IT-Notfallplanung? Besser ist das …

- Februar 29, 2012

„Haben Sie einen IT-Notfallplan?“ – diese Frage stellen wir unseren Kunden im Rahmen von Bestandsaufnahmen zu Datenschutz und Datensicherheit in einem Unternehmen mit schöner Regelmäßigkeit. In ebenso schöner Regelmäßigkeit ist die Antwort Nein. Bestenfalls lautet sie: „Wir arbeiten daran, sind aber noch nicht sehr weit“. Letzteres hätte auch meine Antwort sein können, hätte man mich vor kurzem gefragt. Die Ich-AG, die unser kleines Beratungsbüro jahrelang gewesen ist, war im Laufe der Zeit zu einem Team mit fünf Leuten gewachsen. Das erforderte eine ganz andere technische Ausstattung; inzwischen verfügen wir über einen eigenen Server, der unsere Dateien als auch unsere E-Mail beherbergt. Mit einem täglichen Back-Up des Servers und einer Liste mit Passwörtern im Tresor wähnte ich mich vorläufig gegen die Folgen von IT-Ausfällen einigermaßen gewappnet. Aufgrund kritischer Fragen unseres neuen Kollegen („haben wir hier eigentlich einen Notfallplan?“ – neue Besen kehren gut …) beauftragte ich den Techniker unter uns noch mit der Systematisierung der Zugangsdaten, Lizenznummern und vergleichbaren Dingen und beschloss, in einer ruhigen Minute ein vollständiges Notfallhandbuch zu entwerfen.

Halbe Notfallplanung

Doch – während man plant, passiert das Leben. An einem Freitag waren wir morgens nur  zu zweit im Büro, zwei Kolleginnen waren im Urlaub, ein weiterer auf Dienstreise. Beim Einschalten der Arbeitsplatzrechner reagierte der Server mit Fehlermeldungen. Die üblichen Erste-Hilfe-Maßnahmen – Neustarten, Stecker kontrollieren, Stecker ziehen … – brachten ebenso wenig Besserung wie der Versuch der Fernwartung durch unseren IT-Dienstleister. Schon die Fernwartung förderte die ersten Mängel unserer halben Notfallplanung ans Licht. „Wie lautet die IP-Adresse des Servers?“. Dumm, wenn der Mitarbeiter, der das weiß, nicht da ist und die IP-Adresse nirgendwo aufgeschrieben ist. Natürlich kann jemand, der sich auskennt, die Adresse irgendwie aus dem System auslesen. Aber das dauert. „Wie heißt die interne Domaine?“. Noch so eine Frage, mit der die nur mit technischem Halbwissen ausgestatteten Anwesenden überfordert waren.

Diagnose Totalschaden

Die Vor-Ort-Analyse erbrachte die Erkenntnis, dass von den vier Festplatten, die der Server beherbergt, zwei einen Totalschaden erlitten hatten. Der Techniker plante, die Daten auf die zwei funktionierenden zu legen, damit wir wenigstens vorläufig wieder arbeitsfähig wären, bis neue Festplatten geliefert sein würden. Der Ausgang der Operation war ungewiss und auch in diesem Zusammenhang suchten wir wieder nach Passwörtern, Zugangsdaten, Sicherungs-CDs … und mit welcher Software ist das Back-Up erstellt?! – was meine ohnehin nicht gerade gute Laune noch weiter sinken ließ. Eine Dokumentation über den Server fehlte, die lag bei dem früheren IT-Dienstleister, der den Server eingerichtet hatte. Seine Firma war von einer anderen aufgekauft worden und diese wollte so kleine Einheiten wie die unsere nicht mehr betreuen. Außerordentlich hilfreich ist auch, wenn die Passwörter für so einen Notfall in einer Excel-Tabelle auf dem Server gespeichert sind. Auf diese Weise waren wir dann dort, wo wir auch ohne Excel-Tabelle gewesen wären, bei einer Handvoll loser Zettel, die im Tresor lagerten.

IT-Notfallplan für ein kleines Büro

Alles in allem hat uns die schlechte Organisation sicher zwei bis drei Stunden zusätzlich aufgehalten – mal abgesehen von der Tatsache, dass auch die entsprechenden Kosten vermeidbar gewesen wären. Immerhin sind wir jetzt auf die harte Tour klüger geworden: Alle Fakten über die technischen Systeme müssen schriftlich und übersichtlich festgehalten werden. Auch die Kleinigkeiten, die scheinbar selbstverständlich sind, wie die IP Adressen von Server und Firewall, die Domain-Namen, die Software und ihre Versionen. Die Dokumentation muss außerhalb aufbewahrt werden, in Papierform oder auf anderen Speichermedien, aber jedenfalls nicht in dem System, das gesichert werden soll. Sie muss so gestaltet sein, dass auch ein bisher unbeteiligter Dritter daraus schlau wird. Und sie muss aktuell gehalten werden. Es gilt die Frage zu beantworten, wohin das Back-Up eingespielt werden kann, wenn das ursprüngliche System dazu nicht mehr tauglich ist. Diesem Schicksal sind wir glücklicherweise entronnen, aber es wäre eine mögliche Folge des Zusammenbruchs der Festplatten gewesen. Da für uns mehr als ein Tag Totalausfall des Servers schon sehr kritisch ist, werden wir uns zu diesem Punkt eine Lösung einfallen lassen müssen.

 Vergleichbar einer Versicherung

Das alles zu machen bedeutet fraglos Mühe und Aufwand. Doch letztlich ist es wie die Investition in eine Versicherung. Wenn man sie braucht, bereut man die Versicherungsbeiträge nicht mehr.

 

Read More

Wir erarbeiten Sicherheitskonzepte und übernehmen für Sie den externen betrieblichen Datenschutz.