IT-Disaster-Prevention - Agieren statt reagieren

Der Begriff Disaster-Recovery ("Notfallwiederherstellung") hingegen ist eindeutig von der IT-Branche in Beschlag genommen - heißt das, dass ein "Disaster" in der EDV alltäglich ist und wir gelernt haben damit umzugehen? Wir haben uns zumindest mit einigen Fragen schon auseinandergesetzt:

• Was tun im Notfall?
• Was ist eine Notfall?
• Wie lange dürfen meine Systeme ausfallen?
• Welche Komponenten sind besonders sensibel?

Alle Antworten auf diese Fragen sollten eigentlich darauf abzielen, ein Disaster zu verhindern und nicht Pläne für den Fall des Falles enthalten, wie ich meine System wieder in den normalen Betriebszustand versetze.

Defacto beschreibt der Begriff "IT-Continuity-Planning" ("Planung für einen kontinuierlichen Betrieb der IT") die richtige Vorgangsweise, beinhaltet vorbeugende Maßnahmen ebenso wie Pläne für den Fall des Eintretens eines IT-Krisenfalls. Ein solcher "Kontinuitätsplan" sollte in Anlehnung an die ISO27001 formuliert werden in Form von Regeln, Arbeitsanweisungen, Checklisten usw., getragen von allen Mitarbeitern - auch von der Chefetage (Schlagwort: Awareness-Bildung, alle Beteiligte müssen den Sinn erkennen um sich mit diversen Maßnahmen auch identifizieren zu können). Wesentliche Inhalte sind nicht nur technische Fragen, sondern besonders auch organisatorische: z.B. der Ausfall welcher Mitarbeiter ist für mein Unternehmen kritisch, wie schnell kann jemand einspringen (intern oder extern), sind alle notwendigen Zugangsdaten gesichert hinterlegt, wie lange dauert das Finden einer Ersatzperson? Das führt in logischer Folge zur Definition kritischer Prozesse und deren Abhängigkeiten.

Zusätzlich zur exakten Planung stehen auch Werkzeuge (Tools) zur Verfügung, die eine richtige Umsetzung unterstützen (z.B. der "BCP-Generator" - BCP=Business-Conitinuity-Plan, (www.bcpgenerator.com). Einige unserer Kunden setzen auch eigene Entwicklungen für die EDV-Begleitung ein, wie z.B. auch eine Notes-Datenbank, für die sie bereits ein Bug-tracking-System entwickelt haben, das sich mit dem Mailsystem zusammen gut zu einer Gesamtlösung integrieren lässt.

Zum Schluss noch eine wichtige Anmerkung aus der Praxis: Regeln, deren Einhaltung nicht überprüft werden - und deren Nichteinhaltung keine Konsequenzen hat - werden im Laufe der Zeit "aufgeweicht". Solange nichts passiert, fällt das meistens auch nicht auf!

Daher: Einsatz von Tools, die ein Auditing/Reauditing leicht möglich machen!

Dr. Manfred Wöhrl ist seit mehr als 25 Jahren im Bereich der EDV mit den Spezialgebieten Computervernetzung und Security (CCSE - Checkpoint Certified Security Engineer) tätig. Er ist Lehrbeauftragter an der Wirtschaftsuniversität Wien, Vortragender der Donau-Universität in Krems und Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. Dr. Wöhrl ist Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen und gerichtlich beeideter und zertifizierter Sachverständiger. Manfred.Woehrl@rics.at