Suchen

Im Mittelpunkt: Backup und Disaster Recovery Ein Notfallmanagement ist die letzte Möglichkeit bei Cyber-Angriffen

| Autor / Redakteur: Malte Kögler* / Ulrike Ostler

Dass die Bedrohungslage in puncto IT-Sicherheit immer kritischer wird, überrascht nicht. Fast täglich gibt es neue Meldungen über Hacker-Angriffe, immer gefährlichere Viren sowie Datenlecks. Aus diesem Grund ist es für Unternehmen unerlässlich, für den „Fall der Fälle“ ein Notfallmanagementmonzept und einen sofort umsetzbaren Notfallplan parat zu haben.

Firmen zum Thema

Jedes Unternehmen muss ein individuelles IT-Notfall-Konzept erstellen, so Malte Kögler, Geschäftsführer der ITSM GmbH.
Jedes Unternehmen muss ein individuelles IT-Notfall-Konzept erstellen, so Malte Kögler, Geschäftsführer der ITSM GmbH.
(Bild: Gerd Altmann auf Pixabay)

Wie eine Umfrage des Eco – Verbands der Internetwirtschaft e. V. vom Februar 2019 unterstreicht, sind sich immer mehr Unternehmen dieser Notwendigkeit bewusst. So gaben 57 Prozent der befragten IT-Sicherheitsexperten an, über einen Notfallplan im Fall eines Cybercrime-Vorfalls zu verfügen. Im Vergleich zum Vorjahresergebnis (32 Prozent) ist dies ein deutlicher Anstieg. Weitere 27 Prozent der Umfrageteilnehmer erklärten, gerade an so einem Notfallkonzept zu arbeiten.

Auf der anderen Seite gaben nur 46 Prozent der befragten Unternehmen an, sehr gut oder gut gegen Cyber-Attacken gewappnet zu sein. Fast ein Fünftel (19 Prozent) schätzen ihre IT-Security-Maßnahmen dagegen als unzureichend ein.

Ohne IT kein Business

Dieses Motto gilt heute für immer mehr Unternehmen – auch für kleine und mittlere Unternehmen (KMU). „Steht“ die IT, ruht das Geschäft. Umsatzausfälle und Kosten für die Wiederherstellung des IT-Betriebs sind die Folge. Und diese Ausfälle und Kosten steigen immer mehr, je länger es dauert, bis die IT wieder „läuft“. Großunternehmen – noch dazu, wenn sie über die entsprechenden Notfallpläne verfügen – werden einen solchen Ausfall und die damit verbundenen Kosten kompensieren können. Für kleine und mittlere Unternehmen kann so ein Ausfall dagegen eine Gefahr für den Fortbestand des gesamten Unternehmens bedeuten.

Gefahren lauern nicht nur draußen, sondern auch drinnen im Unternehmen. Eine ungewollte oder vorsätzliche Falschbedienung eines IT-Systems, ein längerer Stromausfall, ein Wasserrohrbruch oder ein Feuer können ebenfalls dafür sorgen, dass die IT-Umgebung zumindest teilweise nicht mehr genutzt werden kann. Auch in diesen Fällen ist ein Notfallplan unbedingt notwendig, in dem genauestens festgelegt ist, was getan werden muss, um die IT wieder „zum Laufen zu bringen“.

Ransomware, DDoS, CEO Fraud – das kann uns doch nicht passieren!

Laut eingangs zitierter Eco-Umfrage gab es im vergangenen Jahr in jedem vierten Unternehmen tatsächlich mindestens einen gravierenden Sicherheitsvorfall. Ransomware, DDoS-Attacken und CEO Fraud führen in der Umfrage die Liste der Attacken vor Website-Hacking und Datendiebstahl an.

Wer jetzt aber glaubt, es werde ihn schon nicht treffen, dem sollte die WSG Wohnungs- und Siedlungs-GmbH aus Düsseldorf als mahnendes Beispiel dienen. Das Unternehmen wurde 2016 aus dem Nichts heraus Opfer einer Ramsomware-Attacke. „Ein Hacker hatte große Teile unserer IT-Infrastruktur verschlüsselt und forderte eine Bitcoin-Zahlung für die Entschlüsselung unserer Daten“, erläutert Andreas Piana, kaufmännischer Leiter bei WSG, die damalige Situation. „Die Folge war ein zweitägiger Komplettstillstand des Unternehmens; erst nach zwei Wochen waren alle IT-Systeme wieder voll einsatzbereit.“

IT-Notfallplanung ist ein mehrstufiger Prozess

Geht es nun also darum, einen IT-Notfallplan für das eigene Unternehmen aufzustellen, sollte in mehreren Schritten vorgegangen werden. Im Mittelpunkt stehen dabei die Maßnahmen, die getroffen werden müssen, um die (hoffentlich) im Rahmen regelmäßiger Backups archivierten Unternehmensdaten schnellstmöglich wieder in das Produktivsystem einspielen zu können. Man spricht vom so genannten Disaster Recovery.

Schritt 1: Analyse des Istzustands

In der Regel gibt es in den meisten Unternehmen Backup-Systeme zum Absichern der Unternehmensdaten. In einem ersten Schritt ist es nun aber wichtig, diese Systeme regelmäßig auf Funktionalität und Aktualität zu überprüfen. Im Mittelpunkt steht dabei die Frage: „Was wird bisher wo gespeichert?“

Schritt 2: Definition des Sollzustands

In einem zweiten Schritt geht es dann darum, festzulegen, wie eine auch zukünftig erfolgreiche Backup-und-Recovery-Strategie für das Unternehmen aussehen sollte. Die Frage lautet dabei: „Was sollte wann wo wie gesichert werden?“.

Schritt 3: Aufstellen/Aktualisieren der zukünftigen Backup-und-Recovery-Strategie

Falls zwischen Schritt 1 und Schritt 2 noch eine Lücke klafft, geht es nun darum, diese Lücke zu schließen. Dabei stellt sich zuerst einmal die Frage, ob Sie die bestehende Backup-und-Recovery-Lösung erweitern/erneuern oder gleich „auf der grünen Wiese“ beginnen und sich eine komplett neue Strategie überlegen.

Schritt 4: „make or buy“

Im nächsten Schritt geht es darum, sich Gedanken darüber zu machen, ob Sie die zukünftige Backup-und-Recovery-Strategie selbst umsetzen oder sich von jemandem helfen lassen, der sich damit auskennt. Die Unterstützung sollte dabei nicht nur aus der reinen Lieferung und Installation der entsprechenden Lösung bestehen, sondern schon viel früher – möglichst bereits bei der Analyse des Istzustands – beginnen.

Schritt 5: Worst-Case-Szenario testen

Es kommt immer wieder vor, dass Unternehmen zwar regelmäßig Backups ihrer wichtigsten Daten erstellen, im Notfall dann aber leider feststellen, dass diese Daten sich nicht wieder „zurückspielen“ lassen. Die Gründe können vielfältig sein. Auf jeden Fall ist es unerlässlich, regelmäßig einen „Notfalltest“ durchzuführen, um sicherzugehen, dass man sich wirklich am sicheren Ufer befindet.

Malte Kögler ist Geschäftsführer der ITSM GmbH aus Langenfeld.
Malte Kögler ist Geschäftsführer der ITSM GmbH aus Langenfeld.
(Bild: ITSM GmbH)

Doch der „One-size-fits-all“-Notfallplan existiert nicht! Stattdessen muss jedes Unternehmen ein individuelles Konzept erstellen, das die unternehmensspezifischen Anforderungen, zum Beispiel Größe, Branche und gesetzliche Vorgaben, berücksichtigt.

* Malte Kögler ist Geschäftsführer der ITSM GmbH.

(ID:46316017)