Notfallmanagement
Das Manangement von Sicherheitsvorfällen(Notfallmanagement) wird im Alltag gerne auf den „Notfallplan“ reduziert. Das greift allerdings deutlich zu kurz. Der Notfallplan ist eine reaktive Vorrichtung für den Fall, dass ein Sicherheitsvorfall(Notfall) eingetreten ist. Zuvor gilt es, sich dem Notfallvorsorgekonzept zu widmen. Also den Maßnahmen und Vorkehrungen, die das Eintreten eines Notfalls verhindern oder zumindest die Eintrittswahrscheinlichkeit verringern.
Sowohl die Vermeidung als auch die Behandlung von Notfällen variieren, es sind stets die individuellen Gegebenheiten zu berücksichtigen. IT-seitig ist es ein enormer Unterschied, ob alle Komponenten inhouse betrieben und betreut werden, ob Wartung und Betreuung an einen externen IT-Dienstleister ausgelagert sind oder vielleicht im Rahmen der Risikoübertragung / Risikoreduzierung alle Verfahren bei einem externen Anbieter im Rechenzentrum gehostet und betreut werden. Entsprechend unterschiedlich fallen dann auch die technischen Vorsorgekonzepte und Notfallmaßnahmen (sprich Notfallplan) aus. Aber auch organisatorische Aspekte wie Lage, Beschaffenheit und Anzahl der Gebäude, bauliche Gegebenheiten und viele mehr wirken sich auf Inhalt und Umfang des Notfallmanagements aus.
Diese Einbeziehung der organisatorischen Gegebenheiten führt auch zu einer Veränderung der Begrifflichkeit IT-Sicherheit in Informationssicherheit. Es wird mehr als die reine IT-Technik betrachtet.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit dem Standard 100-4 im Rahmen des IT-Grundschutzes eine systematische und leicht verständliche Vorgehensweise zur Einführung eines Notfallmanagements zur Verfügung. Die Informationen dazu sind auf den Seiten des BSI frei verfügbar. Es empfiehlt sich, die Phasen der Analyse, Planung und Konzeption, durchaus aber auch der Überprüfung durch einen externen Dienstleister begleiten zu lassen, wenn das interne Know-how hierzu an seine Grenzen stößt.