Foto: Imillian/adobe stock

Foto: Imillian/adobe stock

Notfallmanagement und Informationssicherheit

Warum das eine nicht ohne das andere funktioniert

Von Dr. Bernd Huber, Geschäftsführer Compus Computer GmbH

In den letzten Jahren hat der Datenschutz personenbezogener Daten die Diskussion dominiert. Dies war einerseits verständlich, da der Datenschutz mit der neuen Datenschutzgrundverordnung (DSGVO) wesentlich schärfer und strafbewehrt gefasst wurde und eine Rechtsnorm darstellt, die unbedingt eingehalten werden muss. Auf der anderen Seite greift der reine Datenschutz zu kurz, was Informationssicherheit betrifft. Bei der Informationssicherheit geht es um den Schutz aller (!) Daten, was ja aus der Sicht der Unternehmen von fundamentaler Bedeutung ist. Ferner ist die Verpflichtung zum umfassenden Informationsschutz im Hinblick auf geeignete und angemessene organisatorische und technische Maßnahmen als Verpflichtung der Geschäftsführung des Unternehmens in verschiedenen Gesetzen geregelt und damit ebenso bindend.

Informationssicherheit setzt dabei auf den Datenschutz auf, erweitert diesen und umfasst die IT-Sicherheit als eine entscheidende Grundlage. Im Idealfall ist das Unternehmen und vor allem auch sein IT-Systemhaus im Hinblick auf Informationssicherheit nach ISO 27001 zertifiziert, was bei größeren Unternehmen und Mandanten meist unverzichtbar ist.

Notfallmanagement und -handbuch

Ein wesentlicher Bestandteil der Informationssicherheit ist dabei die sogenannte „Business Continuity“. Dabei geht es darum, nicht nur sicherzustellen, dass die Informationen geschützt und sicher verarbeitet werden, sondern dass die Informationen verlässlich zur Verfügung stehen und damit auch produktiv gearbeitet werden kann.

Das sogenannte Notfallmanagement soll bei einem Ausfall der IT in einem dem Risiko angemessenen Rahmen in einem Notfallhandbuch die Vorgehensweise und die durchzuführenden Schritte beschreiben, um möglichst rasch wieder operativ arbeiten zu können. Der Umfang des Notfallhandbuches kann bei einem KMU vergleichsweise überschaubar gestaltet werden.

Im typischen Kanzleiumfeld und bei KMU empfehlen wir folgende Struktur und Vorgehensweise, die als Notfallplan im Notfallhandbuch geregelt werden sollte:

  • Notfallteam: mindestens die Geschäftsleitung und der IT-Verantwortliche des Unternehmens und die Geschäftsleitung und der technische Leiter des IT-Systemhauses
  • Beschreibung der relevanten Notfallszenarien: mindestens Ausfall eines oder mehrerer Hyper-V-Hostserver bis hin zu einem Totalausfall der IT z. B. wegen eines Brandes
  • Beschreibung der Risiken für den Geschäftsbetrieb und des zu erwartenden Schadens während des Systemausfalls
  • Aktionsplan und Beschreibung der zu treffenden taktischen Maßnahmen pro Notfallkategorie zur raschen Wiederherstellung des reibungslosen Geschäftsbetriebes mit Zeitplan

Entscheidend für den Notfallplan ist ein pragmatischer Ansatz, der der Größe des zu erwartenden Schadens und der Größe des Unternehmens angemessen sein muss.

Die größten Fehler bei einem Notfallhandbuch, die es zu vermeiden gilt, sind:

  • Das Notfallhandbuch existiert nicht oder nicht einmal als Grobkonzept. Das ist heute leider der Regelfall.
  • Das Notfallhandbuch ist überdimensioniert und wird von den Verantwortlichen eher als Feigenblatt angesehen und nicht „gelebt“.
  • Das Notfallhandbuch ist nicht auf die konkrete Situation im Unternehmen angepasst, sondern stammt aus einer Vorlage, die nichts mit der Realität im Unternehmen zu tun hat.

Natürlich ist die Wahrscheinlichkeit eines Ausfalls der zentralen IT in einer echten Cloud, wie z. B. der TerraCloud, die ja gegenüber einer Pseudo-Cloud voll skalierbar und vor allem hochverfügbar ist, sehr gering. Bei einer on-premise-IT oder der IT in einer Pseudo-Cloud empfehlen wir als vorbeugende Notfallmaßnahme das Vorhalten einer Schatten-IT in einer echten Cloud, die mit einem Datev-Softwareschutzmodul ausgerüstet ist und mit der vorhandenen Datensicherung je nach Datenvolumen in wenigen Stunden zur vollen Funktionalität ausgebaut werden kann. 

Diese vorbeugende Maßnahme kostet weniger als 100 Euro pro Monat und ist insbesondere bei mittelgroßen und großen Kanzleien dringend zu empfehlen. Diese Maßnahme kann dann als Zwischenlösung oder auch als der finale Einstieg in das zukunftsweisende Cloud-Computing verstanden werden.

Workshop

Kostenloser Compus-Workshop:

Zum Thema Informationssicherheit/Datenschutz bei Cloud-Computing findet am Donnerstag, den 14. Mai ab 14 Uhr bei Compus ein Fokus-Workshop statt, bei dem zu diesem Thema neben anderen namhaften Herstellern die TerraCloud der Wortmann AG einen Schwerpunkt bildet. Der Geschäftsführer der Wortmann AG, Martin Klein, hält einen Vortrag mit interessanten Einblicken in die Welt des Cloud-Computing. Weitere Informationen über vertrieb@compus.de.

Information

Compus Computer GmbH ist ein IT-Systemhaus, das seit über 20 Jahren KMU und Kanzleien, die mit der Datev-Software arbeiten, herstellerunabhängig und damit neutral betreut. Der Nutzen für das Unternehmen steht bei uns im Vordergrund.

Wir sind zusätzlich als zweites Standbein als Microsoft Gold Partner ein Softwarehaus im Bereich von Datev-Schnittstellen und Zusatzprodukten im Finanzbereich für Datev-Software und für Microsoft Dynamics AX. Unsere Datev-Schnittstellen sind dabei sowohl von Microsoft als auch von der Datev zertifiziert.

Wir sind im Hinblick auf Qualitätsmanagement nach ISO 9001 und im Hinblick auf Informationssicherheit und Datenschutz nach ISO 27001 zertifiziert. Mit diesen Zertifizierungen nimmt Compus unter den IT-Systempartnern eine herausragende Stellung ein.

Compus betreut seit über 20 Jahren die IT des LSWB Bayern, die sich seit 2019 in der TerraCloud befindet.