Methodenhandbuch für effektives IT-Notfallmanagement E-Book

Rico Kerstan

Methodenhandbuch füreffektives

IT-Notfallmanagement

Rico Kerstan

Methodenhandbuch für

effektives

IT-Notfallmanagement

Praxisnahe Methoden und

Lösungen für Unternehmen

Inhalt

Vorwort

Einleitung

Vorstellung der LogiTrans GmbH

Schritt 1: Projektinitiierung

Schritt 2: Strukturen für das IT-Notfallmanagement

Incident Owner

Incident Facilitator

Supporter

Dokumentation des Rollenkonzeptes

Schritt 3: Notfallbewältigung mittels Problemlösungs-P

Problemlösungs-P und Drei-Tafel-Methode

Vor die Lage kommen

Initiierungsphase

Alarmierung

Erstbewertung

Planungsphase

Lagevortrag

Lagefeststellung an der ersten Tafel

Lagebeurteilung

Entschlussfassung

Zieldefinition

Zielzuweisung

Umsetzungsphase

Einfrieren der Lage

Übermittlung der Aufträge

Bearbeitung der Aufträge

Auftragsnachverfolgung

Fortschreibung Tafel 3

Vorbereitung Lagevortrag & Prüfung Notfall-Endes

Übergang zur Planungsphase oder Ende des Notfalls

Lernphase

Debriefing nach dem Notfall

Erfahrungsaustausch

Schritt 4: Technik und Ausstattung für das Notfallteam

Technik folgt Taktik

Notfallpläne und Playbooks

Wichtige Hilfsmittel

Ausstattung des IT-Notfallraumes und Notfallbüros

Ausstattungsbudget

Schritt 5: Übungen und kontinuierliche Verbesserung

Übungsprogramm: Erstellung, Umsetzung und Pflege

Übungsarten

Alarmübung

Anlaufübung

Planbesprechung

Schreibtischübung

Stabs(rahmen)übung

Simulation von Szenarien

Übungsplanung

Übungsdurchführung

Übungsbericht

Nachverfolgung von Übungen

Übungen als Schauspiel

Vorwort

Willkommen zum Methodenhandbuch für IT-Notfallmanagement! Dieses Buch entstand aus einer klaren Motivation: Auf dem deutschen Markt gibt es nur wenige konkrete und direkt übertragbare Methodenhandbücher, die sich umfassend mit IT-Notfallmanagement beschäftigen. Als Autor dieses Buches beschäftige ich mich seit mehr als zehn Jahren intensiv mit Notfall- und Krisenreaktionsstrukturen. Meine Reise begann bereits während meines Studiums, als ich meine Bachelorarbeit in diesem Kontext schrieb. Seitdem habe ich in verschiedenen beruflichen Stationen und in unterschiedlichen Rollen praktische Erfahrung bei der Bewältigung von Notfällen und Krisen gesammelt.

In meiner aktuellen Tätigkeit als Berater für Krisenresilienz habe ich die hier beschriebene Methodik entwickelt. Diese basiert im Wesentlichen auf den Ideen der deutschen (Feuerwehr-)Dienstvorschrift 100 und dem umfassenden Incident Command System (ICS) der USA. Beide Ansätze bieten bewährte Strukturen und Verfahren, die sich hervorragend kombinieren lassen, um ein robustes IT-Notfallmanagement aufzubauen. Ich habe diese Ansätze so ergänzt und zusammengeführt, dass sie für Unternehmen anwendbar sind. Es ist nicht sinnvoll und möglich, die Methoden des Katastrophenschutzes oder des Militärs ohne Anpassung in Unternehmen zu übertragen. Der Zweck dieser Organisationen ist es, Krisen und Notfälle zu bekämpfen. Dies ist bei Unternehmen selten der Fall (eigentlich nur bei Agenturen, die Incident Response als alleiniges Geschäftsmodell haben). Zudem sind die Abläufe der Reaktionen und die Strukturen in diesen Blaulichtorganisationen sowie dem Militär in hohem Maße standardisiert. Diese Standardisierung trifft das Notfallmanagement von Unternehmen nicht zu, weshalb es einer kontextspezifischen Anpassung bedarf. Unternehmen haben unterschiedliche Strukturen, Ressourcen und Ziele, die berücksichtigt werden müssen, um ein effektives Notfallmanagement zu gewährleisten.

Die Methoden, die in diesem Handbuch vorgestellt werden, wurden in zahlreichen Projekten, Seminaren und Übungen erprobt und verfeinert. Dieses Buch soll als Handreichung dienen, die Unternehmen dabei unterstützt, diese Methoden in ihrer eigenen Organisation anzuwenden und umzusetzen. Um die Anwendung zu vereinfachen, wird immer wieder auf die Fallstudie der LogiTrans GmbH zurückgegriffen – ein fiktives, aber realitätsnahes Logistikunternehmen, das seine IT-Notfallmanagement-Prozesse stärken möchte.

Mein Ziel ist es, die erzählerischen Elemente amerikanischer Fachbücher mit der präzisen und sachlichen Darstellung deutscher Bücher zu kombinieren. Auf diese Weise hoffe ich, die Inhalte nicht nur informativ, sondern auch ansprechend und nachvollziehbar zu gestalten. Die Fallstudie, die uns über das Buch hinweg begleiten wird, ist bewusst in der Dramaturgie amerikanischer Fallstudien gehalten. In diesem Buch kombiniere ich beide Ansätze: den deutschen und den amerikanischen.

Das IT-Notfallmanagement ist eine Disziplin, die von vielen Unternehmen oft unterschätzt wird, bis ein Notfall eintritt. In einer digitalisierten Welt können Ausfälle der IT-Systeme zu erheblichen Störungen führen, die nicht nur finanzielle Verluste, sondern auch Imageschäden und Vertrauensverlust zur Folge haben. Daher ist es entscheidend, präventive Maßnahmen zu ergreifen und gut vorbereitete Notfallpläne zu haben.

Dieses Buch bietet Ihnen das notwendige Wissen und die praktischen Werkzeuge, um ein effektives IT-Notfallmanagement zu implementieren. Wir decken alle Phasen des Problemlösungsprozesses ab, von der Identifikation und Analyse von Risiken bis hin zur Entwicklung, Implementierung und Überwachung von Notfallplänen. Durch die Fallstudie der LogiTrans GmbH werden die theoretischen Konzepte in die Praxis umgesetzt und veranschaulicht, wie diese in einem realen Unternehmenskontext angewendet werden können.

Das Handbuch ist in erster Linie zur Vorbereitung und zum Aufbau von Strukturen gedacht. Es bietet eine umfassende Anleitung, die Ihnen hilft, die beschriebenen Methoden in die spezifische Welt Ihres Unternehmens zu überführen und durch geeignete Hilfswerkzeuge zu ergänzen. Jedes Unternehmen ist einzigartig, und daher müssen die beschriebenen Ansätze und Techniken an die individuellen Bedürfnisse und Rahmenbedingungen angepasst werden.

Für den eigentlichen Notfall ist dieses Handbuch zu umfangreich. Es ist nicht als Taschenbuch für den Einsatz in Krisensituationen konzipiert. Vielmehr dient es als Referenzwerk und Leitfaden, um Sie bei der Erstellung, Implementierung und Verbesserung eines pragmatischen aber robusten IT-Notfallmanagements zu unterstützen. Im Ernstfall sollten Sie auf prägnante, leicht zugängliche Notfallpläne und Checklisten zurückgreifen, die aus den hier beschriebenen Methoden abgeleitet wurden.

Die Struktur dieses Buches folgt einem logischen und systematischen Ansatz, der Ihnen hilft, die Prinzipien und Methoden des IT-Notfallmanagements Schritt für Schritt zu verstehen und anzuwenden. Die Kapitel sind so aufgebaut, dass sie sowohl einzeln als auch in ihrer Gesamtheit genutzt werden können, je nach den spezifischen Bedürfnissen und Anforderungen Ihres Unternehmens.

Ich lade Sie ein, dieses Handbuch als Ihren ständigen Begleiter im Aufbau und der Weiterentwicklung Ihres IT-Notfallmanagements zu nutzen. Gemeinsam können wir die Resilienz Ihrer IT-Infrastruktur stärken und Ihr Unternehmen besser auf mögliche Krisensituationen vorbereiten.

Im gesamten Buch wird die Ansprache mit “ich” (für den Autor) und “Sie” (für den Leser) beibehalten. Dies soll einen Rahmen bieten, wie er in der persönlichen Beratung gegeben wäre.

Ich wünsche Ihnen viel Freude mit dem Buch und viel Erfolg bei der Implementierung Ihres IT-Notfallmanagements. Denken Sie daran: Nach dem Pareto-Prinzip können bereits 20% des Aufwands 80% der Ergebnisse liefern. Jeder Schritt, den Sie unternehmen, ist ein Schritt in die richtige Richtung. Das Wichtigste ist, dass Sie überhaupt beginnen.

Herzlichst,

Ihr Rico Kerstan

Einleitung

Sicherheit ist ein Zustand, der theoretisch und praktisch nicht erreichbar ist, weil er die Abwesenheit von Gefahren beschreibt. Jedes lebendige System ist immer Gefahren ausgesetzt. Als Beispiel sei hier, zum Kontext des Buches passend, die IT-Sicherheit genannt. Täglich werden neue Schwachstellen entdeckt und bekannt gemacht. Stellen Sie sich vor, ein Technologieunternehmen implementiert die modernsten Sicherheitsmaßnahmen und investiert enorme Summen, um seine Daten und Systeme zu schützen. Ein Hacker findet eine bisher unbekannte Schwachstelle, einen Zero-Day-Exploit, und greift das System über diese Schwachstelle erfolgreich an. Die Investitionen können noch so groß sein, es ist nicht möglich das System absolut sicher zu machen. Es sei denn, Sie schalten alle Systeme ab. Das ist absolut sicher, führt aber unweigerlich in die Insolvenz.

Auch außerhalb der IT-Sicherheit lassen sich vergleichbare Beispiele erdenken. Nehmen wir ein Unternehmen an, das in einer Region mit hoher Naturkatastrophenwahrscheinlichkeit angesiedelt ist. Selbst wenn das Unternehmen umfassende Vorsorgemaßnahmen trifft, wie den Bau erdbebensicherer Gebäude, kann es von einer Naturkatastrophe getroffen werden, die in ihrer Intensität oder Art unvorhergesehen war.

Die beiden Beispiele verdeutlichen, dass Sicherheit immer nur den bekannten Teil der Unsicherheit adressieren kann. Sie zeigen, dass Sicherheit nicht nur eine Frage der Prävention ist, sondern auch des Managements und der Reaktion auf eingetretene Ereignisse. Sichere Organisationen benötigen daher wirksame IT-Notfallmanagementstrukturen, die dabei helfen, auf unvermeidliche und oft unvorhersehbare Herausforderungen reagieren zu können.

Aus dieser Überlegung ergibt sich ein neues Verständnis von Sicherheit, das ich Krisenresilienz nenne. Krisenresilienz besteht aus zwei Haupteigenschaften: Widerstandsfähigkeit und Bewältigungsfähigkeit. Widerstandsfähigkeit bezieht sich auf alle Maßnahmen, die sowohl präventiv als auch planerisch sind, um antizipierte Ereignisse zu vermeiden oder darauf zu reagieren. Bewältigungsfähigkeit umfasst die Fähigkeit einer Organisation, auf unerwartete Ereignisse zu reagieren, die nicht vorausgesehen, geplant oder in ihrer Auswirkung anders waren als erwartet.

Bewältigungsfähigkeit geht dabei über die klassische Fähigkeit zur Reaktion anhand von Planungen hinaus. Die Covid-19-Pandemie ist ein anschauliches Beispiel für die Notwendigkeit dieses erweiterten Verständnisses. Unternehmen, die möglicherweise für ein bestimmtes Szenario (hier: gleichzeitiger Ausfall vieler Mitarbeiter für mehrere Wochen) geplant hatten, wurden dennoch mit unvorhergesehenen Herausforderungen konfrontiert (z. B. wochenlange Lockdowns, Notwendigkeit der Umsetzung von gesetzlichen Anforderungen, schnelle Einführung von Heimarbeit).

Das Buch konzentriert sich also sowohl auf die Planung und Vorbereitung von Notfällen in ereignisbezogener und struktureller Hinsicht (Teil der Widerstandsfähigkeit) als auch auf die Fähigkeit von Organisationen und ihrer handelnden Personen, mit unvorhergesehenen Ereignissen oder Auswirkungen umzugehen (Bewältigungsfähigkeit).

Das IT-Notfallmanagement, wie ich es in diesem Buch vorstelle, stellt eine Ergänzung des übergeordneten Notfall- und Krisenmanagements eines Unternehmens dar. Es dient der spezifischen Bewältigung von IT-Notfällen und steht nicht in Konkurrenz zu den allgemeinen Krisenmanagementstrukturen einer Organisation.

Während das Krisenmanagement die strategische Planung und Führung in Krisensituationen übernimmt (Planungshorizont: Tage bis Wochen), fokussiert sich das IT-Notfallmanagement auf die unmittelbare Reaktion und technische Bewältigung von IT-bezogenen Störungen und Notfällen (Planungshorizont: Stunden bis Tage). Es sorgt dafür, dass die IT-Infrastruktur stabilisiert und schnellstmöglich wiederhergestellt wird, um den Geschäftsbetrieb zu sichern.

Das IT-Notfallmanagement ist nahtlos mit dem Krisenmanagement verzahnt. Wird das Krisenmanagement aktiviert, übernimmt das IT- Notfallmanagement die Umsetzung der vom Krisenmanagement erteilten Aufträge. Die Methoden des Notfallmanagements gewährleisten, dass die Maßnahmen im Einklang mit den Vorgaben des Krisenmanagements gesteuert und umgesetzt werden.

Basierend auf dem BSI-Standard 200-4 sind Notfälle Schadensereignisse, bei denen Prozesse oder Ressourcen einer Institution nicht wie vorgesehen funktionieren und nicht innerhalb der geforderten Zeit wiederhergestellt werden können. Krisen hingegen sind Ereignisse, die eine besondere organisatorische Struktur und Prozesse (besondere Aufbauorganisation) erfordern, um effektiv bewältigt zu werden. Diese scharfe Trennung nehme ich in diesem Buch nicht vor. Auch das IT-Notfallmanagement basiert auf einer besonderen Aufbauorganisation, dem IT-Notfallteam.

Ein Notfall im Kontext dieses Handbuchs ist ein Schadensereignis, bei dem IT-Services oder -Ressourcen einer Organisation erheblich beeinträchtigt sind und nicht innerhalb der geforderten Zeit wiederhergestellt werden können, wodurch eine besondere organisatorische Struktur, wie das IT-Notfallteam, zur Bewältigung erforderlich ist.

Das Buch sieht einen klaren Zusammenhang zwischen Risikomanagement und Krisenresilienz. Die klassische Risikomanagement-Methodik, die Eintrittswahrscheinlichkeiten und Schadensausmaße in einer Risikomatrix abbildet, kennt vier präferierte Handlungsoptionen (siehe Abbildung):

Abbildung 1: Zusammenhang zwischen Risikomatrix und Handlungsoptionen

Erstens: Im unteren linken Quadranten liegen Risiken, die üblicherweise akzeptiert werden. Für solche Risiken, die im unteren rechten Quadranten landen, ist eine Einzelfallentscheidung notwendig. Risiken im oberen rechten Quadranten sollten durch Maßnahmen reduziert werden. Für das IT-Notfallmanagement sind solche Risiken (High-Impact-Low-Probability-Risiken) von besonderer Relevanz, die im oberen linken Quadranten angesiedelt sind. Diese Risiken sollen nach traditioneller Methodik auf Dritte transferiert werden (z. B. durch Versicherung oder Outsourcing). Da jedoch nicht alle Auswirkungen, wie z. B. Reputationsverluste, auf Dritte übergehen, ist die Verlagerung dieser Risiken in Notfallpläne und IT-Notfallmanagement die einzige sinnvolle Lösung. IT-Notfallmanagement ist insofern eine Art innerbetriebliche Versicherung. Der Akt des Transfers von Risiken (also antizipierten Ereignissen) in das IT-Notfallmanagement zeigt zudem den Zusammenhang mit der Widerstandsfähigkeit deutlich.

IT-Notfallmanagement ist im Kontext krisenresilienter Organisationen aber nicht nur eine strukturelle Frage. Bewältigungsfähigkeit umfasst insbesondere auch spezifische Kompetenzen der handelnden Personen. Wirksames IT-Notfallmanagement ohne eine methodenorientierte Ausbildung der handelnden Personen ist undenkbar.

Dies ergibt sich allein aus der Tatsache, wie Menschen denken und entscheiden. Daniel Kahneman hat in seiner Forschung aufgezeigt, dass das menschliche Denken in zwei Systeme unterteilt werden kann: System 1 und System 2. System 1 arbeitet schnell, intuitiv und emotional, während System 2 langsamer, überlegter und logischer ist. Im Kontext von IT-Notfallmanagement ist diese Unterscheidung besonders relevant, da unter (Zeit-)Druck die Neigung besteht, sich auf das schnelle, aber oft voreingenommene System 1 zu verlassen.

Verschiedene Heuristiken und Biases können in stressigen Situationen die Entscheidungsfindung beeinflussen. Zum Beispiel kann die Verfügbarkeitsheuristik, bei der Menschen Entscheidungen auf der Basis von leicht erinnerbaren Beispielen treffen, in einem Notfall zu Fehleinschätzungen führen. Ebenso kann der Bestätigungsfehler dazu führen, dass Informationen, die bestehende Überzeugungen stützen, bevorzugt werden, was die Fähigkeit, die volle Tragweite eines Notfalls zu erkennen und darauf zu reagieren, einschränkt.

Daher ist ein wichtiger Teil der Ausbildung von Incident Ownern, Methoden zu vermitteln, die helfen, diese Biases zu überbrücken. Dies kann durch das Training von System 2-Denken geschehen, indem man lernt, bewusst einen Schritt zurückzutreten, die Situation zu analysieren und logisch durchdachte Entscheidungen zu treffen.

Das folgende Fallbeispiel soll aufzeigen, wie die Überbetonung von System 1-Denken negative Folgen für Organisationen haben kann:

Ein börsennotiertes IT-Unternehmen, das im Bereich Energiemarktdienstleistungen für kritische Infrastrukturen in Deutschland Software liefert und Hosting-Dienstleistungen anbietet, wird Ziel eines gezielten Cyberangriffs, der als Ransomware-Angriff getarnt ist. Der Krisenstab konzentriert sich primär auf die Bekämpfung des Ransomware-Angriffs, da dafür bereits Pläne existieren und dieser als das offensichtliche Problem erscheint. Die Möglichkeit, dass der Angriff weitreichendere Folgen haben könnte, wird zwar in Betracht gezogen, jedoch letztlich als unwahrscheinlich abgetan.

Kunden werden relativ schnell mit der Vermutung informiert, dass der Angriff keine Auswirkungen auf sie haben dürfte. Die meisten Kunden vertrauen dieser Aussage. Die Vermutung beruht auf dem Vertrauen in die vorhandenen Notfallpläne und der Erfahrung sowie Intuition der Verantwortlichen (System 1).

Wochen später stellt sich heraus, dass der Angriff tiefer in die Systeme eingedrungen ist als ursprünglich angenommen. In den Systemen der Kunden wurde Schadcode entdeckt, der bereits zu realen Auswirkungen in den Kundeninfrastrukturen geführt hat.

Die späte Entdeckung des Schadcodes in Kundensystemen führt zu massiven Störungen bei den direkt betroffenen Kunden. Zudem sorgt der Umgang mit dem Vorfall für einen Vertrauensverlust in das IT-Unternehmen. Dies hat finanzielle Einbußen, Schadensersatzforderungen und langfristige Schäden an der Reputation des Unternehmens zur Folge.

Dieses (fiktive) Fallbeispiel veranschaulicht die Bedeutung einer gezielten Ausbildung und Vorbereitung der handelnden Personen im IT-Notfallmanagement. Das Ziel ist es, von der spontanen, oft oberflächlichen Reaktion des System-1-Denkens zu einem tiefergehenden, analytischen System-2-Denken zu gelangen. Dies ermöglicht es, die komplexen und weitreichenden Auswirkungen einer Krise umfassend zu erfassen, Dualität in der Problemstellung zu erkennen und proaktiv auf potenzielle Herausforderungen zu reagieren.

Mir ist bewusst, dass die Mechanismen etwas verkürzt dargestellt sind. It’s not a bug, it’s a feature. Ich wollte vor allem aufzeigen, dass Methodik wichtig ist. Eine exakte Darstellung würde ein weiteres Buch füllen, allerdings kein Methodenhandbuch.

“Vor die Lage kommen” ist das oberste Ziel im IT-Notfallmanagement. Dies umfasst die Notwendigkeit, vorausschauend zu handeln und Entscheidungen zu treffen, die die Organisation in eine Position bringen, in der sie die Kontrolle über die Situation wiedererlangt und nicht nur reaktiv handelt. Es geht darum, einen Schritt voraus zu denken, mögliche Szenarien durchzuspielen und Pläne zu entwickeln, die flexibel genug sind, um sich an sich ändernde Umstände anzupassen.

IT-Notfallmanagementteams benötigen insofern nicht nur technische Fähigkeiten, sondern auch die Fähigkeit zu kritischem Denken, zur Entscheidungsfindung und zur emotionalen Intelligenz. Dadurch wird sichergestellt, dass sie unter Entscheidungsdruck mit begrenzten Ressourcen und in größter Unsicherheit effektiv arbeiten, die Ruhe bewahren und fundierte Entscheidungen treffen.

Dieses Buch ist einen ersten Baustein bei der Ausbildung ebendieser Kompetenzen. Aber bitte bedenken Sie, dass Sie durch das Lesen eines Buches über Schwimmen im Schmetterlingsstil nicht zum Weltmeister werden. Wahrscheinlich können Sie nicht einmal schwimmen. Die Ausbildung von Incident Ownern funktioniert durch praxisorientierte Seminare und viel Übung.

Ich bin Berater und denke, wie ein Berater. Berater sind gut in Projekten, selten im Betrieb. Dieses Methodenhandbuch ist deshalb wie ein Beratungsprojekt aufgebaut. Das Buch beginnt mit einer Zieldefinition und Projektinitiierung. In diesem ersten Schritt wird der Rahmen für das IT-Notfallmanagement abgesteckt, indem die Ziele und Erwartungen der Geschäftsleitung erfasst und in das Projekt eingesteuert werden. Dieser Schritt stellt sicher, dass das IT-Notfallmanagementsystem auf die spezifischen Bedürfnisse und Anforderungen des Unternehmens abgestimmt ist.

Anschließend folgt der Aufbau der Strukturen, insbesondere die Etablierung des IT-Notfallteams. Hier werden die Rollen und Verantwortlichkeiten definiert, und es wird beschrieben, wie das IT-Notfallteam organisiert und geschult wird.

Der dritte Teil des Buches widmet sich dem methodischen Vorgehen in einem Notfall nach dem Problemlösungs-P. Das Problemlösungs-P ist meine Erfindung. Sie dürfen es gerne verwenden aber bitte nennen Sie doch den Schöpfer der Idee (Problemlösungs-P nach KR krisensicher®).

Das Problemlösungs-P definiert in vier Phasen der Notfallreaktion:

Initiierungsphase eines Notfalls

: In dieser Phase wird der Notfall erkannt und die ersten Maßnahmen werden eingeleitet. Es wird beschrieben, wie eine schnelle und effektive Reaktion gewährleistet wird, um den Schaden zu minimieren.

Planungsphase

: Hier werden die detaillierten Maßnahmen zur Bewältigung des Notfalls geplant. Es geht darum, Strategien zu entwickeln und Ressourcen zu mobilisieren, um die IT-Services schnellstmöglich wiederherzustellen.

Umsetzungsphase

: In dieser Phase werden die geplanten Maßnahmen umgesetzt. Dies umfasst die technischen und organisatorischen Schritte, die notwendig sind, um die IT-Infrastruktur zu stabilisieren und den Geschäftsbetrieb wieder aufzunehmen.

Lernphase

: Nach der Bewältigung des Notfalls wird die Situation analysiert, um daraus zu lernen und zukünftige Maßnahmen zu verbessern. Diese Phase ist der Übergang in die kontinuierliche Verbesserung des IT-Notfallmanagements.

Im vierten Schritt stelle ich die Hilfsmittel vor, die für ein IT-Notfallmanagement vorhanden sein sollten. Dies betrifft die Ausstattung eines Notfallraumes genauso, wie Checklisten, Playbooks und Notfallpläne.