074: Notfall-Management und Notfall-Übung
Shownotes
In dieser Episode von BlueScreen Wissen geht es um die Vorbereitung auf IT-Notfälle und technische Probleme. Ein wichtiger Schritt dabei ist die Erstellung eines Notfallhandbuchs, das im Vorfeld festgelegt, wer im Ernstfall informiert werden muss. Kontaktdaten von internen und externen Ansprechpartnern sollten darin enthalten sein, ebenso wie klare Anweisungen für verschiedene Szenarien, wie zum Beispiel bei einem Cyberangriff.
Ein weiterer Fokus liegt auf der Analyse von kritischen IT-Systemen, Anwendungen und Geschäftsprozessen. Diese können in einem Dreiecksmodell dargestellt werden, um Abhängigkeiten und Ausfallzeiten zu visualisieren. Es ist entscheidend, Single Points of Failure zu identifizieren und entsprechende Maßnahmen für eine erhöhte Verfügbarkeit zu ergreifen, um die Auswirkungen von Ausfällen auf das Unternehmen zu minimieren.
Es wird betont, wie wichtig es ist, Notfallmaßnahmen regelmäßig zu überprüfen und zu testen, sei es in Form von Tabletop-Übungen oder Live-Tests. Insbesondere sollte die Reihenfolge für das Wiederanlaufen von Systemen nach einem Ausfall klar definiert sein, um unkoordinierte Reaktionen zu vermeiden. Die Dokumentation kritischer Informationen sollte außerhalb der aktiven Infrastruktur aufbewahrt werden, um im Ernstfall leicht zugänglich zu sein und vor potenziellen Angriffen, wie Ransomware, geschützt zu bleiben.
Abschließend wird empfohlen, Notfallpläne und -dokumentation regelmäßig zu überprüfen und zu aktualisieren, um sicherzustellen, dass alle erforderlichen Informationen aktuell und zugänglich sind. Zudem wird darauf hingewiesen, dass sensible Daten, wie Versicherungspolicen, nicht in der Notfalldokumentation enthalten sein sollten, um potenzielle Risiken durch Cyberangriffe zu minimieren. Integrativ werden verschiedene Modelle und Tools für die Notfallplanung und das Notfallmanagement diskutiert.
Shownotes:
- Du willst uns mal so richtig was sagen? Dann bitte hier entlang: https://www.speakpipe.com/bluescreen
- Über die folgenden Wege könnt ihr euch mit Alex vernetzen:
E-Mail: a.karls@pegasus-gmbh.de
LinkedIn: https://www.linkedin.com/in/alexander-karls-931685139/
Xing: https://www.xing.com/profile/Alexander_Karls/
- Ihr habt eine Frage oder benötigt Unterstützung? Dann bucht Alex doch am besten gleich direkt für eine kostenlose Erst-Beratung: https://outlook.office365.com/owa/calendar/pegasusGmbH@pegasus-gmbh.de/bookings/s/JNgw3gpy60qxL3GTo69SvA2
- Folgt uns auch auf unseren anderen Social Media Profilen: https://www.pegasus-gmbh.de/social-media/
Transkript anzeigen
00:00:06: Hallo und willkommen zu einer neuen Folge von Blue Screen Wissen.
00:00:09: Ich bin Alex und ich möchte mit der heutigen Folge mal anknüpfen an die letzte
00:00:13: Wissen-Folge, wo wir über das Thema ITQ-Basisprüfung gesprochen hatten.
00:00:17: Also die Anlehnung an den IT-Grundschutz,
00:00:20: an die DSGVO und was da so für Maßnahmen daraus resultieren.
00:00:24: Und ja, ein ganz, ganz wichtiger Aspekt in der Vorbereitung auf Vorfälle oder
00:00:30: auch technische Probleme ist es tatsächlich, wenn man sich ein Notfallhandbuch erstellt.
00:00:35: Das Ganze sollte man idealerweise heute schon tun, wo noch nichts passiert ist.
00:00:40: Das heißt, wo auch noch alles funktioniert, wo wir auch vielleicht den Kopf
00:00:43: und die Zeit dafür haben.
00:00:44: Und in so ein Notfallhandbuch gehört alles das rein, was im Fall einer Situation
00:00:49: tatsächlich erforderlich sein könnte. Klar, viele Admins wissen,
00:00:53: was zu tun ist, aber das ist dann halt nur in ihrem Kopf drin.
00:00:57: Das heißt, wenn dieser Admin gerade nicht verfügbar ist oder die Firma verlassen
00:01:00: hat, dann haben wir schon ein ziemlich großes Problem.
00:01:03: Das heißt, ohne Dokumentation können vielleicht andere Mitarbeiter des Unternehmens
00:01:07: gar nicht wissen, was sie tun sollen.
00:01:09: Eine Geschäftsleitung weiß es sehr wahrscheinlich dann eben auch nicht und externe
00:01:13: Dienstleister wie wir stehen dann eben auch wie der sprichwörtliche Ochs vorm
00:01:17: Berg und wissen halt nicht, wo wir jetzt zuerst hinfassen müssen.
00:01:20: Deswegen ganz wichtiger Punkt in der Strategie, in der Vorbereitung auf Vorfälle
00:01:25: und technische Störungen ist es, sich ein Notfallhandbuch zu erstellen.
00:01:30: Was sollte da so alles drinstehen? Auf der einen Seite natürlich sehr hilfreich,
00:01:34: wenn man eine Kontaktliste dort drin hat, ähnlich wie auch beim normalen Notrufmanagement.
00:01:39: Das heißt, ich weiß, wenn es brennt, rufe ich die Feuerwehr,
00:01:42: wenn mir was geklaut wurde, rufe ich die Polizei. sei, aber im Bereich IT und
00:01:46: Cyber, wen muss ich denn dann anrufen?
00:01:48: Und das sollte da eben mit drinstehen. Wer ist der Datenschutzbeauftragte?
00:01:51: Wer ist denn meine Versicherung?
00:01:53: Möglicherweise reichere ich dann dazu auch die Versicherungsnummer an,
00:01:57: die Nummer der Police, damit ich dann auch im Notfall, wenn ich das wirklich
00:02:00: brauche, die Information auch möglichst schnell zur Hand habe.
00:02:04: Und darin kann ich dann eben auch die verschiedenen Situationen eines Notfalls
00:02:08: schon definieren und dann mit Häkchen einfach sagen,
00:02:11: okay, keine Ahnung, wenn wir einen den Cybervorfall haben, uns wurden Daten
00:02:14: exfiltriert, ein Angreifer droht mit diesen Daten an die Öffentlichkeit zu gehen.
00:02:19: Wen muss ich jetzt anrufen? Da ist es dann ganz wichtig.
00:02:22: Ich muss halt verschiedene Positionen im Unternehmen informieren,
00:02:25: also natürlich die Geschäftsleitung, auch einen Datenschutzbeauftragten,
00:02:30: vielleicht auch die Personalabteilung, wenn es personenbezogene Daten von meinen Mitarbeitern sind.
00:02:34: Aber ich muss natürlich auch noch weitere externe Stellen informieren,
00:02:38: nämlich zum Beispiel auch unter Umständen den Landesdatenschutzbeauftragten
00:02:41: oder auch natürlich die Polizei, die zentrale Aufklärungsstelle Cybercrime, kurz ZAK.
00:02:47: Auch diese Nummern, die sollten da mit drinstehen, damit man einfach sehr schnell
00:02:51: halt damit bei der Hand ist, um dann im Fall einer Situation auch alles direkt zu haben.
00:02:55: Was dann noch mit natürlich eine große Rolle spielt im Bereich Notfallplanung
00:03:00: und Notfallmanagement, was dann natürlich in der Folge irgendwann in einer Notfallübung
00:03:04: auch mal passieren sollte, dass man es auch ausprobiert, ist natürlich auch eine Kombination aus,
00:03:10: welche Systeme haben wir denn eigentlich alle und welche Geschäftsprozesse haben wir.
00:03:14: Und da bietet es sich an, sich diese ganze Konstellation mal in einer Art Dreieck vorzustellen.
00:03:19: Ich mache das immer ganz gerne, dass an der einen Spitze des Dreieckes meine
00:03:23: kritischen IT-Systeme stehen, also meine ganzen Server, Netzwerke,
00:03:27: externe Datenverbindungen und so weiter und so fort. An dem zweiten Punkt in
00:03:31: dem Dreieck stehen meine Anwendungen.
00:03:33: Hier baue ich dann schon direkt eine Relation auf, dass ich sage,
00:03:36: Applikation XY braucht kritische IT-Infrastruktur, diesen Server,
00:03:41: dieses Storage-System und dieses Netzwerk.
00:03:43: Und zusätzlich dann der dritte Punkt, und damit wird das Dreieck dann komplett,
00:03:47: die Geschäftsprozesse. Welche Geschäftsprozesse haben wir denn?
00:03:50: Welche Software wird in diesem Geschäftsprozess benötigt?
00:03:54: Welche kritische IT-Systeme werden verwendet für diesen Geschäftsprozess und
00:03:58: dahinter auch direkt die Definition, wie lang darf das denn wunschgemäß ausfallen.
00:04:04: Und das ist ein ganz wichtiges Learning an der Stelle, wenn ich solche Notfallplanungen
00:04:08: für Kunden baue, dass dann ganz häufig die Aussage kommt, das darf nie ausfallen.
00:04:13: Wenn wir aber dann über die kritischen IT-Systeme gucken und stellen dann fest,
00:04:17: es gibt vielleicht nur einen Internetzugang, der ist nicht redundant,
00:04:20: aber der Geschäftsprozess bedingt halt, dass wir einen Internetzugang haben,
00:04:24: dann haben wir hier schon einen Single Point of Failure, kurz einen SPOV identifiziert.
00:04:28: Das wäre dann auch eine der ersten Maßnahmen, dass man sagt,
00:04:30: wenn wir sagen, es darf nie ausfallen, dann müssen wir auch für entsprechende
00:04:35: Hochverfügbarkeit sorgen, damit eben dieser Wunsch auch erfüllt werden kann.
00:04:38: Das ist die eine Variante.
00:04:40: Oder man muss halt mal mit ehrlichen Informationen da rangehen und sagen,
00:04:44: okay, wie lange fällt denn erfahrungsgemäß so ein Internetanschluss aus?
00:04:47: Je nachdem, was passiert. Wenn der Bagger die Schaufel in die Glasfaser haut,
00:04:50: wird es wahrscheinlich etwas länger dauern.
00:04:52: Wenn es nur darum geht, dass jetzt gerade der Router halt vielleicht gestorben
00:04:56: ist, möglicherweise habe ich einen Ersatzrouter, dann ist der Ausfall halt nicht ganz so lange.
00:05:00: Und dann das Ganze mit ehrlichen Zahlen einfach mal hinterlegt.
00:05:04: Und vor allem ganz wichtig auch aus Sicht der IT, es muss halt mit den Entscheidern,
00:05:08: mit der Geschäftsführung, mit den verschiedenen Stakeholdern auch abgestimmt
00:05:11: werden, damit man hier auch wirklich über gleiche Werte spricht.
00:05:15: In der Folge ergibt sich daraus wieder eine weitere Information,
00:05:18: wenn ich sage, ich erlaube mir selber einen Ausfall von maximal 24 Stunden,
00:05:23: dann kann ich auch natürlich dem gegenüberstellen, was bedeutet denn 24 Stunden
00:05:28: Ausfall von diesem Geschäftsprozess für mein Unternehmen.
00:05:31: Sowas kriegt man zum Beispiel über eine Bilanz relativ gut schon mal zumindest
00:05:34: in eine grobe Richtung gespielt.
00:05:36: Dann weiß ich, ein Tag Ausfall kostet mich so und so viele Euros.
00:05:40: Die Lösung, um es redundant zu machen, kostet so und so viele,
00:05:43: wie oft ist es tatsächlich schon vorgekommen und damit kriege ich auch gleich
00:05:46: eine Argumentation einfach auch aufgebaut,
00:05:48: die mir dann einfach auch Richtung Entscheidern helfen kann als IT-Verantwortlicher,
00:05:53: um halt einfach die Situation zu verbessern, um dann eher in Richtung des gewünschten
00:05:58: Ausfallmaximums zu kommen.
00:06:00: Und das ist was, das geht eben aus so einem Notfallmanagement immer sehr gut
00:06:04: hervor und aus so einer Notfallplanung.
00:06:06: Und ja, da gibt es verschiedene Modelle, wie man das Ganze bauen kann.
00:06:09: Ich benutze gerne das Richtlinienpaket, was es eben auch in Ergänzung zu der
00:06:14: ITQ-Basisprüfung gibt.
00:06:15: Da sind ganz viele Vorlagen für solche Themen einfach schon mit drin.
00:06:18: Es gibt aber auch natürlich eine Menge anderer Möglichkeiten.
00:06:21: Manche gehen eben über den ISO-Weg,
00:06:23: ISO 27001. Da ist es dann eher so die ISMS-Betrachtung des Ganzen.
00:06:27: Oder man lehnt sich an den Katalogen des BSI an, zum Beispiel der 100-4.
00:06:32: Auch da ist Notfallmanagement und Vorbereitung schon ein ziemlich großer Bestandteil.
00:06:36: Es gibt aber natürlich noch viele weitere Möglichkeiten.
00:06:39: IBCRM hat da auch eine ganz tolle Sammlung an Tools, an Excel-Dateien.
00:06:44: Da gibt es im Prinzip dann auch diese Dreiecksbetrachtung eher in einer horizontalen Darstellung.
00:06:49: Auch da geht man her, man sagt, okay, ich habe den Geschäftsprozess,
00:06:53: der braucht die Systeme, die brauchen diese Infrastruktur.
00:06:56: Diese Infrastruktur hat zusätzlich
00:06:58: diese Netze, interne, externe Datenverbindungen, wer ist da zuständig?
00:07:02: Und wenn an einer dieser Stellen die Kritikalität oder auch die maximale Ausfalldauer
00:07:08: nach unten geht, zieht das dann entsprechend den Rest der Kette mit durch.
00:07:12: Das heißt, wenn ich einen Server habe, wo zum Beispiel zwei Applikationen drauf
00:07:15: laufen, die eine darf maximal vier Stunden ausfallen, die andere darf aber ruhig
00:07:19: auch mal zwei Tage ausfallen, ist die Kritikalität und die Betrachtung der Verfügbarkeit
00:07:23: natürlich auch für die Applikation, die zwei Tage ausfallen darf,
00:07:27: als Trittbrett-Effekt bei vier Stunden, weil es ja das gleiche IT-System verwendet.
00:07:32: Also da kann man sich sehr gute Hilfsmittel einfach holen.
00:07:35: Gerne, wenn da Interesse daran besteht, auch mal bei uns melden.
00:07:39: Kontaktdaten findet ihr wie immer unten in den Shownotes. Wir haben da wie gesagt
00:07:43: eine Menge verschiedener Vorlagen und Werkzeuge, um euch da auch zur Seite zu stehen.
00:07:47: Ganz wichtig, wie gesagt, diese Notfälle, die man sich ausgedacht hat,
00:07:52: die sollte man irgendwann auch mal wirklich auf den Prüfstand stellen.
00:07:55: Das kann dann entweder in Form einer Tabletop-Übung stattfinden,
00:07:58: in dem man halt wirklich hergeht und sagt, so, jetzt ist es soweit,
00:08:00: wir tun mal so, als ob das System XY ausgefallen ist, was müsst ihr jetzt tun?
00:08:06: Oder aber, was man auch tun kann, ist natürlich, man probiert es am lebenden Objekt aus.
00:08:11: Man kann sowas auch ankündigen, dass man sagt, wir testen jetzt mal,
00:08:15: ähnlich wie bei einer Evakuierungsübung, was passiert, wenn ich jetzt an einem
00:08:19: meiner Server einfach hinten den Stromstecker rausziehe, das System ist sofort down.
00:08:23: Was muss ich jetzt tun? Damit kriege ich halt auch Praxiserfahrung.
00:08:27: Was da natürlich sehr hilfreich dann sein kann,
00:08:30: ist, wenn ich in meiner Dokumentation der kritischen IT-Systeme auch die Reihenfolgen
00:08:35: für den Wiederanlauf, direkt mitdefiniere,
00:08:37: weil es kann ja sein, zum Beispiel, wenn ein Stromausfall gewesen ist und meine
00:08:42: USV hat das abgefangen, jetzt ist der Strom wieder da und ich fahre sofort wieder
00:08:46: alles hoch und alle Leute arbeiten fleißig weiter,
00:08:48: dass das vielleicht ja schon ein kritisches Thema ist, weil wenn meine USV-Akkus
00:08:52: noch gar nicht wieder aufgeladen sind und der Strom fällt ein weiteres Mal aus,
00:08:56: dann haben wir eben nicht mehr den koordinierten, sauberen Prozess des Herunterfahrens
00:09:01: meiner Infrastruktur über eine Software,
00:09:03: sondern dann ist halt wirklich sofort alles aus und dann kommen wir in eine Situation.
00:09:08: Wo die Systeme möglicherweise einfach eben nicht sauber wieder hochkommen und
00:09:12: auch sowas sollte man einfach mal durchspielen.
00:09:14: Ganz wichtig, wie gesagt, wie der Anlauf kann man hiermit auf jeden Fall gleich
00:09:18: mit definieren und was eben noch auch dazu kommt, bitte nie vergessen,
00:09:23: die Dokumentation liegt unter Umständen auf einem System, was gerade nicht verfügbar ist.
00:09:27: Das heißt, diese ganzen Notfallmanagementmaßnahmen sollten nicht in der aktiven Infrastruktur liegen.
00:09:34: Es bietet sich an, zum Beispiel sowas in eine der verschiedenen Clouds auszulagern,
00:09:38: zum Beispiel nach OneDrive oder SharePoint.
00:09:40: Oder man druckt es sich einfach aus und macht einmal im Quartal eine Revision
00:09:44: dieser Dokumente. Passt das noch?
00:09:46: Ist hier noch alles drin? Hat sich vielleicht irgendwo ein Ansprechpartner geändert?
00:09:49: Und passt diese ganzen Sachen dann entsprechend an?
00:09:52: Es sollte halt auch in einer Kopie mehrfach vorhanden sein im Unternehmen.
00:09:56: Wichtig ist, ich muss halt drankommen im Fall der Fälle. Und anders als die
00:10:00: Versicherungspolize von meiner Risikoversicherung, wo auch die versicherte Summe
00:10:04: drinsteht, sollte das definitiv ausgehen.
00:10:07: Irgendwo erreichbar sein. Die Versicherungspolizei sollte dort nicht liegen,
00:10:11: weil Angreifer gerade jetzt im Bereich Ransomware werden sehr schnell nach solchen
00:10:16: Dokumenten halt suchen und dann könnt ihr davon ausgehen, dass die Lösegeldsumme,
00:10:21: die dort gefordert wird, sich ziemlich
00:10:22: daran orientiert, was auch in eurem Versicherungspolizen drin steht.
00:10:26: Denn ja, da hat man natürlich dann relativ leichtes Spiel als Angreifer,
00:10:30: diese Forderung auch durchzusetzen.
00:10:31: Ja und das ist es tatsächlich schon wieder für unsere heutige Folge.
00:10:34: Ich hoffe, ihr konntet ein bisschen was mitnehmen. Wenn ihr Unterstützung braucht
00:10:38: bei der Erstellung von Notfallplänen, wenn ihr Unterstützung braucht bei der
00:10:43: Umsetzung von solchen Maßnahmen, meldet euch gerne bei mir.
00:10:46: Wie gesagt, Kontaktdaten findet ihr unten bei dem Podcatcher oder in YouTube,
00:10:50: je nachdem, wo ihr das Ganze gerade seht und hört.
00:10:53: Und dann freue ich mich natürlich auf eine Nachricht von euch.
00:10:56: Ansonsten lasst gerne mal eine Bewertung da. Auch eine Sprachnachricht könnt
00:10:59: ihr mir ja jetzt mittlerweile schon seit ein paar Monaten jetzt schicken über
00:11:02: Speakpipe, findet ihr auch unten.
00:11:04: Und dann freue ich mich auch, wenn ihr beim nächsten Mal wieder einschaltet.
00:11:08: Bis dahin, euer Alex. Ciao.
00:11:11: Music.
Neuer Kommentar