2. Startseite
  3. 11. Auflage
  4. Lerneinheiten
  5. Notfallmanagement (NOMAN)

Notfallmanagement (NOMAN)

Inhaltsverzeichnis[Verbergen]

Lernziele

Sie kennen den Zweck des Notfallmanagements sowie Arten und Ursachen von Notfällen. Sie können die Vorgehensweise beim Notfallmanagement beschreiben und kennen Gliederung und Inhalt eines Notfallplans. Sie wissen, welche Arten von Ausweichrechenzentren es gibt und kennen Inhalte von Verträgen zu deren Nutzung.

Definitionen und Abkürzungen

  • Alarmplan (alarm plan) = Teilplan des Notfallplans mit Anweisungen darüber, wer bei einem Notfall Alarm auslöst und welche Maßnahmen unverzüglich durchzuführen sind.

  • Ausweichrechenzentrum (backup computing center) = Rechenzentrum, in das im Notfall Anwendungen verlagert werden, so dass zumindest ein Notbetrieb möglich ist. Synonym: Notfallrechenzentrum.

  • Container-Rechenzentrum (container computing center) = transportables Rechenzentrum mit einem vorbereiteten Standort auf dem Betriebsgelände.

  • Einsatzplan (initiative guide, plan of action) = Teilplan des Notfallplans, der die im Notfall sofort zu ergreifenden Maßnahmen beschreibt.

  • Fluchtplan (escape guide) = Teilplan des Notfallplans mit Anweisungen darüber, auf welchen Wegen Personen den Gefahrenbereich verlassen sollen.

  • Katastrophe (disaster situation, catastrophe) = Notfall, der die Existenz des Unternehmens gefährdet und gravierende Auswirkungen auf das öffentliche Leben hat.

  • Krisenstab (crisis team) = Gruppe von Aufgabenträgern der IT- und der Fachabteilungen, deren Aufgabe die Erstellung und Pflege des Notfallplans ist.

  • Meldeplan (report guide) = Teilplan des Notfallplans mit Anweisungen darüber, wer im Notfall in welcher Abfolge zu verständigen ist. Synonym: Alarmplan.

  • Notfall (case of emergency) = Störung, durch die ein hoher bis sehr hoher Schaden entsteht und deren Bewältigung spezifische Maßnahmen erfordert.

  • Notfallorganisation (emergency case organization) = struktur- und ablauforganisatorische Maßnahmen, die beim Eintritt eines Notfalls die Funktionsfähigkeit kritischer Teile der Informationsinfrastruktur ermöglichen.

  • Notfallplan (business continuity plan, disaster plan) = Dokument, das Vorgehensweise und Maßnahmen im Notfall beschreibt.

  • Rettungsplan (rescue guide) = Teilplan des Notfallplans mit Anweisungen darüber, wer und was wie zu bergen ist. Synonym: Evakuierungsplan.

  • RZ = Rechenzentrum (computing center, data center).

  • Störung (incident) = unerwünschtes Ereignis, das zu einer Beeinträchtigung eines IT-Services oder zum Ausfall eines Elements der IT-Infrastruktur führt oder führen kann.

  • Vorsorgeplan (precaution guide) = Teilplan des Notfallplans, der die Vorsorgemaßnahmen für den Notfall beschreibt.

  • Wiederanlaufplan (restart guide) = Teilplan des Notfallplans, der die Maßnahmen enthält, die beim Eintritt des Notfalls zu ergreifen sind.

Zweck des Notfallmanagements
Notfallursachen
Arten von Notfällen
Vorgehensweise beim Notfallmanagement
Gliederung des Notfallplans
Inhalt des Notfallplans
Ausweichrechenzentren
Verträge mit Ausweichrechenzentren

Forschungsbefunde

Dumslaff/Lemp berichten über Ergebnisse einer von Capgemini Deutschland GmbH in Auftrag gegebenen Studie (schriftliche Befragung von 133 Führungskräften in Unternehmen aus Deutschland, Österreich und der Schweiz, die auf Geschäftsführungs- bzw. oberer Managementebene zu IT-Aktivitäten Auskunft geben konnten, Untersuchungszeitraum Oktober bis Dezember 2009). Die Teilnehmer wurden u. a. gebeten, eine Selbsteinschätzung zum Reifegrad des IT-Continuity-Managements (auf einer Skala von 1 = initial, 2 = wiederholbar, 3 = definiert, 4 = managed, 5 = optimiert) vorzunehmen. Dumslaff/Lemp bemerken: „Die Ergebnisse für das IT Continuity Management sind mit durchschnittlich 3,14 relativ schlecht, werden sich voraussichtlich aber verbessern, wenn mehr Unternehmen übergreifende Business Continuity-Initiativen aufsetzen.“ (25)
Dumslaff, U. / Lemp, P.: Studie IT-Trends 2010. Die IT wird erwachsen. Capgemini Deutschland GmbH. Berlin 2010

Schnieder/Bettels berichten über Ergebnisse einer von Capgemini Deutschland GmbH in Auftrag gegebenen Studie (schriftliche Befragung von 98 Führungskräften in deutschen Unternehmen, die auf Geschäftsführungs- bzw. oberer Managementebene zu den strategischen IT-Aktivitäten Auskunft geben konnten, Untersuchungszeitraum November und Dezember 2005). Teilnehmer, die angaben, dass Sicherheit zwischen 2006 und 2010 zu den drei wichtigsten IT-Themen in ihrem Unternehmen gehören werde (n = 51), wurden gefragt: Hat Ihr Unternehmen einen IT-Notfallplan, um die Aufrechterhaltung der IT bei Störungen und Katastrophen sicherzustellen? Über einen IT-Notfallplan verfügten 80 %, in 43 % der Unternehmen wird der Notfallplan mindestens einmal im Jahr aktualisiert, 37 % gaben an, zwar über einen IT-Notfallplan zu verfügen, diesen aber nicht regelmäßig zu aktualisieren. 10 % der Unternehmen verfügten noch nicht über einen solchen Plan, wollten ihn aber innerhalb der nächsten 12 Monate entwickeln.

Schnieder, A. / Bettels, M.: Studie IT-Trends 2006. Unterschiedliche Signale: konsequent sparen, gezielt investieren. http://www.de.capgemini.com/m/de/tl/IT-Trends_2006.pdf; Abruf: 23.11.2006

Die Frage der /Microsoft-Sicherheitsstudie 2006 (schriftliche Befragung von 163 für IT-Sicherheit zuständigen Mitarbeitern von Unternehmen und Behörden in Deutschland, Österreich und der Schweiz, 124 auswertbare Antworten), ob Einsatzpläne für den Notfall vorhanden sind, antworteten 50 % mit ja, 33 % mit teilweise und 17 % mit nein. Für längere Ausfälle von Unternehmensservern und Mainframes gaben ca. 30 % der Befragten an, über heiße, ca. 35 % über warme und ca. 25 % über kalte Rechenzentren zu verfügen. Ca. zwei Drittel verfügen über einen Notfallplan in Papierform, ein Drittel über online-gestützte Dokumentationen. Knapp die Hälfte der Pläne orientiert sich an den Empfehlungen des IT-Grundschutzes des BSI (vgl. Lerneinheit SIKON), weniger als 10 % an ITIL (vgl. Lerneinheit SEMAN).

o. V: Lagebericht zur Informationssicherheit (3). In: Die Zeitschrift für Informationssicherheit 6/2006, 48–54

Bei der Ernst & Young Global Information Security Survey 2008 (Befragung vorwiegend durch Interviews, einige online von ca. 1400 IT-Führungskräften in 50 Ländern, Untersuchungszeitraum Juni bis August 2008) wurden zur organisatorischen Einbettung des Katastrophenmanagements folgende Erkenntnisse gewonnen. Auf die Frage „Which functional area of your organization has primary responsibility for BCM [Business Continuity Management]?“ antworteten 41 % der Teilnehmer „information technology, 20 % „risk management“, 11 % „information security“, 5 % „finance“, 4 % „corporate compliance“. 19 % der Teilnehmer gaben andere Unternehmensbereiche an. Die Studie ergab, dass mehr als die Hälfte der Unternehmen sich bei der Wiederanlaufplanung auf die Verfügbarkeit technischer Komponenten (z. B. Netzwerke) konzentrieren, dass im Katastrophenfall aber wahrscheinlich nicht ausreichend Unterstützung zur Verfügung steht, um wesentliche Geschäftsprozesse ausführen zu können.

Ernst & Young (Hrsg.): Moving beyond compliance: Ernst & Young’s 2008 Global Information Security Survey: o. O. 2008. http://www.ey.com/security; Abruf: 28.01.2009

Bei der von Ernst & Young 2010 durchgeführten Global Information Security Survey (Befragung von ca. 1600 IT-Führungskräften in 56 Ländern in Unternehmen des Kundenstamms von Ernst & Young vorwiegend durch Interviews, einige online, keine Angaben zur Rücklaufquote, Untersuchungszeitraum Juni bis August 2010) gaben 50 % der Teilnehmer an, für „business continuity and disaster recovery capabilities“ mehr Geld ausgeben zu wollen, als im vorhergehenden Jahr, bei 45 % der Unternehmen blieben die Ausgaben gleich und lediglich in 5 % der Unternehmen sanken die Ausgaben für das Notfallmanagement.

Ernst & Young (Hrsg.): Borderless security. Ernst & Young’s 2010 Global Information Security Survey. o. O. 2010. http://www.net.fmi.uni-passau.de/hp/fileadmin/cnacc/dokus/pdf/schoepf_handouts_070705.pdf">http://www.ey.com; Abruf: 07.04.2011

Nach einer von IBM in den USA in Auftrag gegebenen Untersuchung wird der ÜberlebenszeitraumTü (Länge des Zeitraums, in dem die Kern-Geschäftsprozesse nach Eintritt eines Katastrophenfalls noch funktionsfähig sind) für Bankbetriebe mit 2 Tagen, für Handelsbetriebe mit 3,3, für Industriebetriebe mit 4,9 und für Versicherungsbetriebe mit 5,6 Tagen angegeben. Die Gesellschaft für Informationssysteme AG (Hamburg) gibt Tü für Unternehmen in Deutschland mit durchschnittlich knapp fünf Tagen an.


Zitiert nach Nilgens, M.: Vorsorge für den Katastrophenfall. In: IBM-Nachrichten 252/1980, 51-55

Schwärtzel/Fischer berichten zur Länge des Überlebenszeitraums Tü u. a. (schriftliche Befragung, N = 239 Unternehmen in Bayern, Untersuchungszeitraum 1994; im folgenden vor dem ersten / die Anzahl der tolerierbaren Ausfalltage, vor dem zweiten / die Anzahl der Unternehmen, dahinter die kumulierte Anzahl in %): 0 / 21 / 9,3 %; 1 / 28 / 21,8 %; 2 / 39 / 39,1 %; 3 / 35 / 54,7 %; 4 / 8 / 58,2 %; 5 / 19 / 66,7 %; 7 / 3 / 68 %; 8 / 6 / 70,7 %; 9 / 1 / 71,1 %; 10 / 16 / 78,2 %; >10 / 49 / 100 %; keine Angabe 14 (Anmerkung: keine Angaben für 6 Ausfalltage).

Schwärtzel, H. G. / Fischer, R.: Auf der Suche nach Metriken für das Information Engineering. In: Heilmann, H. et al. (Hrsg.): Information Engineering. München/ Wien 1996, 353-368

Aus der Praxis

Schöpf berichtet über Ergebnisse einer von Synstar Computer Services GmbH durchgeführten Untersuchung (schriftliche Befragung von 600 IT-Leitern in Großbritannien, Irland, Deutschland, Benelux und Spanien, Untersuchungszeitraum 2001) über die Zeiträume, ab denen der Ausfall der IT für Unternehmen kritisch wird, Folgendes: bis 30 min bei 22 %; 30 min bis 1 h bei 14 %; 1 bis 4 h bei 21 %; 4 bis 8 h bei 19 %; 8 bis 24 h bei 18 %, 24 bis 48 h bei 6 % der Befragten.

Schöpf, R.: InfoSec-Management bei Siemens. Anforderungen, Bedrohungen und Lösungen in einem globalen Unternehmen. Vortragsunterlagen. Universität Passau, FMI-Kolloquium, 7. Juli 2005. http://www.net.fmi.uni-passau.de; Abruf: 02.02.2008

Methodenverweise

Kontrollfragen

  1. Worin unterscheidet sich Notfallmanagement von Sicherheitsmanagement?

  2. In welcher Beziehung steht Notfallmanagement zum Servicemanagement?

  3. Welche Aufgaben hat ein Krisenstab im Notfall und wer ist Mitglied des Krisenstabs?

  4. Wodurch unterscheidet sich ein Notfallplan für eine Grippe-Epidemie von einem Notfallplan für einen Denial-of-Service-Angriff?

  5. Wie lässt sich der Betrieb eines warmen (Ausweich-)Rechenzentrums wirtschaftlich rechtfertigen?

  6. Aus welchen Teilplanungen besteht die Notfallplanung?

  7. Welche Aufgaben hat der Krisenstab im K-Fall und wer ist Mitglied des Krisenstabs?

  8. Warum sind unterschiedliche Einsatzpläne notwendig?

  9. Welche Formen von Ausweichrechenzentren werden unterschieden?

Quellen

  • Crandell, M.: How to Ensure Business Continuity in the Cloud. 2011, http://gigaom.com; Abruf 28. Juni 2011

  • Duscha, A. / Hotz, A.: Netz- und Informationssicherheit im Unternehmen 2010. Ergebnisse einer Online-Befragung von 303 kleinen und mittelständischen Unternehmen in Deutschland. Köln 2010

  • Ernst & Young (Hrsg.): Outpacing change. Ernst & Young’s 12th annual global information security survey. o. O. 2009, http://www.ey.com; Abruf 18. Mai 2010

  • o. V.: Lagebericht zur Informationssicherheit (3). /Microsoft-Sicherheitsstudie 2010. In: Die Zeitschrift für Informationssicherheit 6/2010, 14–21

  • Thiel, C. / Thiel, C.: Business Continuity Management für KMU. In: Datenschutz und Datensicherheit 6/2010, 404–407

Vertiefungsliteratur

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Kataloge 2008. http://www.bsi.de; Abruf: 12. Mai 2011

  • Business Continuity Institute (BCI): Good Practice Guidelines (GPG). Version 2008-1. http://www.thebci.org/gpg.htm; Abruf: 12. Mai 2011

  • Cerullo, V. / Cerullo, M. J.: Business Continuity Planning: A Comprehensive Approach. In: Information Systems Management 3/2004, 70-78

  • Hiles, A. (Hrsg.): The Definitive Handbook of Business Continuity Management. 2. A. Chichester 2007

  • IT Governance Institute (Hrsg.): COBIT 4.1: Framework, Control Objectives, Management Guidelines, Maturity Models. Rolling Meadows 2007, Abschnitt DS 4 Ensure Continuous Service

  • NIST Special Publication 800-34 rev. 1: Contingency Planning Guide for Federal Information Systems. Washington 2010

  • Rudd, C. / Lloyd, V.: Service Design ITIL, Version 3. London 2007; Abschnitt zu IT Service Continuity Management

  • von Rössing, R. : Betriebliches Kontinuitätsmanagement. Bonn 2005

  • Wieczorek, M. / Naujoks, U. / Bartlett, B. (Hrsg.): Business Continuity. Notfallplanung für Geschäftsprozesse. Berlin/Heidelberg/New York 2003

Informationsmaterial

Normen

Portal

11. Auflage

Login

Angemeldet bleiben