Sind Sie auf einen IT-Notfall vorbereitet?

Die wachsende Verwendung von Informationstechnik erleichtert die Betriebsabläufe von Apotheken und eröffnet durch den Onlinehandel neue Vertriebskanäle und Absatzmärkte. Die Digitalisierung geht jedoch auch einher mit einer steigenden Abhängigkeit von Anwendungen, IT-Systemen und Geräten. Funktionieren diese nicht so, wie sie sollen, oder fallen sie gar komplett aus, kommt es schnell zu großen Einschränkungen der Betriebsabläufe.

Die Verfügbarkeit der IT wird häufig als gegeben vorausgesetzt. Stellt sich dies plötzlich als Trugschluss heraus, können wichtige Geschäftsprozesse im Tagesgeschäft, wie Kassensysteme oder Onlineshop, nicht mehr wie gewohnt ausgeführt werden. Was also, wenn der Kommissionierer nicht auf Anforderungen reagiert, oder wenn aufgrund eines Softwarefehlers plötzlich keine digitale Rezeptkontrolle mehr möglich ist?

Mit dieser Problematik beschäftigt sich das IT-Notfallmanagement. Dort wird mithilfe von festgelegten Prozessen und Handlungsanweisungen für den Ernstfall geplant.

Dies dient der Notfallvorsorge und damit der Minderung der Auswirkungen von IT-Störungen und Ausfällen durch präventive und reaktive Maßnahmen. Ein weiteres Ziel ist die Notfallbewältigung, also die rasche Wiederherstellung des Normalzustands im Geschäftsbetrieb und die Aufarbeitung des Vorfalls. Charakterisierend für ein gutes IT-Notfallmanagement sind dabei folgende Punkte:

• Beginn der Schadensbewältigung ohne Verzögerung direkt nach der Identifikation des Notfalls,
• kontinuierliche Aufrechterhaltung eines Notfallbetriebs zur Fortführung der Geschäftstätigkeiten,
• strukturierter Umgang mit IT-Notfällen zur effizienten und lückenlosen Bearbeitung von Vorfällen,
• klare Handlungsanweisungen für den Ernstfall zur Vermeidung von Verzögerungen aufgrund unklarer Befugnisse, sowie
• zielgerichtete Dokumentation und Aufbereitung des Vorfalls mit der Ableitung von "Lessons Learned" als Ziel.

Wichtig ist, dass parallel zur Vorfallbewältigung der Geschäftsbetrieb – soweit irgend möglich – fortgesetzt wird. Mit der richtigen Vorbereitung ist jedoch die Aufrechterhaltung eines Not- oder Ersatzbetriebs in der Regel möglich. Somit zeigen sich die spürbaren Vorteile des IT-Notfallmanagements in vielfältiger Form:

• Verringerung der finanziellen Auswirkungen des Ausfalls durch Geschäftsfortführung im Notbetrieb und schnellstmögliche Wiederherstellung des Normalbetriebs,
• Abwendung eines Komplettausfalls des Geschäftsbetriebs durch Vorbereitung von Notfallplänen,
• klar dokumentierte Erkenntnisse, um eine Wiederholung zu vermeiden sowie
• Vermeidung von tiefgehenden Imageschäden dank der Fortführung des Geschäftsbetriebs.

Um effizient mit IT-Notfällen umzugehen und eine schnelle Bearbeitung des Vorfalls zu gewährleisten, wird im IT-Notfallmanagement mit folgenden grundlegenden Dokumenten gearbeitet.

IT-Notfallkonzept

Das IT-Notfallkonzept beschreibt die dem IT-Notfallmanagement zugrundeliegende Methodik und dient als Leitfaden für die einheitliche Erstellung von Notfallplänen. Es beinhaltet das Vorgehen zur Identifikation kritischer Geschäftsprozesse, die Zuweisung und Definition der Verantwortlichkeiten, Melde- und Entscheidungsprozesse sowie die Kommunikationsstruktur. Damit es auch bei einem IT-Ausfall zur Verfügung steht, sollte das IT-Notfallkonzept immer auch in ausgedruckter Form an einem sicheren Ort aufbewahrt werden!

IT-Notfallhandbuch

Das IT-Notfallhandbuch bietet einen Überblick, wie sich Mitarbeiter bei Eintreten eines IT-Notfalls zu verhalten haben. Es beinhaltet alle Dokumente, die grundlegende Anweisungen für eine angemessene Reaktion geben, insbesondere Kontaktlisten, Notfallpläne mit Sofortmaßnahmen, Geschäftsfortführungs- und Wiederanlaufpläne sowie Kommunikationspläne. Das IT-Notfallhandbuch sollte ebenfalls ausgedruckt vorliegen.

IT-Notfallkarte

Die IT-Notfallkarte dient als Hinweisschild zum Verhalten bei IT-Notfällen und als erste Anlaufstelle bei deren Eintreten. Sie sollte ausgedruckt an jedem Arbeitsplatz den Mitarbeitern zur Verfügung stehen. Ein sehr guter Vordruck einer IT-Notfallkarte ist kostenfrei im Internet bei der Allianz für Cybersicherheit abrufbar.

Der Aufbau eines umfassenden IT-Notfallmanagements erfordert Ressourcen, die nicht jedem Betrieb sofort zur Verfügung stehen. Als Einstieg und zur Grundlagenplanung können die folgenden Kernaspekte dienen:

• Vorfalldefinition: Eine klare Definition, was als IT-Notfall gesehen wird, ist die Grundlage des IT-Notfallmanagements.
• Kritikalität: Die Identifikation der Geschäftsprozesse, die grundlegend für den Ablauf des Geschäftsbetriebs sind; dies dient der Fokussierung der Notfallpläne auf die wichtigsten Unternehmenswerte.
• Kommunikation: Die Festlegung klarer Melde- und Kommunikationsstrukturen ist unabdinglich, insbesondere die Ernennung einer Kontaktperson, an die sich jeder Betriebsangehörige bei einem Verdacht auf einen IT-Notfall wenden kann.
• Sofortmaßnahmen: Diese können als Handlungsanweisungen für den sofortigen Umgang mit dem IT-Notfall verstanden werden. Wichtig ist, dass die Ergreifung von Maßnahmen mit den verantwortlichen Ansprechpartnern abgeklärt wird.
• Sensibilisierung: IT-Notfallmanagement kann nur dann erfolgreich umgesetzt werden, wenn alle Beschäftigten IT-Notfälle erkennen können und wissen, was zu tun ist. Regelmäßige Schulungs- und Sensibilisierungsmaßnahmen sind daher besonders wichtig.

Auch in Apotheken erhöht die Verwendung von Informationstechnik die Abhängigkeiten von IT-Systemen, -Prozessen und -Geräten. Ein Ausfall kann hohe betriebliche und wirtschaftliche Risiken bergen. Werden Sie also tätig, bevor der Ernstfall eintritt, und konzipieren Sie ein auf Ihre Apotheke zugeschnittenes IT-Notfallkonzept!

In einer großen Apotheke mit viel Laufkundschaft und Online-Handel sind die Geschäftsprozesse größtenteils digitalisiert. Ein Kommissionierer ist im Einsatz. Bei Geschäftsöffnung am Morgen bemerkt eine Mitarbeiterin, dass der Kommissionierer nicht funktioniert. Dank der IT-Notfallkarte weiß sie sofort, wen sie kontaktieren muss. Der alarmierte IT-Beauftragte bewertet die Situation anhand festgelegter Kriterien und kontaktiert den Hersteller. In der Zwischenzeit kann der Betrieb in einem vorbereiteten manuellen Notbetrieb weiterlaufen. Da das Personal die Abläufe kennt, kann ein eingeschränkter, aber geregelter Betrieb aufrechterhalten werden.

1. Wie abhängig ist Ihr Geschäftsbetrieb von den IT-Systemen und Anwendungen?
2. Haben Sie die kritischen Geschäftsprozesse in Ihrer Apotheke identifiziert?
3. Sind Sie auf einen Ausfall Ihrer IT-Systeme wirklich vorbereitet?
4. Ist Ihr Personal für einen IT-Notfall geschult?
5. Liegen IT-Notfallhandbuch und IT-Notfallkonzept ausgedruckt vor?
6. An welche Kontaktperson sollen sich Mitarbeiter bei Verdacht auf einen IT-Notfall wenden?
7. Existiert eine Strategie für den Ernstfall, die allen Mitarbeitern bekannt ist?
8. Gibt es Fachpersonal oder Dienstleister, die im IT-Notfall benachrichtigt werden müssen oder unterstützen können?

Dr. Marian Corbe, Geschäftsführender Gesellschafter, RST Informationssicherheit GmbH, 45128 Essen, E-Mail: mcorbe@rst-beratung.de