Hallo zusammen,

ich soll in der nächsten Zeit für ein Unternehmen einen IT-Notfallplan erstellen und bräuchte dafür ein wenig Unterstützung. Da ich soetwas noch niemals gemacht hatte, wäre natürlich eine Vorlage oder eine erste Checkliste optimal wie ich mit der Erstellung eines Planes vorgehe. Ist ein IT Notfallplan für jedes Unternehmen individuelloder einheitlich?

Danke im Voraus für die Unterstützung!

Ist ein IT Notfallplan für jedes Unternehmen individuell oder einheitlich?

Natürlich ist die für jedes Unternehmen individuell, da es keine zwei exakt identischen IT-Umgebungen gibt.

Nur als Anhaltspunkte, was so passieren kann und was zu bedenken ist (sicherlich unvollständig):

• Telefonanlage fällt aus; gibt es eine zweite, fertig konfigurierte Anlage oder müssen evtl. die Rufnummern im Amt umgeleitet werden - wie ist die Nummer des Providers?
  
• Ein Server fällt aus (hardwaremäßig) - wie schnell kann der ersetzt werden?
  
• Ein Server fällt aus (softwaremäßig) - dito; gibt es eine ordentliche Backup-Strategie?
  
• Der Serverraum brennt ab - gibt es ein Backup, wo die Backupmedien (Bänder? Festplatten?) in einem anderen Brandabschnitt des Gebäudes oder sogar komplett außerhalb des Gebäudes lagern?
  
• etc. etc.

Je nachdem wie viele Server im Einsatz sind, ob das evtl. alles virtualisiert ist oder sonstiges gibt es natürlich unterschiedliche Strategien.

Wichtig für einen Notfallplan ist auch immer, wer zu informieren ist (zB Geschätfsleitung, andere Standorte, ...), wer für die Behebung des Problemes zuständig ist und wer denjenigen vertritt. Bei uns sind das zum Teil externe Firmen, deshalb sind auch dessen Adressen und Service-Nummern hinterlegt.

Einen vernuenftigen Ansatz findest du z.B. beim BSI: https://www.bsi.bund.de/cae/servlet/contentblob/471456/publicationFile/30746/standard_1004.pdf

eye-q hat vom prinzip her schon recht. allerdings ist das m.e. ein bischen zu simpel gestrickt. man muss den bogen da ein bisschen weiter spannen. was soll denn der ziel des plans sein? die arbeitsfähigkeit möglichst schnell wieder herstellen. oder müssen server ausfallsicher betrieben werden. oder darf AUF GAR KEINEN FALLL daten verloren gehen usw.

ganz wichtig: ziel des plans definieren!

dann definieren, was "IT" überhaupt ist. wenn der betrieb seine telefone nur braucht, weil sich der techniker in der pause ne pizza bestellt, dann muss die tk-anlage nicht unbedingt in den notfallplan aufgenommen werden.

welche ausfallszenarien gibt es? stromausfall, feuer, hardwareschaden, fehlerhafte patches, sonnenwinde, ausfall der kühlanlage......

wie kritisch wirkt sich ein szenario auf ein bestimmtes gerät aus. wie groß ist der schaden, der entsteht... usw usf

was sind geeignete gegenmaßnahmen?

wenn du all diese punkt in eine bewertungsmatritze verwurschtelst, dann hast du schon eine ein brauchbares grundgerüst für einen notfallplan.

Das ist ein recht Komplexes und Umfangreiches Thema...

Zu berücksichtigen ist auch die Grösse des Unternehmens, finanzielle Mittel und Möglichkeiten, Anzahl der Standorte, etc.

Wichtig ist meiner Meinung nach ein Schrittweises Vorgehen, u.a.:

• Vollständige Inventur
  
• Liste aller wichtigen Geräte, Server, Applikationen, Daten und Datenbanken
  
• Backup Prozess der selben
  
• Liste aller Administrativen Zugangsdaten
  
• Support-Rufnummern, -SLA's und Wartungs-Verträge
  
• Schutz der Sicherung (feuersicherer Safe, extern, etc.)
  
• Backup von Konfigurations-Informationen (z.B. Router, Switch, etc.)
  
• Beschriffung aller Server, Netzwerkkabel, etc.
  
• Installations-Dateien und -Anleitung
  
• Betriebssystem-Installation, -Sicherung und -Wiederherstellung (OS Image, Virtualization, etc.)
  
• Alternative Wiederherstellung (Hochverfügbarkeit, Aktiv-Passiv Server, Virtualization, Ersatz-Server, etc.)
  
• Alternative Standort-Wiederherstellung (Hot-, Cold-Site, Virtualization, etc.)
  
• Netzwerk Patch-Plan, Switch Port-Geschwindigkeit
  
• ...
  

Weiterhin einige "Schlagworte" zum Thema:

• The 7-tiers of Disaster Recovery
  
• Tiered Disaster Recovery Classes
  
• ISO 22301
  
• IT-Grundschutz (BSI)
  
• Business Impact Analyse (BIA)
  
• Threat and Risk Analysis (TRA)
  
• Data Protection Level (RPO / RTO)
  
• Service Level Agreements (SLA)
  
• Emergency Response (ER)
  
• Business Continuity (BC)
  
• Continuous Data Protection (CDP)
  
• Virtualized Disaster Recovery (VDR)
  
• Continuity of Operations (COOP)
  
• Business Resumption (BR)
  
• Disaster Recovery (DR)
  
• Computer Emergency Response Teams (CERT)
  
• Business Continuity Planning (BCP)
  
• Universal Power Supply (UPS)
  
• Emergency Power System (EPS)
  
• ...
  

Sowie, abhängig vom Umfang des Notfallplan:

• Natural Disasters
  
• Crisis Communication
  
• Employee Assistance
  
• Crisis Management Plan
  
• ...
  

Gruss,

tester2k5

Bearbeitet 14. Juni 201312 j von tester2k5

Hallo Drivemaster,

ein IT Notfallplan ist immer individuell und Teil des allgemeinen Notfallplans eines Unternehmens. In der Regel ist die IT nicht Teil des Kerngeschäftsprozesses sondern dient unterstützend. Nichts desto trotz müssen viele Dinge geregelt werden, was jedoch nicht bedeutet, dass das Dokument überladen werden sollte. Was heisst das:

Anders als weiter oben geschrieben, sollten systemspezifische Information nicht in einem Notfallplan aufgeführt werden und das aus einem ganz einfachen Grund. Zum einen bekommt mann ansonsten sehr schnell ein Gesamtwerk von vielen hundert Seiten, welches ständig aktualisiert und noch viel wichtiger in der aktuellen Version verteilt werden muss. Denn je häufiger ein Dokument aktualisiert wird, desto aufwendiger ist die Lenkung des Dokuments. Zum zweiten ist ein solches Dokument sehr unhandlich. Das hat Auswirkungen auf den Freigabeprozess und im Fehlerfall auf die Händigkeit.

In einem Notfallplan sollen vor allem Ansprechpartner, Zuständigkeiten, Eskalations- und Informationspläne zusammengeführt werden. Wichtig sind auch Wiederanlaufpläne und Freigabeprozesse für z.B. Hardwarebeschaffung im Notfall. Wo gibt die Hardware überhaupt bzw. wer ist da Ansprechpartner. Natürlich sind die Punkte wie Datensicherung oder Serverinformationen wichtig, nur sollten diese Infos nur aus Verweis im Dokument enthalten sein. Dies hat den einfachen Vorteil, das bei Änderungen das jeweiligen Dokument aktualisiert werden kann, ohne das der Notfallplan aktualisiert wird.

Einen weiteren Punkt finde ich noch ganz wesentllich. Notfallpläne müssen lesbar, auch für nichttechniker verständlich und vor allem zu finden sein. Nicht wenige Unternehmen halten IT Notfallpläne nur elektronisch vor. Auch sollten Notfallszenarien regelmäßig geprobt werden.

MfG

it4management

Da dieser Beitrag sein einjähriges feiert, hier noch ein guter Text zu dem Thema: Ein IT-Notfallkonzept entwickeln | faq-o-matic.net