074: Notfall-Management und Notfall-Übung

00:00:06: Hallo und willkommen zu einer neuen Folge von Blue Screen Wissen.

00:00:09: Ich bin Alex und ich möchte mit der heutigen Folge mal anknüpfen an die letzte

00:00:13: Wissen-Folge, wo wir über das Thema ITQ-Basisprüfung gesprochen hatten.

00:00:17: Also die Anlehnung an den IT-Grundschutz,

00:00:20: an die DSGVO und was da so für Maßnahmen daraus resultieren.

00:00:24: Und ja, ein ganz, ganz wichtiger Aspekt in der Vorbereitung auf Vorfälle oder

00:00:30: auch technische Probleme ist es tatsächlich, wenn man sich ein Notfallhandbuch erstellt.

00:00:35: Das Ganze sollte man idealerweise heute schon tun, wo noch nichts passiert ist.

00:00:40: Das heißt, wo auch noch alles funktioniert, wo wir auch vielleicht den Kopf

00:00:43: und die Zeit dafür haben.

00:00:44: Und in so ein Notfallhandbuch gehört alles das rein, was im Fall einer Situation

00:00:49: tatsächlich erforderlich sein könnte. Klar, viele Admins wissen,

00:00:53: was zu tun ist, aber das ist dann halt nur in ihrem Kopf drin.

00:00:57: Das heißt, wenn dieser Admin gerade nicht verfügbar ist oder die Firma verlassen

00:01:00: hat, dann haben wir schon ein ziemlich großes Problem.

00:01:03: Das heißt, ohne Dokumentation können vielleicht andere Mitarbeiter des Unternehmens

00:01:07: gar nicht wissen, was sie tun sollen.

00:01:09: Eine Geschäftsleitung weiß es sehr wahrscheinlich dann eben auch nicht und externe

00:01:13: Dienstleister wie wir stehen dann eben auch wie der sprichwörtliche Ochs vorm

00:01:17: Berg und wissen halt nicht, wo wir jetzt zuerst hinfassen müssen.

00:01:20: Deswegen ganz wichtiger Punkt in der Strategie, in der Vorbereitung auf Vorfälle

00:01:25: und technische Störungen ist es, sich ein Notfallhandbuch zu erstellen.

00:01:30: Was sollte da so alles drinstehen? Auf der einen Seite natürlich sehr hilfreich,

00:01:34: wenn man eine Kontaktliste dort drin hat, ähnlich wie auch beim normalen Notrufmanagement.

00:01:39: Das heißt, ich weiß, wenn es brennt, rufe ich die Feuerwehr,

00:01:42: wenn mir was geklaut wurde, rufe ich die Polizei. sei, aber im Bereich IT und

00:01:46: Cyber, wen muss ich denn dann anrufen?

00:01:48: Und das sollte da eben mit drinstehen. Wer ist der Datenschutzbeauftragte?

00:01:51: Wer ist denn meine Versicherung?

00:01:53: Möglicherweise reichere ich dann dazu auch die Versicherungsnummer an,

00:01:57: die Nummer der Police, damit ich dann auch im Notfall, wenn ich das wirklich

00:02:00: brauche, die Information auch möglichst schnell zur Hand habe.

00:02:04: Und darin kann ich dann eben auch die verschiedenen Situationen eines Notfalls

00:02:08: schon definieren und dann mit Häkchen einfach sagen,

00:02:11: okay, keine Ahnung, wenn wir einen den Cybervorfall haben, uns wurden Daten

00:02:14: exfiltriert, ein Angreifer droht mit diesen Daten an die Öffentlichkeit zu gehen.

00:02:19: Wen muss ich jetzt anrufen? Da ist es dann ganz wichtig.

00:02:22: Ich muss halt verschiedene Positionen im Unternehmen informieren,

00:02:25: also natürlich die Geschäftsleitung, auch einen Datenschutzbeauftragten,

00:02:30: vielleicht auch die Personalabteilung, wenn es personenbezogene Daten von meinen Mitarbeitern sind.

00:02:34: Aber ich muss natürlich auch noch weitere externe Stellen informieren,

00:02:38: nämlich zum Beispiel auch unter Umständen den Landesdatenschutzbeauftragten

00:02:41: oder auch natürlich die Polizei, die zentrale Aufklärungsstelle Cybercrime, kurz ZAK.

00:02:47: Auch diese Nummern, die sollten da mit drinstehen, damit man einfach sehr schnell

00:02:51: halt damit bei der Hand ist, um dann im Fall einer Situation auch alles direkt zu haben.

00:02:55: Was dann noch mit natürlich eine große Rolle spielt im Bereich Notfallplanung

00:03:00: und Notfallmanagement, was dann natürlich in der Folge irgendwann in einer Notfallübung

00:03:04: auch mal passieren sollte, dass man es auch ausprobiert, ist natürlich auch eine Kombination aus,

00:03:10: welche Systeme haben wir denn eigentlich alle und welche Geschäftsprozesse haben wir.

00:03:14: Und da bietet es sich an, sich diese ganze Konstellation mal in einer Art Dreieck vorzustellen.

00:03:19: Ich mache das immer ganz gerne, dass an der einen Spitze des Dreieckes meine

00:03:23: kritischen IT-Systeme stehen, also meine ganzen Server, Netzwerke,

00:03:27: externe Datenverbindungen und so weiter und so fort. An dem zweiten Punkt in

00:03:31: dem Dreieck stehen meine Anwendungen.

00:03:33: Hier baue ich dann schon direkt eine Relation auf, dass ich sage,

00:03:36: Applikation XY braucht kritische IT-Infrastruktur, diesen Server,

00:03:41: dieses Storage-System und dieses Netzwerk.

00:03:43: Und zusätzlich dann der dritte Punkt, und damit wird das Dreieck dann komplett,

00:03:47: die Geschäftsprozesse. Welche Geschäftsprozesse haben wir denn?

00:03:50: Welche Software wird in diesem Geschäftsprozess benötigt?

00:03:54: Welche kritische IT-Systeme werden verwendet für diesen Geschäftsprozess und

00:03:58: dahinter auch direkt die Definition, wie lang darf das denn wunschgemäß ausfallen.

00:04:04: Und das ist ein ganz wichtiges Learning an der Stelle, wenn ich solche Notfallplanungen

00:04:08: für Kunden baue, dass dann ganz häufig die Aussage kommt, das darf nie ausfallen.

00:04:13: Wenn wir aber dann über die kritischen IT-Systeme gucken und stellen dann fest,

00:04:17: es gibt vielleicht nur einen Internetzugang, der ist nicht redundant,

00:04:20: aber der Geschäftsprozess bedingt halt, dass wir einen Internetzugang haben,

00:04:24: dann haben wir hier schon einen Single Point of Failure, kurz einen SPOV identifiziert.

00:04:28: Das wäre dann auch eine der ersten Maßnahmen, dass man sagt,

00:04:30: wenn wir sagen, es darf nie ausfallen, dann müssen wir auch für entsprechende

00:04:35: Hochverfügbarkeit sorgen, damit eben dieser Wunsch auch erfüllt werden kann.

00:04:38: Das ist die eine Variante.

00:04:40: Oder man muss halt mal mit ehrlichen Informationen da rangehen und sagen,

00:04:44: okay, wie lange fällt denn erfahrungsgemäß so ein Internetanschluss aus?

00:04:47: Je nachdem, was passiert. Wenn der Bagger die Schaufel in die Glasfaser haut,

00:04:50: wird es wahrscheinlich etwas länger dauern.

00:04:52: Wenn es nur darum geht, dass jetzt gerade der Router halt vielleicht gestorben

00:04:56: ist, möglicherweise habe ich einen Ersatzrouter, dann ist der Ausfall halt nicht ganz so lange.

00:05:00: Und dann das Ganze mit ehrlichen Zahlen einfach mal hinterlegt.

00:05:04: Und vor allem ganz wichtig auch aus Sicht der IT, es muss halt mit den Entscheidern,

00:05:08: mit der Geschäftsführung, mit den verschiedenen Stakeholdern auch abgestimmt

00:05:11: werden, damit man hier auch wirklich über gleiche Werte spricht.

00:05:15: In der Folge ergibt sich daraus wieder eine weitere Information,

00:05:18: wenn ich sage, ich erlaube mir selber einen Ausfall von maximal 24 Stunden,

00:05:23: dann kann ich auch natürlich dem gegenüberstellen, was bedeutet denn 24 Stunden

00:05:28: Ausfall von diesem Geschäftsprozess für mein Unternehmen.

00:05:31: Sowas kriegt man zum Beispiel über eine Bilanz relativ gut schon mal zumindest

00:05:34: in eine grobe Richtung gespielt.

00:05:36: Dann weiß ich, ein Tag Ausfall kostet mich so und so viele Euros.

00:05:40: Die Lösung, um es redundant zu machen, kostet so und so viele,

00:05:43: wie oft ist es tatsächlich schon vorgekommen und damit kriege ich auch gleich

00:05:46: eine Argumentation einfach auch aufgebaut,

00:05:48: die mir dann einfach auch Richtung Entscheidern helfen kann als IT-Verantwortlicher,

00:05:53: um halt einfach die Situation zu verbessern, um dann eher in Richtung des gewünschten

00:05:58: Ausfallmaximums zu kommen.

00:06:00: Und das ist was, das geht eben aus so einem Notfallmanagement immer sehr gut

00:06:04: hervor und aus so einer Notfallplanung.

00:06:06: Und ja, da gibt es verschiedene Modelle, wie man das Ganze bauen kann.

00:06:09: Ich benutze gerne das Richtlinienpaket, was es eben auch in Ergänzung zu der

00:06:14: ITQ-Basisprüfung gibt.

00:06:15: Da sind ganz viele Vorlagen für solche Themen einfach schon mit drin.

00:06:18: Es gibt aber auch natürlich eine Menge anderer Möglichkeiten.

00:06:21: Manche gehen eben über den ISO-Weg,

00:06:23: ISO 27001. Da ist es dann eher so die ISMS-Betrachtung des Ganzen.

00:06:27: Oder man lehnt sich an den Katalogen des BSI an, zum Beispiel der 100-4.

00:06:32: Auch da ist Notfallmanagement und Vorbereitung schon ein ziemlich großer Bestandteil.

00:06:36: Es gibt aber natürlich noch viele weitere Möglichkeiten.

00:06:39: IBCRM hat da auch eine ganz tolle Sammlung an Tools, an Excel-Dateien.

00:06:44: Da gibt es im Prinzip dann auch diese Dreiecksbetrachtung eher in einer horizontalen Darstellung.

00:06:49: Auch da geht man her, man sagt, okay, ich habe den Geschäftsprozess,

00:06:53: der braucht die Systeme, die brauchen diese Infrastruktur.

00:06:56: Diese Infrastruktur hat zusätzlich

00:06:58: diese Netze, interne, externe Datenverbindungen, wer ist da zuständig?

00:07:02: Und wenn an einer dieser Stellen die Kritikalität oder auch die maximale Ausfalldauer

00:07:08: nach unten geht, zieht das dann entsprechend den Rest der Kette mit durch.

00:07:12: Das heißt, wenn ich einen Server habe, wo zum Beispiel zwei Applikationen drauf

00:07:15: laufen, die eine darf maximal vier Stunden ausfallen, die andere darf aber ruhig

00:07:19: auch mal zwei Tage ausfallen, ist die Kritikalität und die Betrachtung der Verfügbarkeit

00:07:23: natürlich auch für die Applikation, die zwei Tage ausfallen darf,

00:07:27: als Trittbrett-Effekt bei vier Stunden, weil es ja das gleiche IT-System verwendet.

00:07:32: Also da kann man sich sehr gute Hilfsmittel einfach holen.

00:07:35: Gerne, wenn da Interesse daran besteht, auch mal bei uns melden.

00:07:39: Kontaktdaten findet ihr wie immer unten in den Shownotes. Wir haben da wie gesagt

00:07:43: eine Menge verschiedener Vorlagen und Werkzeuge, um euch da auch zur Seite zu stehen.

00:07:47: Ganz wichtig, wie gesagt, diese Notfälle, die man sich ausgedacht hat,

00:07:52: die sollte man irgendwann auch mal wirklich auf den Prüfstand stellen.

00:07:55: Das kann dann entweder in Form einer Tabletop-Übung stattfinden,

00:07:58: in dem man halt wirklich hergeht und sagt, so, jetzt ist es soweit,

00:08:00: wir tun mal so, als ob das System XY ausgefallen ist, was müsst ihr jetzt tun?

00:08:06: Oder aber, was man auch tun kann, ist natürlich, man probiert es am lebenden Objekt aus.

00:08:11: Man kann sowas auch ankündigen, dass man sagt, wir testen jetzt mal,

00:08:15: ähnlich wie bei einer Evakuierungsübung, was passiert, wenn ich jetzt an einem

00:08:19: meiner Server einfach hinten den Stromstecker rausziehe, das System ist sofort down.

00:08:23: Was muss ich jetzt tun? Damit kriege ich halt auch Praxiserfahrung.

00:08:27: Was da natürlich sehr hilfreich dann sein kann,

00:08:30: ist, wenn ich in meiner Dokumentation der kritischen IT-Systeme auch die Reihenfolgen

00:08:35: für den Wiederanlauf, direkt mitdefiniere,

00:08:37: weil es kann ja sein, zum Beispiel, wenn ein Stromausfall gewesen ist und meine

00:08:42: USV hat das abgefangen, jetzt ist der Strom wieder da und ich fahre sofort wieder

00:08:46: alles hoch und alle Leute arbeiten fleißig weiter,

00:08:48: dass das vielleicht ja schon ein kritisches Thema ist, weil wenn meine USV-Akkus

00:08:52: noch gar nicht wieder aufgeladen sind und der Strom fällt ein weiteres Mal aus,

00:08:56: dann haben wir eben nicht mehr den koordinierten, sauberen Prozess des Herunterfahrens

00:09:01: meiner Infrastruktur über eine Software,

00:09:03: sondern dann ist halt wirklich sofort alles aus und dann kommen wir in eine Situation.

00:09:08: Wo die Systeme möglicherweise einfach eben nicht sauber wieder hochkommen und

00:09:12: auch sowas sollte man einfach mal durchspielen.

00:09:14: Ganz wichtig, wie gesagt, wie der Anlauf kann man hiermit auf jeden Fall gleich

00:09:18: mit definieren und was eben noch auch dazu kommt, bitte nie vergessen,

00:09:23: die Dokumentation liegt unter Umständen auf einem System, was gerade nicht verfügbar ist.

00:09:27: Das heißt, diese ganzen Notfallmanagementmaßnahmen sollten nicht in der aktiven Infrastruktur liegen.

00:09:34: Es bietet sich an, zum Beispiel sowas in eine der verschiedenen Clouds auszulagern,

00:09:38: zum Beispiel nach OneDrive oder SharePoint.

00:09:40: Oder man druckt es sich einfach aus und macht einmal im Quartal eine Revision

00:09:44: dieser Dokumente. Passt das noch?

00:09:46: Ist hier noch alles drin? Hat sich vielleicht irgendwo ein Ansprechpartner geändert?

00:09:49: Und passt diese ganzen Sachen dann entsprechend an?

00:09:52: Es sollte halt auch in einer Kopie mehrfach vorhanden sein im Unternehmen.

00:09:56: Wichtig ist, ich muss halt drankommen im Fall der Fälle. Und anders als die

00:10:00: Versicherungspolize von meiner Risikoversicherung, wo auch die versicherte Summe

00:10:04: drinsteht, sollte das definitiv ausgehen.

00:10:07: Irgendwo erreichbar sein. Die Versicherungspolizei sollte dort nicht liegen,

00:10:11: weil Angreifer gerade jetzt im Bereich Ransomware werden sehr schnell nach solchen

00:10:16: Dokumenten halt suchen und dann könnt ihr davon ausgehen, dass die Lösegeldsumme,

00:10:21: die dort gefordert wird, sich ziemlich

00:10:22: daran orientiert, was auch in eurem Versicherungspolizen drin steht.

00:10:26: Denn ja, da hat man natürlich dann relativ leichtes Spiel als Angreifer,

00:10:30: diese Forderung auch durchzusetzen.

00:10:31: Ja und das ist es tatsächlich schon wieder für unsere heutige Folge.

00:10:34: Ich hoffe, ihr konntet ein bisschen was mitnehmen. Wenn ihr Unterstützung braucht

00:10:38: bei der Erstellung von Notfallplänen, wenn ihr Unterstützung braucht bei der

00:10:43: Umsetzung von solchen Maßnahmen, meldet euch gerne bei mir.

00:10:46: Wie gesagt, Kontaktdaten findet ihr unten bei dem Podcatcher oder in YouTube,

00:10:50: je nachdem, wo ihr das Ganze gerade seht und hört.

00:10:53: Und dann freue ich mich natürlich auf eine Nachricht von euch.

00:10:56: Ansonsten lasst gerne mal eine Bewertung da. Auch eine Sprachnachricht könnt

00:10:59: ihr mir ja jetzt mittlerweile schon seit ein paar Monaten jetzt schicken über

00:11:02: Speakpipe, findet ihr auch unten.

00:11:04: Und dann freue ich mich auch, wenn ihr beim nächsten Mal wieder einschaltet.

00:11:08: Bis dahin, euer Alex. Ciao.

00:11:11: Music.