Emergency Response - Entscheidende IT-Prozesse aufrecht erhalten

Auch zunächst als geringfügig angesehene Störungen können gravierende Auswirkungen haben, z. B.:

1	_Betriebsunterbrechung,
2	_Schädigung des Unternehmens,
3	_Verletzung gesetzlicher Pflichten.

Unter Emergency Response verstehen wir alle Aktivitäten, die in IT-Notfällen eine effektive Reaktion zur Erhaltung und zum Wiederanlauf aller IT-Prozesse ermöglichen. Hierzu gehört im Einzelnen:

1	_die Erkennung und Einordnung des Notfalls,
2	_die Reaktion auf Notfälle,
3	_die Vorbereitung auf Notfälle und
4	_die regelmäßige Aktualisierung der Notfallplanungen.

Emergency Response betrifft die Gesamtheit aller IT-Prozesse, Anwendungen, Systeme und Infrastrukturen einer Organisation, die in der Regel alle miteinander in Zusammenhang stehen. Ein durchgängiges Konzept muss daher zwei wesentliche Anforderungen erfüllen:

A.	_Organisationsübergreifend muss ein grundlegendes Modell für den Umgang mit Notfällen und deren Bewältigung bestehen. Dieses muss insbesondere Alarmierungsprozesse und Eskalationskriterien enthalten
B.	_Für die einzelnen Akteure im Notfallmanagement müssen konkrete Hilfestellungen, Prozesse, Aktivitäten zum Umgang mit dem konkreten Notfall gegeben werden.

Die ConSecur bietet Unterstützung beim Aufbau eines Emergency Response und Business Continuity Managements.

Die einzelnen Schritte zu einem Emergency Response Management sind typischerweise die folgenden:

Festlegung einer generellen IT-Notfall-Policy und Eskalationshierarchie

Zunächst werden alle relevanten Geschäftsprozesse, Abläufe und Verfügbarkeitsanforderungen ermittelt und analysiert. Hierbei ist u.a. wesentlich, wie diese Geschäftsprozesse mit der Organisationsstruktur des Unternehmens verknüpft sind. Darauf aufbauend wird eine grundlegende Notfall-Policy erarbeitet, aus der hervorgeht, welche Ereignisse als Notfall im Sinne des Business Continuity Management zu betrachten sind und mit welchen Mitteln grundsätzlich auf solche Ereignisse reagiert werden soll. Hierbei wird u.a. festgelegt, welche Eskalationsstufen es gibt und welcher Zusammenhang zur Organisationsstruktur des Unternehmens besteht.

Aufbau eines IT-Incidenthandling

Das IT-Incidenthandling befasst sich üblicherweise mit Störungen im IT-Betrieb, die auf menschliche Fehlhandlungen (z. B. Hacking, Sabotage), ausnutzbare Schwachstellen in IT-Systemen (Vulnerabilities) oder Störungen an IT-Sicherheitseinrichtungen zurückzuführen sind.

In Zusammenarbeit mit dem Auftraggeber wird festgelegt, welche Akteure im IT-Incidentmanagement tätig werden (z. B. ein hierfür speziell ausgebildetes Computer Security Incident Response Team - CSIRT). Neben der Zusammensetzung und Benennung eines solchen Teams werden die Abläufe und Tätigkeiten im IT-Incidentmanagement festgelegt und dokumentiert.

Aufbau eines IT-Krisenmanagement

Das IT-Krisenmanagement befasst sich mit Vorfällen, mit bestehenden IT-Incidentmanagement nicht bewältigt werden können, da sie übergreifenden Charakter haben und nicht durch den IT-Betrieb allein bewältigt werden können. IT-Krisenfälle sind insbesondere aber auch solche Vorfälle, für deren Bewältigung keine vordefinierten Abläufe bestehen und für die demzufolge ad hoc Maßnahmen zur Problembewältigung festgelegt und entschieden werden müssen.

Wichtig ist in diesem Fall, durch pauschale Regelungen kurze Entscheidungswege festzulegen, indem z. B. ein Krisenstab definiert wird, der aus entscheidungsbefugten Personen besteht und in Krisenfällen kurzfristig zusammentreten kann.

Betrieb und regelmäßige Übung der implementierten Prozesse

Die Festlegung und Inkraftsetzung der Notfallprozesse und -prozeduren allein garantiert nicht deren Anwendung und Anwendbarkeit in Notfallsituationen, da Art und Ausmaß des Notfalls im Vorfeld meist nicht bekannt oder planbar sind, Notfälle (hoffentlich) selten eintreten und im Fall des Eintretens mit hoher Stressbelastung und Zeitdruck verbunden sind. Notfallprozeduren und Verhaltensweisen müssen daher regelmäßig trainiert und verfeinert werden. Notfalltrainings können sowohl organisatorischer/personeller Art sein (z. B. Persönlichkeitstraining und Stressbe-wältigung der Beteiligten) als auch technische Fragestellungen adressieren (z. B. Recovery von IT-Systemen, Be-weissicherung und forensische Auswertung von Störungen und Angriffen auf IT-Systeme und Daten)

Regelmäßiges Review, Reporting und Weiterentwicklung des gesamten Emergency Response Managements.

Neben der Verfeinerung der Notfallprozesse der einzelnen Eskalationsstufen sollte in regelmäßigen Abständen sowie anlassbezogen ein Review des gesamten Emergency Response stattfinden, da Veränderungen in Geschäftsprozessen, der Organisation des Unternehmens, aber auch Umgebungsbedingungen eine Neubewertung und Überarbeitung erforderlich machen können. Durch ein regelmäßiges Reporting kann dem Management gegenüber dargestellt werden, wie "robust" bzw. "überlebensfähig" der IT-Betrieb auch bei IT-Notfällen agieren kann. Dies verdeutlicht auch den Wert des IT-Emergency Response eines Unternehmens.