IT Notfallplan

TommyXP · 12. November 2019 um 17:50

Hallo zusammen,
ich soll in der nächsten Zeit für ein Unternehmen einen IT-Notfallplan erstellen und bräuchte dafür ein wenig Unterstützung. Da ich soetwas noch niemals gemacht hatte, wäre natürlich eine Vorlage oder eine erste Checkliste optimal wie ich mit der Erstellung eines Planes vorgehe. Ist ein IT Notfallplan für jedes Unternehmen individuell?
Danke im Voraus für die Unterstützung!

Anonym_cba4bf · 12. November 2019 um 17:50

Hallo,

nein, natürlich benutzen alle Unternehmen den selben Notfallplan, die Unternehmen sich doch alle gleich.

Auch ist es total egal, gegen welche Art Notfälle man sich absichern will und welche System vorhanden sind.

Ich find es übringes richtig gut, das sowas wichtiges wie die IT Sicherheit in die Hände von jemand gelegt wird, der sich dann erstmal in einem Forum schlau machen muss, da sieht man wieder, wie wichtig den Unternehmen sowas ist!

Wenn dein Arbeitgeber der Meinung ist, das du das machen sollst und du dich nicht als IT Fachmann beworben hast, der sowas angeblich kann sollte dir deine Arbeitgeber auch die nötigen Schulungen bezahlen und die Zeit die es braucht einräumen.

hth

Nicole_2ad7cc · 12. November 2019 um 17:50

Moin!

Ist ein IT Notfallplan für jedes Unternehmen individuell?

Ja sicher, denn so wie Menschen, sind auch Unternehmen sehr individuell.
Dies kann man aber auch so sehen, dass für jedes Unternehmen, verschiedene Menschen mit verschiedenen Entscheidungen, durch diese, die Strukturen anders aussehen lassen.
*smile*

Die Schritte an sich bleiben in der Planung bestimmt ähnlich, nur die Reihenfolge ändert sich.
„Gucke“ Dir zum Beispiel den nächsten Schritt nach einem Unglück an.
…
Diese beiden Schritte werden sich wohl bei einem Baubetrieb von dem eines Fleisch-Zulieferers weit reichend unterscheiden.
…zumindest sind ähnliche Vorgaben unter anderen Positionen wieder zu finden.

Je nach Umfang eines Betriebes ist es für einen Menschen alleine gar nicht möglich einen solchen Plan zu erstellen.
Zuerst sollten man die gesamten Abläufe bei reibungslosem Betrieb verstehen, bevor man sich an den Rest macht…

…und der ist meist nicht „ohne“!

Mit den Stichworten -> it notfallplan beispiel

findest Du reichlich Lesestoff.

z.B. -> ein Vortrag von AirIT

ein Stück Wiki zum Thema

und hier auch noch sehr interessant „etwas“ vom Frau…

Have Phun, Nicky

Safrael · 12. November 2019 um 17:50

Hi,

als erstes denk Dir mal ein paar Notfallszenarien aus.
Das kann von Katastrophen wie Brand, Explosion, Erdbeben über natürliche Sachen wie Einbruch, Sabotage, Diebstahl, DAUs bis zu völlig obskuren Dingen führen. Das kann aber auch bei ganz alltäglichen Dingen wie einem zentralen Server beginnen der einfach den Geist aufgibt.

Danach denkst Du Dir einen Maßnahmenkatalog zu jedem Szenario aus.

Wenn Du das fertig hast kannst Du die Unterschiedlichen Maßnahmen vergleichen und gucken in wie fern das ganze wieder vereinfacht werden kann.

MFG

hummelbrumm_db5b77 · 12. November 2019 um 17:51

Hallo
ich nehme dir das nicht so ganz ab, dass du ohne Vorkenntnisse sowas machen sollst.

Entweder hat das beauftragende Unternehmen keine Ahnung, welche Brisanz im Thema steckt, oder du unterschätzt das völlig.

Das Thema „Desaster Recovery“ ist ein eigenständiger hochbezahlter Industriezweig!

Das wird hier nix mit nen paar Tipps…
Gruß
Hummel

anon28825014 · 12. November 2019 um 17:51

Hi,

dann hast Du noch nicht viel bei Mittelständern gearbeitet. Da macht „die IT“ oft noch jemand der mal bei der Betriebsfeier aus Versehen gesagt hat er hätte eigenständig seinen PC zuhause neu aufgesetzt. Welche Brisanz da drin hängt wird von diesen Firmen komplett ignoriert („wieso, läuft doch alles“). Aber wenn es mal rummst, dann ist das Geschrei gross.

Gruss
K

Wiz · 12. November 2019 um 17:52

Hallo,

ich rate mal so etwas ins Blaue: Da fordert der große (potentielle) Kunde eines eher überschaubaren Unternehmens irgendeine Zertifizierung, die Einhaltung irgendwelcher Standards, … die sich nur mit vollkommen inakzeptablem Aufwand tatsächlich in der Form machen lassen würden, wie sie ggf. einen Sinn ergeben würden. Und da der Einkäufer bzgl. der Anforderungen auch noch mit den Augen zwinkert, nebenbei erzählt, dass Audits ohnehin bei Unternehmen der entsprechenden Größe noch niemals nicht durchgeführt worden sind, ist das die fast schon offizielle Einladung da „irgendwas“ zu produzieren, das die passende Überschrift trägt, und dessen Inhaltsverzeichnis irgendwie passend aussieht und einen möglichst dicken Ordner füllt. Und schon kommen wir in die beschriebene Situation, dass mit einer sinnvollen Erstellung solcher Unterlagen vollkommen überforderte Mitarbeiter plötzlich in irgendwelchen Foren nach möglichst generischen Vorlagen suchen, um ein Papier zu produzieren, was im Falle des Falles natürlich rein gar nichts bringt.

Gruß vom Wiz, der so etwas schon zigfach erlebt hat, selbst schon diverse Male solche Plazebos schreiben musste, und auch schon oft genug erlebt hat, dass danach dann ohnehin niemand kräht, und im Falle des Falles auch auf der anderen Seite niemand wirklich mit dem Thema umgehen kann

Culles · 12. November 2019 um 17:52

Hallo,

lass’ dich nicht entmutigen, jeder von uns ja mal egal was auch immer abgefangen. Einen sehr professionellen Einstieg bietet das BSI, lies dir vielleicht mal deren Publikation BSI-Standard 100-4 Notfallmanagement" durch, und schon weißt du, worauf es ankommt: https://www.bsi.bund.de/cae/servlet/contentblob/4714…
Auf jeden Fall solltest du die Seite www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschut… nicht außer Acht lassen.

Viel Erfolg

Culles

Allesquatsch · 12. November 2019 um 17:53

Entweder hat das beauftragende Unternehmen keine Ahnung,
welche Brisanz im Thema steckt,

Und dürfte damit zur großen Mehrheit gehören. Schon eine anlasslose Beauftragung eines Mitarbeiters ist aber ein Lichtblick.

oder du unterschätzt das völlig.

Na, der Threaderöffner kann wohl nichts dafür, dass er die Aufgabe bekommen hat.

ich nehme dir das nicht so ganz ab, dass du ohne Vorkenntnisse
sowas machen sollst.

Ich schon

Das Thema „Desaster Recovery“ ist ein eigenständiger
hochbezahlter Industriezweig!

Ja. Das ist ja der Grund, wieso die Motivation, sich ausreichend mit dem Thema zu beschäftigen, so niedrig ist. Weil man nicht weiß, was für ein Rattenschwanz auf einen zu kommt, will man es lieber gar nicht wissen.

Das wird hier nix mit nen paar Tipps…

Na, zumindest merkt er, dass das nichts ist, was man so mal locker von w-w-w abfragen kann.

Man muss aber die Kirche im Dorf lassen: Der Aufwand muss immer im Verhältnis zum Risiko stehen. Für den örtlichen Frisörsalon ist die Beauftragung eines Risikoanalysten sicherlich oversized.

Ciao, Allesquatsch

mabuse · 12. November 2019 um 17:54

Hei

Man muss aber die Kirche im Dorf lassen: Der Aufwand muss immer im Verhältnis zum Risiko stehen. Für den örtlichen Frisörsalon ist die Beauftragung eines Risikoanalysten sicherlich oversized.

So seh ich das auch.

Ich hab für unser Unternehmen auch einen „Risikoplan“ erstellt, und mir das Leben dabei ganz einfach gemacht, indem ich vom absoluten Worstcase ausgehe:

Man kommt Montags morgends zur Arbeit und das Gebäude ist weg.

Ob jetzt Feuer, Erdbeben, was immer kratzt nicht.

Mein „Notfallplan“ besteht im wesentlichen aus einer Reihe Namen und Telefonnummern, wer mir innerhalb von 12 Stunden a) neue Server b) neue Workstations c) sonstige Netzwerk-Hardware d) einen Container zur Unterbringung e) einen Baustromkasten zur Stromversorgung f) eine Internet-Leitung g)… u.s.w. und so fort dahin stellen kann.

Außerdem wurden darin drei Mitarbeiter festgelegt, die zuhause Backups in Form von Systemimages auf Platten und aktuelle Daten auf Streamerbänder haben.

Zusätzlich gibts noch eine versteckte und verschlüsselte Datei im Internet, die monatlich aktualisiert wird und Daten für Onlinezugänge (beispielsweise Webmailer) sowie eine exportierte Excel-Tabelle unserer Kundendatenbank enthält. Damit kann man innerhalb weniger Minuten zumnindest einen Notfall-Betrieb mit irgendwelchen (privaten) Handys und Laptops aufnehmen.

Ich sach jetzt mal: für unsere Größenordnung tut’s das.
Aber wir haben natürlich auch nur 20 Mitarbeiter, keine rechnergesteurte Produktion oder Hochregallager und auch nur einen Standort. Da würde man natürlich in einer ganz anderen Liga spielen.

Wichtig ist halt, das man sich Gedanken macht, welche Daten/Rechenvorgänge gibt es, wie wichtig sind die (= wie lange könnte die Firma drauf verzichten), was kann man auf die Schnelle mit anderen Dateiformaten wenigstens rudimantär simulieren (Ecxel-Liste statt Kundendatenbank), wo krieg ich schnell Ersatz her, wer kann den ganzen Kram in Betrieb nehmen.

Und für richtig kritische Anwendungen gibt es Versicherungen. Ein Bekannter hat mir mal erzählt, das VW im Jahr fast 1 Mio an HP für die Bereitstellung eines Notfall-Einsatzes zahlen würde. HP hat eine Großrechenanlage mit eigener Stromversorgung auf einem Sattelschlepper und Images von allen Großkunden. Wenn bei denen was so richtig schiefläuft, dann brettert der Sattelschlepper los, während der Fahrt wird schon das Image eingespielt und in Wolfsburg kann der dann nahezu sofort die Steuerung der Produktion übernehmen. Angesichts dessen, was ein einziger Tag Produktionsausfall kosten würde, ist die Mio im Jahr wohl auch gut angelegtes Geld. Für’n Friseursalon oder 'ne Anwaltskanzlei wohl eher übertrieben.

Jetzt kann sich jeder selber irgendwo dazwischen postieren

lg, mabuse