test the episodes
Wer den schlimmsten Fall vermeiden möchte, muss sich auf ihn einstellen und ihn möglichst antizipieren. Schwerwiegende Incidents mit Katastrophen-Charakter treffen Unternehmen hart – insbesondere dann, wenn sie unvorbereitet sind. In solchen Situationen steht innerhalb kürzester Zeit unglaublich viel auf dem Spiel. Was wirklich zählt, ist daher vor allem die Zeit davor.
Dieser Beitrag gibt einen fundierten Überblick zum IT Service Continuity Management (ITSCM), erläutert dessen Ziele, gibt Aufschluss über Best Practices und stellt eine Checkliste zur Verfügung.
Was ist IT Service Continuity Management?
Das IT Service Continuity Management (ITSCM) ermöglicht, dass IT-Services auch bei schwerwiegenden Vorfällen (Incidents) verfügbar bleiben beziehungsweise sich schnell wiederherstellen lassen. Es ist ein fester Bestandteil von ITIL® und hat zum Ziel, die Ausfallzeiten, Kosten und geschäftlichen Auswirkungen solcher Incidents im Vorfeld durch klare definierte und standardisierte Prozesse zu reduzieren.
Als zentral dafür erweist sich ein strukturierter und gut dokumentierter Notfallplan, der im Ernstfall eine koordinierte Wiederherstellung ermöglicht. Zu vereiteln sind Verzögerungen durch Faktoren wie Stress, fehlende Routine oder mangelnde Erfahrung.
ITSCM vs. Incident Management
Das IT Service Continuity Management und das Incident Management weisen einige Parallelen auf: Beide bekämpfen (mögliche) Störungen und deren Auswirkungen. Dennoch unterscheiden sie sich jedoch recht stark voneinander.
Wo das Incident Management Vorfälle verschiedener Schweregrade behandelt, beugt das ITSCM schweren Incidents (IT-basierte Katastrophenfälle) vor. Das sind plötzlich auftretende Ereignisse, die Unternehmen schwere Schäden beziehungsweise große Verluste zufügen können.
Während das Incident Management klassischerweise reaktiv ist (proaktivere und prophylaktischere Vorgehensweisen kommen aktuell auf), geht es beim ITSCM um Vorbeugung. Es folgt einem umfassenden Prozess und Zyklus, um vor sogenannten Worst-Case-Szenarien gewappnet zu sein.
ITSCM und Business Continuity Management (BCM)
Beide Disziplinen befassen sich mit potenziell schwerwiegenden Risiken für die Organisation. Beim IT Service Continuity Management hängen diese mit der IT zusammen, während das Business Continuity Management (BCM) Risiken aller Art – IT-basierte inklusive – behandelt.
Das BCM findet außerhalb der IT statt, arbeitet im Idealfall jedoch eng mit dem ITSCM-Team zusammen, um mithilfe einer detaillierten IT-Risikoanalyse die bestmöglichen Pläne für den Fall eines schweren Incidents zu erstellen.
Die ITSCM-Ziele im Überblick
Die übergeordneten Ziele des IT Service Continuity Managements sind schnell zusammengefasst: Mit ihm sollen IT-Services auch bei schwerwiegenden Incidents beziehungsweise Katastrophen aufrechterhalten oder zumindest zügig wiederhergestellt werden.
Im Folgenden werden die einzelnen Ziele näher erläutert.
#1: Kontinuierliche bzw. hohe Service-Verfügbarkeit
Wie der Name es bereits sagt: Die kontinuierliche Verfügbarkeit von IT-Services bildet die oberste Devise. Die IT-Abteilung ist gefragt, für besonders schwerwiegende Fälle vorzusorgen. Selbst bei heiklen Vorfällen wie einem Cyberangriff oder dem Ausfall eines Rechenzentrums sollen die Services weiterbetrieben oder zeitig wiederhergestellt werden. Das erweist sich auch vor dem Hintergrund der Compliance, regulatorischer Anforderungen und von Service Level Agreements (SLAs) als besonders wichtig.
#2: Negative geschäftliche Auswirkungen vermeiden
Möglichst sollen gar keine Ausfälle, schwere Störungen oder Bedrohungen durch Angriffe entstehen. Für den Fall, dass es doch dazu kommt, muss das IT Service Continuity Management bereits die Voraussetzungen dafür geschaffen haben, dass diese so wenig Schaden wie möglich verursachen. Geschäftlich geht es dabei vor allem darum, finanziellen Verlusten, Reputationsschäden oder auch Vertragsstrafen vorzubeugen.
Das funktioniert zum Beispiel durch eine priorisierte Wiederherstellung auf Basis einer Business Impact Analysis oder durch eine präventive Implementierung von Gegenmaßnahmen – orientiert an der Eintrittswahrscheinlichkeit und voraussichtlichen Schadenshöhe.
#3: Risiken identifizieren und beheben
Das ITSCM sorgt nicht nur für Worst Cases vor und versucht, negative Auswirkungen zu verhindern, sondern betreibt auch aktive Prävention. Dabei geht es im ersten Schritt darum, Risiken zu identifizieren und deren Gefahrenpotenzial zu bewerten. Das geschieht mittels einer Business Impact Analyse (BIA). Im zweiten Schritt zählt es, Gegenmaßnahmen wie Redundanzen und Backup-Strategien zu ergreifen.
#4: Pläne für eine effektive Wiederherstellung machen
Kommt es trotz aller Vorkehrungen zu Ausfällen, muss eine schnelle und kontrollierte Wiederherstellung gewährleistet sein. So sollten nicht nur Risiken identifiziert, sondern auch erprobte Wiederherstellungspläne erstellt werden. Teams sollten diese regelmäßig testen, üben und dokumentieren, um effektive Notfallhandbücher und Wiederanlaufpläne zu gewährleisten, mit denen sie gut für Ernstfälle gewappnet sind.
#5: Taktische Kollaborationen
Um einen echten Unterschied auf Unternehmensebene zu machen und schwerwiegende Ausfälle zu vermeiden, sind zielgerichtete Kollaborationen gefragt. Dies trifft einerseits auf das Business Continuity Management zu, um der Gefahr von IT-Ausfällen effektiv entgegenzutreten.
Ebenso ist die moderne Unternehmenswelt durch stark vernetzte, heterogene IT-Landschaften geprägt. Daher sollten IT-Teams auch mit Anbietern der vom Unternehmen genutzten IT-Produkte und -Services zusammenarbeiten, um das Gefahrenpotenzial zu schmälern.
Unsere Cyber-Defense-Lösung STORM unterstützt dabei, diese Ziele zu erreichen und hervorragende Sicherheitsstrukturen aufzubauen.
Best Practices für das IT Service Continuity Management
Sicherheit und Compliance zu gewährleisten, ist äußerst verantwortungs- und anspruchsvoll. Das trifft umso mehr zu, wenn es – wie beim IT Service Continuity Management – um potenzielle Katastrophen geht.
Ergo braucht es ein gut organisiertes, zielgerichtetes und intelligentes Vorgehen. Die folgenden Best Practices können dabei unterstützen.
1. Klare Verantwortlichkeiten schaffen
Es muss eindeutige (Notfall-)Pläne und Regeln dafür geben, wer im Ernstfall welche Aufgaben zu erledigen hat. Alternativ oder ergänzend zu temporären Verantwortlichkeiten lässt sich ein fester Service Continuity Manager (SCM) und ein Service-Continuity-Recovery-Team ernennen. Neben klaren Rollen zählt ein fein ausgearbeitetes Eskalationsmanagement.
2. Effektive Kommunikationsstränge erarbeiten
Wenn Incidents zur Katastrophe führen, liegt dies oft an mangelnder oder schlechter Kommunikation. Hier müssen Unternehmen ansetzen und klare, detaillierte Kommunikationspläne entwickeln, damit bei einer Gefahrenlage sämtliche Beteiligte inklusive Stakeholder so früh wie möglich hinreichend informiert sind und rasch die richtigen Schritte ergreifen können.
3. Tests durchführen
Nur durch regelmäßige Tests und Übungen sind IT-Teams ausreichend auf (schwere) Incidents und Katastrophen vorbereitet. So kommt es auf Tests zur Ausfallsicherung und Simulationen beziehungsweise auf die daraus gezogenen Lektionen für den Ernstfall an.
4. Kontinuierlich an Verbesserungen arbeiten
Kontinuierliche Verbesserung ist nicht nur ein wichtiges ITIL®️-Prinzip, sondern auch absolut entscheidend, um eine erfolgreiche Prävention für Krisenfälle zu betreiben. Schlüssel dafür sind unter anderem fundierte Evaluationen von Tests und Audits sowie die Auswertung von Bedrohungen.
5. Mitstreiter finden
IT-Servicekontinuität lässt sich nicht allein durch gute Arbeit der IT-Abteilung erreichen. Sie muss auch im Unternehmen – vor allem im Management – Priorität haben. Damit Budget und die nötigen Ressourcen zur Verfügung stehen, sollten IT-Verantwortliche auf dieses wichtige Thema hinweisen und sich möglichst Mitstreiter suchen.
Checkliste: Der ITSCM-Prozess
IT-Service-Kontinuität ist kein Projekt, sondern ein kontinuierlicher Prozess. Dafür müssen Verantwortliche einige zentrale Schritte ausführen und diese regelmäßig wiederholen.
Zunächst sollten grundlegende Fragen geklärt sein, auf Basis derer schließlich ein strukturierter Plan entsteht.
Die folgende Checkliste gibt eine grobe Übersicht:
- Gibt es eine Strategie für die Incident Response? Ist diese gut genug aufgestellt?
- Wurden Disaster-Recovery-Richtlinien definiert?
- Wurden die IT-Verantwortlichkeiten klar festgelegt?
- Haben wir für alle erdenklichen Katastrophen-Szenarien vorgesorgt?
- Gibt es eine Teststrategie samt der Erarbeitung von Verbesserungsmaßnahmen?
- Steht eine Notfall-Kommunikation und wird sie regelmäßig geübt?
- Wissen die IT-Mitarbeitenden hinreichend über die Notfall-Prozesse Bescheid und sind sie darin eingebunden?
- Gibt es klare Eskalationspfade?
- Sind sämtliche geschäftskritischen Systeme ausreichend geschützt?
- Verfügen wir über alle notwendigen Informationen und technischen Ressourcen zur Unterstützung und Wiederherstellung kritischer Systeme?
- Ist sichergestellt, dass Teams auf relevante Informationen und Prozessdokumentationen zugreifen und diese gemeinsam nutzen können?
- Wurden die potenziellen Auswirkungen der identifizierten Risiken bewertet?
- Wurden konkrete Pläne und Prozesse für jedes Risiko-Szenario ausgearbeitet?
- Wurden die Anforderungen an das Personal und die Dokumentation definiert?
- Werden die ITSCM-Pläne regelmäßig überprüft?
Fazit: IT Service Continuity Management – gelebte Prävention
Die IT-Service-Kontinuität zu wahren, klingt recht harmlos. Doch beim IT Service Continuity Management (ITSCM) geht es um schwere Incidents, die das Potenzial für eine „Katastrophe“ aufweisen. Dies macht es zu einem äußerst wichtigen Unterfangen, nicht erst bei Ausfällen, Angriffen und Störungen, sondern bereits lange davor. Denn Prävention und Vorbereitung sind die obersten Maximen: Wenn der Ernstfall droht, muss er schnell und sicher zu bewältigen sein und möglichst wenig Schaden verursachen.
Es ist also immens wichtig, Risiken frühzeitig zu identifizieren, sie zu schmälern sowie einen funktionalen Notfallplan zur Hand zu haben. Um erfolgreich zu sein, müssen ITSCM-Teams mit anderen Instanzen wie dem Business Continuity Management (BCM) und dem Unternehmensmanagement zusammenarbeiten. Dies garantiert eine erfolgversprechende Planung und ausreichend Mittel für das IT Service Continuity Management.
Entscheidend sind im Wesentlichen diese drei Bausteine:
- IT-Teams sollten Risiken frühzeitig erkennen und möglichst beseitigen.
- Es gilt, auf Ernstfälle vorbereitet und eingestellt zu sein.
- Während einer “Katastrophe” müssen IT-Teams schnell reagieren und die richtigen Entscheidungen treffen.
Im Nachhinein zählt ebenso eine Post-Mortem-Analyse, die wiederum als Grundlage für die Prävention dient und damit den Kreislauf einer kontinuierlichen Verbesserung – für einen effektiven Schutz gegen schwere Vorfälle – schließt.
Erfahren Sie, wie OTRS Sie beim ITSM und bei der Cybersecurity unterstützen kann.