Brenzlige Situationen in der IT überstehen
Klare Ansage
Erfahrungen aus dem Katastrophenschutz helfen, Krisen in der IT souverän zu meistern. Wo Budget und Ressourcen begrenzt sind, braucht es allerdings gute Vorbereitung und Planung.
Krisenmanagement in der IT gehört nicht gerade zu den beliebten Themen in Unternehmen und Behörden. Es kostet viel Geld, bringt keinen direkten Nutzen und wird deshalb oft gar nicht erst angegangen. Sei es, weil den Verantwortlichen die nötige Sensibilität fehlt, das Budget ohnehin zu knapp bemessen ist oder weil genügend andere Aufgaben anstehen.
Unternehmen, die nicht für den Ernstfall vorgesorgt haben, dürften in echte Schwierigkeiten geraten, wenn er eintritt. Es empfiehlt sich auf jeden Fall ein strukturiertes Vorgehen. Irgendetwas irgendwie anzuleiern, hilft nicht weiter. Das Bundesamt für Sicherheit in der Informationstechnik hat dazu eine hilfreiche Tabelle erstellt, anhand derer sich unterschiedliche denkbare Störungen zunächst einmal in einen Gesamtkontext einordnen lassen (siehe Tabelle „Klassifizierung von Störungen“). Der BSI-Standard 100-4 leitet daraus Handlungsweisen ab (siehe ix.de/znq8).
Klassifizierung von Störungen | ||
Art | Erläuterung | Behandlung |
einfache Störung | kurzzeitiger Ausfall von Prozessen oder Ressourcen mit geringem Schaden | Behandlung ist Teil der üblichen Störungsbehebung. |
Notfall | länger andauernder Ausfall von Prozessen oder Ressourcen mit hohem oder sehr hohem Schaden | Behandlung verlangt besondere Notfallorganisation. |
Krise | im Wesentlichen auf die Institution begrenzter verschärfter Notfall, der ihre Existenz bedroht und die Gesundheit und das Leben von Menschen beeinträchtigt | Da Krisen nicht breitflächig die Umgebung oder das öffentliche Leben beeinträchtigen, lassen sie sich größtenteils in der Institution selbst beheben. |
Katastrophe | räumlich und zeitlich nicht begrenztes Großschadensereignis, zum Beispiel als Folge von Überschwemmungen oder Erdbeben | Aus Sicht einer Institution stellt sich eine Katastrophe als Krise dar und wird intern durch deren Notfallorganisation in Zusammenarbeit mit externen Hilfsorganisationen bewältigt. |
In der IT gibt es neben den ungeplanten Vorkommnissen immer wieder geplante kritische Änderungen mit großem Gefahrenpotenzial, etwa bei der Inbetriebnahme umfangreicher Systeme oder beim Umbau wichtiger Infrastrukturkomponenten. Dabei können Situationen entstehen, die so komplex sind, dass die Verantwortlichen die Wechselwirkungen nicht bis ins letzte Detail abschätzen können. Allerdings muss man eine wahrscheinliche vorübergehende Krise bewusst in Kauf nehmen, wenn es gilt, einen unbefriedigenden Zustand aufzulösen.
Um in unplanbaren Gemengelagen die Gefahr für Leib und Leben so gering wie möglich zu halten, gibt es die zivile Gefahrenabwehr, in Deutschland vertreten durch Polizei, Ordnungsbehörden und Hilfsorganisationen wie das Rote Kreuz oder den Malteser Hilfsdienst. Damit die unterschiedlichen Parteien zusammenarbeiten können, braucht es klare Regeln, an die sich alle halten. Sie sind in der DV100 definiert (Dienstvorschrift Führung und Leitung im Einsatz, siehe ix.de/znq8). Ihre Ziele: