Schrittweise zum IT-Notfallmanagement in Kommunen

0
1555

Egal ob ein gezielter Cyber-Angriff Web-Server lahmlegt oder die Telefonanlage wegen eines simplen Leitungsschadens ausfällt: Wenn die Technik stillsteht, geht oft nichts mehr. Das betrifft die kommunale Verwaltung genauso wie Unternehmen. Da sich Pannen nie ganz vermeiden lassen werden, muss ein gutes IT-Management auch den Notfall mit einplanen.

Ein durchdachtes IT-Notfallmanagement hilft Schäden zu begrenzen und den Betrieb schnellstmöglich wiederherzustellen bzw. in besonders kritischen Bereichen auch durchgehend aufrechtzuerhalten. Was in der Theorie erstrebenswert klingt, bedeutet in der Praxis vor allem eins: viel Arbeit. Und die Anforderungen an die Verwaltungs-IT in den Kommunen sind auch so schon zahlreich. Prozesse und Dienstleistungen sollen zunehmend digital und dabei modern, flexibel und nutzerfreundlich abgebildet werden, neue Erfordernisse wie die elektronische Aktenführung müssen erfüllt werden, IT-Sicherheit und Datenschutz sollen realisiert werden – mit unmittelbarer Geltung der Datenschutzgrundverordnung ergeben sich hier auch neue gesetzliche Pflichten. Die Notwendigkeit, darüber hinaus auch noch ein gesondertes IT-Notfallmanagement einführen, ist der Entscheidungsebene daher nicht immer leicht zu vermitteln.

Schrittweise vorgehen

Ohne die geht es aber nicht. “Sie müssen hartnäckig bleiben”, so Regina Holzheuer auf dem 5. Kommunalen IT-Sicherheitskongress des Deutschen Landkreistages in Berlin. “Neben Langstreckenzielen sollten Sie unbedingt greifbare kurzfristige Ziele setzen.” Aus Ihrer Erfahrung als IT-Sicherheitsbeauftrage im Landratsamt Esslingen gab Holzheuer Empfehlungen für die Einführung eines Notfallmanagements – seit Mai 2018 ist sie IT-Sicherheitsbeauftragte im Ministerium für Ländlichen Raum und Verbraucherschutz Baden-Württemberg.

Langfristiges Ziel sei die Umsetzung nach dem BSI-Grundschutzstandard 100-4, dies sei aber sehr arbeitsintensiv. Annähern könne man sich schrittweise, indem man zunächst ein Basis-Notfallhandbuch und dann eine Leitlinie für das Notfall- und Kontinuitätsmanagement in der eigenen Organisation erstelle. Wichtig für einen Interims-Notfallplan ist die klare Benennung von Zuständigkeiten und Erreichbarkeiten in einem Notfall-Team. Dokumentiert werden am besten auch Kontakte von weiteren internen und externen Personen, die bei technischen Problemen helfen könnten – etwa Fachanwendungsbetreuer oder IT-Dienstleister. Merkhilfen und Checklisten für ein organisiertes Vorgehen sollten erstellt werden und im Notfall schnell zugänglich sein.

“Einen Interims-Notfallplan sollten Sie am besten so etablieren, dass er nur dem Notfallteam selbst bekannt ist”, rät Holzheuer. Sonst heiße es schnell: “Wir haben doch schon was für den Notfall!” und man riskiere, dass das Provisorium zur Dauerlösung wird. Auch über einen Ort für das “Krisenzentrum” solle man sich im Vorfeld Gedanken machen, wie Holzheuer betont: Wo kann sich das Team im IT-Krisenfall treffen? Was wird benötigt? Neben Strom, Netzzugang sowie Hard- und Softwarekomponenten sei auch an ausreichende Verpflegung und Kaffee zu denken, wenn intensiv und lange an Lösungen gearbeitet werden muss.

Alle Fachbereiche einbinden

Der nächste Meilenstein auf dem Weg zum vollwertigen IT-Notfallmanagement ist ein ausführliches IT-Notfallhandbuch mit Wiederanlaufplan. Basis dafür ist eine umfangreiche Business Impact Analyse sowie Risikoanalyse. Das sei aber nicht alleinige Aufgabe der IT-Abteilung, stellt Holzheuer klar. Um Abhängigkeiten im komplexen IT-Betrieb erkennen und Prioritäten für die Aufrechterhaltung und Wiederherstellung von Prozessen festlegen zu können, seien alle Fachbereiche gefragt. Hier empfiehlt die IT-Sicherheitsbeauftragte die Bildung einer entsprechenden Projektgruppe.

Die Umsetzung eines vollwertigen IT-Notfallmanagements nach BSI-Standard 100-4 ist so etwas wie die Königsklasse in dem Bereich und wird für viele Kommunalverwaltungen zunächst einmal ein fernes Ziel bleiben. “Wichtig ist, dass Sie überhaupt anfangen”, sagt Holzheuer. “Der Notfall wird nicht darauf warten, dass Sie einen Notfallplan haben.”