsere IT-Systeme auskommen?“„Nach welcher Zeitspanne steht die Produkti on sti ll, und ist der Vertrieb überhaupt arbeitsfähig, wenn keine Kundendaten mehr abrufb ar sind?“ „Wie ermöglichen wir den zumindest eingeschränkten weiteren Ablauf wichti ger Prozesse und Ser-vices, wenn die gewohnten Arbeitsmitt el nicht mehr zur Verfügung stehen?“

Die Verantwortung der IT wächst ständig. Das wirtschaft lich erfolgreiche Agieren eines Unternehmens hängt immer mehr von einer funkti onie-renden IT ab, die oft personell unterbesetzt ist. Damit wird das Wissen über die Systeme auf wenige Personen verteilt. Zusätzlich kaufen wir externes Know-how zu. Somit entstehen interne und externe Kopfmonopole.

Da inzwischen fast alle Geschäft sprozesse von IT-Systemen unterstützt und abgebildet werden, müssen wir uns Gedanken über Verfügbarkeiten und geschäft skriti sche Ausfälle machen.

Ab wann stellt der Ausfall unserer Prozesse ein fi nanzielles Risiko für uns dar, müssen wir bereits bei einem relati v kurzen Ausfall viele Mitarbeiter nach Hause schicken? Ab wann ist eine fehlende Notf allplanung grob fahrlässig, mit rechtlichen Konsequenzen? Ist der Aufb au einer Notf allplanung ohne eine Risikoermitt lung überhaupt sinnvoll?

Wie erstelle ich eine prozessorienti erte IT-Notf allplanung?

Unsere erste Empfehlung dazu ist: Beschränken Sie sich auf das Notwendige, nutzen Sie ein Tool, erfassen Sie die wichti gsten Prozesse, das notwendige Personal und die Infrastruktur.

Dieses Dokument basiert auf der Grundlage des Standards 100-4 des BSI, ISO 27001, SOX, BASEL II und anderen Standards.

Auf den folgenden Seiten wollen wir Ihnen eine Möglichkeit aufzeigen, schnell und strukturiertIhre Notf allplanung umzusetzen.

Eine Notf allplanung zu erstellen heißt: Komplexe Vorgänge einfach und rati onal abzubilden, ohne auf Informati onen zu verzichten. Dazu defi nieren Sie als Erstes, was für Sie eine Störung, einen Notf all und eine Krise darstellt.

Wir hoff en, dieses Dokument hilft Ihnen weiter. Wir freuen uns über Anregungen und Kriti k.

Ihr CONTECHNET-Consulti ng Team

Einl

eitu

ng

1.1 Erfassung der Kernprozesse Ihres Unternehmens

Dieses ist ein sehr umfangreiches und abteilungsübergreifendes Verfahren. Normalerweise kann man die Informati onen bei der Geschäft sführung erfragen. Teilweise ist es so, dass man darauf keine Antwort bekommt.

Diese drei Fragen helfen Ihnen, die Kernprozesse zu ermitt eln:

Welche Prozesse sind die Hauptaufgabe meines Unternehmens? Der Ausfall welcher Prozesse meines Unternehmens zieht starken Reputati onsverlust, fi nanziellen Schaden oder politi sche Unruhen nach sich?

Mit welchen Prozessen erwirtschaft en wir unseren Umsatz?

Da oft die Kernprozesse im Unternehmen noch nicht defi niert sind, ist der einfachste Ansatz,die Prozesse aus der Verfahrensbeschreibung heranzuziehen.

Selekti eren Sie die fünf bis zehn Prozesse, die für Ihr Unternehmen wirtschaft lich am wichti gsten sind.

Für diese Prozesse setzt die IT eine für Sie realisierbare Wiederherstellungszeit bei Ausfall fest.

Betrachten Sie dabei den Ausfall mit und ohne Wiederbeschaff ung von defekten Komponenten. Die sich ergebende maximale Ausfallzeit kommunizieren Sie an die entsprechenden Abteilungslei-ter und die Geschäft sführung.

Sie haben damit eine realisti sche Ausgangslage für die kommende Diskussion geschaff en.

Das Ergebnis aus dieser Diskussion ergibt dann die maximal tolerierbare Ausfallzeit für den entsprechenden Kernprozess.

Kernprozesse

4

© www.contechnet.de 2013

WICHTIG:Arbeiten Sie mit Vorgaben, um der Diskussion eine Grundlage zu geben. Sonst wird diese meist endlos und oft leider auch ergebnislos.

Risikoerfassung

1.2 Erfassung der IT-Struktur und Abbildung der Ausfallszenarien

Wir empfehlen hier, unabhängig von Ihrer IT-Struktur, als Erstes den IT-Totalausfall abzubilden. Da-nach können weitere Services abgebildet werden, wie die Domäne, SAP, Telefonanlage oder die DMZ.

Der Vorteil dabei ist, dass Sie beim IT-Totalausfall einen beschränkten Wiederanlaufplan erstellen, der Ihnen bei normalen Schadensereignissen, wie Strom- oder Hardwareausfall von Kernkomponenten, einen schnellen Wiederanlauf ermöglicht. Selbst wenn nur einzelne Komponenten ausfallen, sehen Sie dann auf einen Blick, welche Komponenten funkti onieren müssen, damit ein Wiederanlauf geord-net stattf inden kann.

Beispiele möglicher Ausfallszenarien:

intern

Ausfall der Warenwirtschaft ssysteme Ausfall des Rechenzentrums Ausfall der Logisti k Ausfall der Produkti onssysteme Ausfall des automati schen Bestellsystems Ausfall von wichti gen Services (File-Service, E-Mail-Service, Telefonie)

extern

Bombendrohung Stromausfall Ausfall der Infrastruktur (Gebäude, Aufzüge) Feuer Hochwasser

Erfassung der IT-Services und Ausfallszenarien

Risik

oerf

assu

ng

5

© www.contechnet.de 2013

Ihre Noti zen

1.3 Schadensdefi niti on bei Ausfall der einzelnen Kernprozesse

Dieses ist einer der beliebtesten Punkte innerhalb einer Risikobewertung. Gern werden hier Unternehmensberater und Consultants herangezogen, um mit Checklisten und wochenlangen Befragungen ein Ergebnis zu produzieren.

Wir schlagen Ihnen vor, sich über die folgende Vorgehensweise Gedanken zu machen.

Als Erstes stellen wir wieder eine Frage:

Kann die Arbeit trotz Ausfalls der IT fortgesetzt werden?

„Ja“In diesem Falle sollten Sie organisatorische Maßnahmen vorbereiten.Zum Beispiel Checklisten und Laufzett el für Kunden, um die erbrachten Leistungen zu dokumen-ti eren und später nachpfl egen und abrechnen zu können. Sie errechnen den Schaden, indem Sie schätzen, welche zeitlichen, personellen und fi nanziellen Ressourcen Sie benöti gen, um diese Da-ten nachträglich in das entsprechende System einzupfl egen. Je nach Länge des Ausfalls steigt dieser Aufwand, und es gehen auch mehr Daten verloren.

„Nein“In diesem Falle sollten Sie den Jahresumsatz des Prozesses auf den Stundenumsatz herunterbre-chen und zum Ansatz bringen. Beachten Sie dabei, dass Sie das Wochenende mit einem anderen Ansatz belegen, da hier oft vermindert oder gar nicht gearbeitet wird.

Empfehlung:Betrachten Sie hier nicht nur die IT, sondern auch die einzelnen Prozesse. Insgesamt gesehen, ist dies eine riesige Aufgabe. Zerlegen Sie diese in die einzelnen Prozesse, und Sie werden erstaunt sein, wie schnell Sie ferti g sind. Entsprechende Checklisten-Vorlagen bekommen Sie von uns.

1.4 Müssen rechtliche Aufl agen beachtet werden?

Diese Frage können nur Sie selbst beantworten: Wenn Ihre IT längere Zeit ausfällt, sind dann für Ihr Unternehmen rechtliche Konsequenzen zu erwarten?Dieses können Klagen von Kunden, Zulieferern, Angestellten, Bürgern, Firmen oder Insti tuti onen sein, die dadurch geschädigt wurden. Wichti g ist dieses, um im Notf all Folgeschäden vermeiden zu können. Kurze, prägnante Informati onen sind hier für den Notf allverantwortlichen wichti g. Gehen Sie immer davon aus, dass der Verantwortliche nicht die Zeit hat, umfangreiche Dokumente zu lesen.

Schadensdefi niti on und rechtliche Aufl agen

Risikoerfassung

6

© www.contechnet.de 2013

Gehen Sie konsequent Schritt für Schritt vor.Wenn Sie diese ersten drei Punkte erledigt haben, dann haben Sie die Grundlagen für eine prozessorienti erte Notf allplanung gelegt.

2.1 Personalerfassung zu den Notf allteams und zum Krisenstab

Dies ist eine schnell zu erledigende Aufgabe. Erfassen Sie die Mitarbeiter (auch externe), die Sie benöti gen, um Ihre IT-Infrastruktur innerhalb Ihrer Vorgaben wieder instandsetzen zu können.

Dabei sind folgende Informati onen wichti g:

Name und Firmenzugehörigkeit/Abteilung Kontaktdaten - Telefon (Festnetz- und Mobil-), E-Mail, auch privat Wo arbeitet oder wohnt der Mitarbeiter? Qualifi kati on des Mitarbeiters

2.2 Zuordnung des Personals zu den jeweiligen Prozessen

Danach teilen Sie die Mitarbeiter den entsprechenden Notf allteams und Prozessen zu.Das Gleiche erarbeiten Sie für die Krisenstäbe. Damit ist auch diese Aufgabe erledigt.

2.3 Aufnahme der Dokumente

Wie oft haben wir bei Notf ällen schon erlebt, dass wichti ge Dokumente nicht auffi ndbar waren.

Sie lagen in der Buchhaltung oder in Lizenzabteilungen. Noch schlimmer waren die Fälle, in denen wichti ge Wartungsverträge mit garanti erten Wiederherstellungszeiten abgelaufen waren.

Erfassen Sie die wichti gsten Verträge und Lizenzen, fügen Sie diese Ihrer Notf allplanung bei, und überwachen Sie die Aktualität.

Personal- und Dokumentenerfassung

Ihre Noti zenN

otf a

llpla

nung

7

© www.contechnet.de 2013

2.4 Aufnahme der Infrastruktur

Nehmen Sie alle für den beschränkten Wiederanlauf relevanten Systeme auf. Dazu gehören:

Klimaanlagen und USVsServer und virtuelle ServerSwitches, vor allem Core-SwitchesRouter und FirewallsServerräume und Zutritt skontrollenTelefonanlage und Internetdienst

Erfassen Sie die Daten am besten nach Ihren physikalischen Standorten, damit der Notf allverant-wortliche weiß, in welchem Serverraum der entsprechende Server steht.Bedenken Sie - der Notf allverantwortliche muss im Ernstf all eine Ersatzbestellung auslösen können. Dazu muss er die Spezifi kati on der Systeme kennen. Wir empfehlen hier, die Daten aus den Syste-men auszulesen (WMI) und zu dokumenti eren.

Denken Sie daran, dass Konfi g-Sicherungen und Wartungsverträge wichti g bei der schnellen Wie-derherstellung der Systeme sind.

Folgende Daten sollten vorhanden sein:

HostnameSystemlieferantHerstellerSeriennummerbenöti gte LeitungskapazitätWert des Systems (hilfreich bei der Wiederbeschaff ung)Komponenten des Systems wie CPU, Festplatt en und Arbeitsspeicher oder LWL-ModuleSoft ware und Soft wareversion oder Release-StandPasswörter und Login-DatenIP-Adressen, Mac-Adressen der Netzwerkkarten Datensicherung und BackupWartungs- und Lizenzverträge

Bei Serverräumen sollten Gebäude- und Lagepläne beigefügt werden. Ihre Hauptarbeit wird die Erstellung der Wiederanlaufpläne pro System sein; es sei denn, Sie haben diese für alle relevanten Systeme schon dokumenti ert. Hier gilt es, vor der Erstellung zu überdenken, wie besti mmte immer wiederkehrende Vorgänge standardisiert werden können. Das erleichtert die Arbeit und spart unheimlich viel Zeit. Wenn Sie das geschafft haben, dann ist auch die umfangreichste Aufgabe innerhalb der IT-Notf allplanung erledigt.

2.5. Infrastruktur-Zuordnung zu den jeweiligen Prozessen

Erstellen Sie jetzt die Wiederanlaufpläne für die einzelnen Prozesse. Beginnen Sie mit dem IT-Total-ausfall. Alle folgenden sind in diesem enthalten, und Sie brauchen diese dann nur noch als Teilprozess abzubilden.

Infrastruktur

Notf allplanung

8

© www.contechnet.de 2013

3. Aufrechterhaltung der Aktualität

Defi nieren Sie Revisions-Zeiträume, in denen die IT-Notf allplanung überarbeitet werden soll.Bedenken Sie, dass die IT-Notf allplanung sehr dynamische Systeme beinhaltet. Wir empfehlen hier ein System einzusetzen, das die Möglichkeiten einer Log-Funkti on und einer entsprechenden Doku-mentati on bietet. Wichti g dabei ist, dass Sie die Aktualität regelmäßig überprüft haben und dieses nachweisbar ist.

4. Organisatorische Notf allpläne

Erstellen oder dokumenti eren Sie bereits vorhandene Notf allpläne (wie Feuer oder Hochwasser) in Ihrer IT-Notf allplanung. Danach erstellen Sie Ihre individuellen Notf allpläne.

5. Analysen

Analysieren Sie danach, ob die Wiederanlaufzeiten der einzelnen Systeme nicht die vorgegebene Gesamtwiederanlaufzeit der einzelnen Kernprozesse übersteigt.

6. Notf allübungen und Notf allhandbuch

Fügen Sie, wie bisher beschrieben, die Daten strukturiert zusammen und ferti g ist der IT-Notf all-plan. Testen Sie mit ausgewählten Notf allszenarien, ob die erfassten Daten realisti sch sind. Gerade Backup-Übungen ergeben, dass hier oft zu opti misti sch herangegangen wurde.

Sie können dies alles mit Offi ceprogrammen (wie Excel oder Word) erstellen oder eine Soft ware anschaff en, die Sie bei dieser Arbeit unterstützt. Wir empfehlen dafür unsere Soft warelösung INDART Professional®.

Entscheidend ist jedoch, dass Sie dank einer aktuellen IT-Notf allplanung reagieren können.

Wir wünschen Ihnen bei dieser Aufgabe viel Erfolg.

Ihr CONTECHNET-Team

Notf allpläne

Ihre Noti zenN

otf a

llpla

nung

9

© www.contechnet.de 2013

Unsere Kunden setzen auf Qualität und Erfahrung aus Deutschland

Zusamm

enfassung

10

© www.contechnet.de 2013

„Die strukturierte Aufnahme der Daten und die damit zu erreichende Geschwindigkeit haben uns vieles erleichtert. In der Soft ware INDART Professional® konnten wir alle unsere Prozesse und Ser-vices abbilden – wirtschaft sprüfer-konform, aber auch eff ekti v nutzbar!“

Dirk Rauber, IT-Sicherheitsbeauft ragter Wagner Tiefk ühlprodukte GmbH

Gern stellen wir Ihnen die komplett e Success-Story als PDF per E-Mail zur Verfügung. Sie fi nden diese und alle anderen Anwenderberichte unter www.contechnet.de.

Aktuelle Referenz

Soft ware-gestützte LösungIT-Notf allmanagement mit INDART Professional®

pragmati sches Vorgehen sowie schnelle und sichere Projektumsetzung

Kosten und Projektumfang klar kalkulierbar

Erfüllung der Standardvorgaben 100-4 des BSI, ISO 27001, SOX, BASEL II und der Wirtschaft sprüfer

im Ernstf all kann nachgewiesen werden, dass nicht grob fahrlässig gehandelt wurde, dadurch Vermeidung von rechtlichen Konsequenzen

Ergebnisse nach Durchführung:

Notf allplanIT-BetriebshandbuchDatensicherungsbericht

Ihre 8 Schritt e zum opti malen Notf allmanagement

... ferti g!

Risikoerfassung

Aufnahme der Kernprozesse (KP), Services und Ausfallszenarien

Monetäre Bewertung pro KP

Rechtliche Aufl agen pro KP

Notf allplanung

Aufnahme des Personals (intern und extern)

Zuordnung Notf allteams zum KP

Zuordnung Krisenstäbe zum KP

Aufnahme der Infrastruktur

Erstellung Wiederanlaufpläne für ausgewählte Schadensszenarien

Erstellung Wiederanlaufpläne fürKernprozesse und Services

11

© www.contechnet.de 2013

IMPRESSUMDieser IT-Leitf aden ist für Sie persönlich besti mmt und eine kostenlose Publikati on (c) www.contechnet.de. Sie können ihn gern weiterleiten - eine Nachahmung, gewerbliche Vervielfälti gung und Veröff entlichung ist je-doch nur mit vorheriger Genehmigung und Nennen des Copyrights gestatt et. Die im Leitf aden veröff entlichten Tipps und Hinweise sind Ergebnisse jahrelanger Erfahrung aus der Praxis; die Herausgeber übernehmen jedoch keinerlei Haft ung für die unter Verwendung des Leitf adens erstellten indivi-duellen Notf allplanungen, sondern empfehlen bei Bedarf eine professionelle Unterstützung.

Ihr Partner bei der Umsetzung

SK-Consulting Group GmbH Osterweg 2

32549 Bad OeynhausenTel.: +49 5731 49064-30Fax: +49 5731 49064-59

E-Mail: info@sk-consulting.com Web: www.sk-consulting.com