Unsere ITSCM-Beratungsleistung

Gemeinsam mit Ihnen erarbeiten wir in diesem komplexen IT-Umfeld individuelle auf Ihre Erfordernisse zugeschnittene Lösungen. Dabei betrachten wir auch selbstverständlich die entsprechenden Schnittstellen zu anderen Management-Disziplinen wie u. a. dem Business Continuity Management (BCM), dem Information Security Management (ISM), dem Cyber Incident Response Management (CIRM) und dem Krisenmanagement (KM). Mit unserer langjährigen Erfahrung unterstützen wir Sie bei der Einführung, bei der Weiterentwicklung oder der Bewertung Ihres bestehenden IT-Service-Continuity-Management-Systems (ITSCMS). Unsere Vorgehensweise orientiert sich dabei an international anerkannten Standards (ISO 27031 und BCI Good Practice Guideline), ITIL sowie den Best-Practice-Modellen aus unserer langjährigen Projekterfahrung.

Unser ITSCM-Coaching

Bei der Durchführung von Projekten haben unsere IT-Fachexperten auch immer den Aufbau von hausinternem Know-how im Fokus. Unser Ziel ist, dass Sie während der Durchführung des Projekts das notwendige Wissen über den Managementprozess von uns erlernen und das Erlernte im Anschluss direkt in die Praxis umsetzen können. Neue Prozesse stoßen nicht immer nur auf ungeteiltes positives Echo. Interne Skepsis lässt sich unserer langjährigen Erfahrung nach am besten auflösen, indem ein entsprechendes Bewusstsein bei den Mitarbeitern geschaffen wird. Ganz nach dem Zitat von Antoine de Saint-Exupéry: „Wenn du ein Schiff bauen willst, dann trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu vergeben und die Arbeit einzuteilen, sondern lehre die Männer die Sehnsucht nach dem weiten, endlosen Meer“ – sprechen Sie uns gern an, wenn Sie Unterstützung bei der Vorbereitung und Durchführung von Awareness-Maßnahmen benötigen.

Was sind denn die drei wichtigsten Argumente für ITSCM?

ITSCM als Managementprozess schafft organisatorische und personelle Strukturen zur Vermeidung, aber auch zur Bewältigung von kritischen IT-Vorfällen. Mit einem etablierten ITSCM sind Sie in der Lage:

• auf kritische IT-Vorfälle strukturiert zu reagieren

• einen IT-Notbetrieb sicherzustellen

• einen Wiederanlauf Ihrer IT-Infrastrukturen, IT-Systeme und -Anwendungen innerhalb eines akzeptablen Zeitfensters durchzuführen

Warum ist ITSCM so wichtig?

Bei Ausfall von IT/IT-Infrastrukturen spielt der Zeitfaktor eine große Rolle. Je länger die notwendigen IT-Services für die kritischen Geschäftsprozesse nicht zur Verfügung stehen, umso höher ist der finanzielle und/oder reputative Schaden. Bei einigen Unternehmen ist das Zeitfenster bis zur Existenzbedrohung sehr klein. Ein etabliertes ITSCM verringert die Eintrittswahrscheinlichkeit von ITSCM-Schadensszenarien, schafft Strukturen zur Bewältigung von kritischen IT-Vorfällen und gibt Ihnen die Sicherheit, einen Wiederanlauf der IT innerhalb des festgelegten Zeitfensters durchzuführen.

Was genau ist ITSCM?

ITSCM als Managementprozess plant proaktiv alle Aspekte, die für eine Fortführung, einen Wiederanlauf oder eine Wiederherstellung ihrer IT-Infrastrukturen, IT-Systeme und/oder -Anwendungen erforderlich sind. Als Unterstützung von und in Abstimmung mit dem BCM-Prozess werden Risiken für IT-Services reduziert und der Wiederanlauf von IT-Services geplant, vorbereitet und getestet. Dadurch stärkt ITSCM die Widerstandsfähigkeit, Kontinuität und Stabilität Ihrer kritischen IT-Services. ITSCM ist Teilgebiet des Business Continuity Management (BCM) mit Fokus auf einem Ausfall der IT.

Welche Ziele verfolgt ITSCM?

• Sicherstellung der Verfügbarkeit der notwendigen IT-Infrastrukturen, IT-Systeme und -Anwendungen auch im Falle eines kritischen IT-Vorfalls oder IT-Notfalls

• Minimierung von Risiken, die zu kritischen IT-Vorfällen oder IT-Notfällen führen können

• Stärkung der Widerstandsfähigkeit, Kontinuität und Stabilität Ihrer kritischen IT-Services gegenüber äußeren Einflüssen

• Schaffung von Sicherheit bei Kunden und Vertragspartnern

Welche Vorteile hat ein Unternehmen mit einem etablierten ITSCM?

• Vermeidung oder Minimierung von Ausfallzeiten kritischer IT-Services, in deren Folge Geschäftsprozesse betroffen sind

• Minimierung von und Verkürzung von Wiederanlaufzeiten

• Reduzierung aktueller und zukünftiger Bedrohungen und Bereitstellung wirksamer Reaktionsprozesse

• Stärkung der Widerstandsfähigkeit der IT

• Erfüllung gesetzlicher, regulativer und kundeseitiger Anforderungen

• Nachweisbare Widerstandsfähigkeit gegenüber Kunden und Lieferanten

Wir haben bereits BCM. Benötige ich trotzdem ITSCM?

Diese Frage lässt sich ganz klar mit ja beantworten. BCM ermittelt die zeitkritischen Geschäftsprozesse eines Unternehmens und stellt sicher, dass diese in einem Ereignisfall fortgesetzt werden können. ITSCM stellt die Verfügbarkeit der IT-Services, die für zeitkritische Geschäftsprozesse benötigt werden, sicher. Während also das BCM als ganzheitlicher Managementprozess für den Ausfall von IT/IT-Infrastrukturen „nur“ manuelle Überbrückungsmaßnahmen plant, beschäftigt sich das ITSCM mit der Aufrechterhaltung der Verfügbarkeit bzw. dem schnellstmöglichen Wiederanlauf von IT-Infrastrukturen, IT-Systemen und -Anwendungen. 

Was ist mit ISM? Benötige ich trotzdem zusätzlich ITSCM?

Auch diese Frage lässt sich ganz klar mit ja beantworten. Information Security Management (ISM) hat das Ziel, alle Informationen eines Unternehmens, egal welcher Art und Herkunft, zu schützen. Das ISM plant proaktiv die Verhinderung von Sicherheitsvorfällen bzw. die Verletzung der definierten Sicherheitsziele, wie z. B. Vertraulichkeit (Confidentiality), Integrität (Integrity), Verfügbarkeit (Continuity) und Authentizität (Authenticity). Das sind somit Anforderungen an den Normalbetrieb. Eigene Pläne zur Bewältigung von Sicherheitsvorfällen werden normalerweise nicht erstellt. Hier entsteht sehr oft eine gefährliche Lücke. Die ITSCM-Organisationsstrukturen sowie die Pläne zur Alarmierung und Bewältigung von kritischen IT-Vorfällen können natürlich auch zur Bewältigung von Sicherheitsvorfällen eingesetzt werden. Unser allgemeines Vorgehensmodell für IT Service Continuity Management basiert auf unseren langjährigen Projekterfahrungen und den Best-Practice-Modellen der Branche. Im Folgenden beschreiben wir die einzelnen Stufen des Modells, das ein etabliertes ITSCM in Ihrem Unternehmen zum Ziel hat.

Wie sieht eine ITSCM-Implementierung aus?

Unser Vorgehensmodell für IT Service Continuity Management basiert auf unseren langjährigen Projekterfahrungen und den Best-Practice-Modellen der Branche. Auf den nächsten Seiten beschreiben wir die einzelnen Stufen des Modells, das ein etabliertes ITSCM in Ihrem Unternehmen zum Ziel hat.

Das Ziel des ITSCM-Prozesses ist es, eine Organisation zu befähigen, ausgefallene zeitkritische IT-Services in einem vorher festgelegten Zeitfenster und vereinbarten IT-Service-Mindestlevel wieder zur Verfügung zu stellen, um so die minimalen geschäftlichen Erfordernisse zu unterstützen.

Seit 2011 steht mit der ISO 27031 eine internationale Norm für die IT-Notfallplanung (ITSCM) zur Verfügung. Schon der Titel „Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity“ verweist darauf, dass es von Anfang an eine enge Zusammenarbeit der Disziplinen BCM und ITSCM im Unternehmen geben muss.

Wir berücksichtigen diese Schnittstellenproblematik in unserem ITSCM-Vorgehensmodell. Dieses hat zum Ziel, in Form eines Projekts den ITSCM-Prozess im Unternehmen zu etablieren. Neben unseren praktischen Erfahrungen aus über 20 Jahren Beratungstätigkeit fließen stets Anforderungen aus den Prozessbeschreibungen nach ITIL „ITSCM“, aus der Informationssicherheit (vor allem nach ISO 27001) und aus Standards wie dem deutschen BSI-Standard 200-4 „Business Continuity Management“ in unsere Konzepte mit ein.

Die Initiierung ist die Basis für ein erfolgreiches IT-Notfallplanungsprojekt. In Form einer ITSCM-Policy beauftragt das Management die IT-Abteilung mit der Umsetzung des ITSCM im Unternehmen. In einer ITSCM-Richtlinie werden die benötigten Prozessschritte dokumentiert. Ferner werden Maßnahmen zur Aufrechterhaltung des ITSCM-Prozesses, seiner Überwachung (Monitoring) und seiner kontinuierlichen Verbesserung festgelegt.

In der Analysephase werden die Soll-Anforderungen an die Verfügbarkeit der IT-Services (IT-Applikationen) aus dem BCM aufgenommen und mit den aktuell realisierten Möglichkeiten für eine IT-Notfallvorsorge abgeglichen. Das wichtigste Kriterium an die Verfügbarkeit im Notbetrieb ist die Wiederanlaufzeit (RTO) eines IT-Service. Diese kann aus einer Business-Impact-Analyse, aus Service Level Agreements sowie aus Schutzbedarfsanalysen abgeleitet werden. In einigen IT-Bereichen liegen die für die Analyse benötigten Dokumentationen noch nicht vor. In diesen Fällen setzen wir erprobte alternative Methoden zur Datenerhebung ein.

Das ITSC-Lösungskonzept beschreibt die ausgewählten Lösungsoptionen. Diese Lösungsoptionen dienen als Grundlage für die Erstellung der ITSC-Pläne.

Im Rahmen der IT-Präventivmaßnahmen werden beispielsweise zusätzliche Datensicherungen eingerichtet, WAN-Anbindungen realisiert, Cluster-Systeme aufgebaut, Ausweicharbeitsplätze eingerichtet oder auch neue RZ-Standorte angemietet. Priorität bei der Umsetzung haben Maßnahmen, die für sehr viele IT-Services Verfügbarkeitsverbesserungen erbringen und ferner Maßnahmen, die hohe Schadensrisiken mindern.

Für den Notfall ist eine eigenständige ITSCM-Organisation zu etablieren. Ziel dieser Organisation ist die eindeutige, schnelle Entscheidungsfindung in kritischen Situationen auf Basis weniger Hierarchiestufen. Ferner wird für diese IT-Notfall-Organisation ein eigenständiges Eskalationsverfahren definiert.

Um die nach Abschluss des Projekts ständig anfallenden Aufgaben in den Regelbetrieb übergeben zu können, sind Steuerprozesse zu definieren.

Im Rahmen der Planung wird der ITSC-Plan erstellt. Dieser kann je nach Anzahl und Größe der Rechenzentren aus diversen Einzeldokumenten bestehen. In jedem Fall müssen die für alle Szenarien gleichermaßen geltenden Abläufe zum IT-Krisenmanagement beschrieben werden.

Je Ausfallszenario (z. B. Ausfall RZ-Raum 1, Ausfall WAN etc.) sollte es ein Szenario-Handbuch geben. Dieses beinhaltet detaillierte technische Beschreibungen zum Wiederanlauf (Recovery) der IT-Services. Die Beschreibungen müssen mit den Krisenkoordinationsplänen und den Plänen der IT-Dienstleister abgestimmt sein.

Die regelmäßige Durchführung aussagekräftiger IT-Continuity-Tests ist entscheidend für die Einschätzung der Qualität der IT-Notfallpläne. So kann beurteilt werden, ob die vorgehaltenen redundanten Ressourcen und die Wiederanlaufpläne eine reale Notfallbewältigung ermöglichen würden.

Eine Test- und Übungsstrategie spezifiziert die Festlegungen aus der ITSCM-Policy hinsichtlich der Häufigkeit und des Umfangs der durchzuführenden IT-Continuity-Tests und -Übungen. Zur Vereinfachung der Testplanungen werden Testarten definiert (z. B. Funktions- und Realtests).

In Form von Testkonzepten wird dargelegt, wie welche IT-Ressourcen zu testen sind (Art der Abschaltung oder Umschaltung, Risiken bei der Testdurchführung etc.). In der Testplanung werden für jeweils ein Jahr die konkreten Tests (inkl. des Initialtests) terminiert und deren Testziele definiert.

Vor der Überführung des ITSCM-Projekts in den Betrieb ist ein sogenannter Initialtest durchzuführen. Den Umfang des Tests bestimmt die zuvor festgelegte Testplanung. Wichtig für den Initialtest ist, dass alle Planungsaktivitäten im Zusammenhang mit dem Test durchgeführt werden: