Ein zielführendes Notfallmanagement hilft unter anderem dabei, den Ausfall wichtiger Systeme zu stoppen, respektive deren Betriebsfähigkeit rasch wiederherzustellen. So lassen sich Datenverluste und Produktionsausfälle minimieren beziehungsweise verhindern. Der Maßnahmen-Katalog sollte sich an den betrieblichen Anforderungen orientieren. Es kann grundlegende Anweisungen bis hin zu einem tiefgreifenden Konzept mit genauen Anweisungen sowie die Verhaltensregeln für Abteilungen oder einzelne Mitarbeiter enthalten. Das Maßnahmenspektrum umfasst eine Kontaktliste mit den wichtigsten Ansprechpartnern ebenso, wie praxisnahe Übungen, bei denen verschiedene Szenarien und die entsprechenden Verhaltensregeln im Ernstfall durchgespielt werden. Festgeschrieben wird dabei auch, in welchen Notfällen die Einbindung externe Dienstleister zu veranlassen ist oder ob staatliche Stellen eingeschaltet werden müssen. Darüber hinaus muss auch klargestellt werden, wie und in welcher Form die Mitarbeiter über einzelne Vorfälle informiert werden.
Ausgefeilte IT-Sicherheit schützt Firmenwissen
Ein spezielles Kapitel des Notfallplans sollte der IT-Infrastruktur gewidmet sein, denn sie ist heute der Lebensnerv einer jeden Organisation. Mit einer hochverfügbaren IT stehen und fallen nahezu alle Geschäftsprozesse. Unternehmenskritische Daten sind die Kronjuwelen eines Betriebes, die besonders geschützt werden müssen, da von ihnen die Existenz eines Unternehmens abhängtWährend der Datensicherheit inzwischen deutlich mehr Aufmerksamkeit geschenkt wird, als noch vor wenigen Jahren, bleibt die Sicherheit zahlreicher anderer Komponenten einer IT-Infrastruktur vielfach noch auf der Strecke. Drucksysteme, Scanner, Kopierer und Multifunktionsgeräte kommen in den Sicherheitskonzepten vieler Unternehmen und öffentlichen Einrichtungen so gut wie gar nicht vor, wie Untersuchungen der Beratungsfirma Quocirca zeigen. Die Mehrzahl der befragten IT-Fachleute sahen bei Druckern, Multi-Function Printer (MFP) oder Scannern kaum Handlungsbedarf, in Bezug auf den Schutz unternehmenskritischer Daten. Höchste Alarmbereitschaft besteht dagegen bei allen Verantwortlichen, wenn es um Attacken auf den E-Mail-Verkehr oder den Verlust mobiler Geräte wie Firmen-Notebooks und Smartphones geht. Virenscanner, Firewalls, Verschlüsselungsmechanismen oder Authentifikationsroutinen sind meist Usus.
Faktor Mensch als Sicherheitsfalle
Wenn schon die IT-Fachleuten das Bewusstsein für Aus- und Eingabegeräte als Schwachstelle für die IT-Sicherheit fehlt, wundert es nicht, dass dies auch bei den meisten Mitarbeitern kaum oder nicht vorhanden ist. Wer kennt nicht das vergessene Original im Kopierer, die kopierten Unterlagen des Kollegen im nicht vollständig geleerten Ausgabeschacht oder die achtlos im Papierkorb entsorgten Fehlkopien? Abteilungsdrucker und -kopierer in leicht zugänglichen Bereichen sind für Wirtschaftsspione und Datendiebe wie ein festlich gedecktes Buffet, an denen sie sich bei fehlenden Sicherheitskonzepten beliebig bedienen können.
Liegengelassene Ausdrucke können zum Sicherheitsrisiko werden.
(Bildquelle: HP)
Umso wichtiger ist es, innerhalb einer Organisation das Sicherheitsbewusstsein der Mitarbeiter zu schärfen. Dazu gehören zum Beispiel explizite Regelungen darüber, wer im Firmen-Netz auf welche Daten zugreifen darf und welche Formen der Be- und Verarbeitung erlaubt sind. Aber auch der Umgang mit den Ein- und Ausgabegeräten muss Teil einer solchen Schulung sein, damit Daten und Informationen von Unternehmen und Behörden nicht beliebig einsehbar sind. Die Sensibilisierung der Mitarbeiter ist darum ein wichtiger Eckpfeiler jedes Notfallkonzeptes.