Erfahrungen mit Notfall-Tools Umfrage:
Eindrücke zwiespältig – jeder Zweite möchte
ein Hilfsmittel
Ordnungsmerkmale
erschienen
in: <kes> 2003#3, Seite 22
Rubrik:
Management und Wissen
Schlagwort: Business Continuity
Schlagwort-2: Notfall-Tools
Zusammenfassung: Eine überraschend
große Zahl von Unternehmen und Behörden setzt noch keine
Handbücher oder Software-Tools zur Unterstützung ihrer
Business-Continuity-Maßnahmen ein. Die <kes> hat sich
in einer Ad-hoc-Umfrage bei Lesern nach ihren Erfahrungen und dem
generellen Interesse an Notfallplanungsinstrumenten erkundigt.
Welche Hilfsmittel verwenden <kes>-Leser bei ihrer
Vorsorge für den Notfall? Vorgefertigte Handbücher?
Eigene Zusammenstellungen? Oder marktgängige Tools? Im Rahmen
einer Bestandsaufnahme der Eigenschaften solcher Hilfsmittel hat
die Redaktion in einer Stichprobe 77 IT-Sicherheitsverantwortliche
von Kreditinstututen, Industrieunternehmen, Behörden und
Beratern gefragt,
- welche Erfahrungen sie haben,
- wo sie die Vor- und Nachteile ihrer Werkzeuge sehen,
- ob und wie viel Zeitersparnis ihnen ein fertiges Tool
gegenüber einer möglichen Eigenentwicklung gebracht hat
und
- ob sie an Informationen über Tools interessiert sind,
falls derzeit keines im Einsatz ist.
Das überraschende Ergebnis: Mehr als die Hälfte der
antwortenden <kes>-Leser, durchweg hochrangige Mitarbeiter
der wichtigsten deutschen Unternehmen und Behörden, setzen
bisher kein Hilfsmittel ein, sind aber sehr an Informationen
über das am Markt befindliche Angebot interessiert. Damit
erscheint der Bedarf in der Praxis höher als es die
<kes>/KPMG-Sicherheistsstudie 2002 vermuten ließ: Im
letzten Jahr hatten 77 % der Studien-Teilnehmer angegeben,
mindestens eine Form von Notfalldokumentation zu nutzen (vgl.
Abb.).
Angaben zur Art der verwendeten Notfall-Dokumentation aus der
<kes>/KPMG-Sicherheitsstudie 2002
Von der Stange
Zwölf der jetzt antwortenden 77 Unternehmen nutzen am Markt
erhältliche Tools. Erwähnt wurden CAPT und CM von Heine
& Partner (bzw. ICM von INFO AG), ROGSI/DMS von ROG, Alive-IT
von Controll-IT, das Tool "L.D.R.P.S." der in Deutschland
weitgehend unbekannten US-Firma Strohl Systems, das vor allem im
Sparkassenbereich verbreitete Dokumentationstool Dokusa und
gelegentlich Software, die nur die Wiederherstellung von Daten nach
einem Crash unterstützt.
Als wesentliche Vorteile ihrer Instrumente nannten diese
Anwender:
- "Vorgegebene Vorgehensweise und Struktur der Software"
(Versicherung)
- "Ablage aller erforderlichen Daten an einer Stelle"
(TK-Unternehmen)
- "Visualisierung der erledigten und offenen Aktivitäten"
(Behörde)
- "Vollständigkeitskontrolle durch relationale Datenbank und
verknüpfte Datenfelder, frei konfigurierbare Reports"
(IT-Dienstleister)
- "Musterdatenbank, leichte Handbucherstellung"
(Bundeswehrkommando)
- "einfaches Change-Management in großen Unternehmen mit
dynamischer Veränderung"
(Unternehmensberatungsgesellschaft)
- "einfache und effiziente Darstellung der betrieblichen
Abläufe und deren Abhängigkeiten untereinander sowie der
Beziehungen zu den Ressourcen; Anlehnung an Netzplantechnik, aber
auch Raum für freie Texte; Arbeitserleichterung durch
redundanzfreie Verwahrung der Daten; revisionssichere Pläne;
Möglichkeit, unterschiedliche empfängerbezogene
Handbücher zu erstellen" (Internationale Bank)
Als Nachteile wurden genannt:
- "Lange und intensive Einarbeitungsphase" (Versicherung)
- "Tool nur mit Consulting durch den Hersteller richtig nutzbar"
(Qualitätssicherungsdienstleister)
- "Zu komplex" (Versicherung)
- "Probleme bei großen Datenmengen" (Softwarefirma)
- "Datenfelder nicht erweiterbar" (IT-Dienstleister)
- "Benutzerführung und Printmöglichkeit nicht optimal"
(Lebensmittel-Konzern)
- "Denkweise der 'einfachen' Mitarbeiter ist Angst vor einem
Tool" (Bank)
Wie sehr solche Urteile dabei auch von der Person des Anwenders
oder den örtlichen Rahmenbedingungen abhängen, zeigt die
Tatsache, dass zu ein und demselben Produkt einmal als Nachteil
"umständliche und aufwändige Pflege" moniert wurde
während ein anderer Anwender als Vorteil "einfache Pflege"
angeführt hat.
Selbstgeschneidert
Individuell entwickelte Handbücher oder Programme –
mehrheitlich Datenbanken auf Basis von Lotus Notes – haben 18
der 77 Befragten im Einsatz. Die genannten Vorteile stimmen zum
Teil mit der Beurteilung der Standardprodukte überein, zeigen
aber auch, wo Anwender ihre speziellen Bedürfnisse realisiert
haben:
- "Abläufe und Ansprechpartner sind definiert"
(IT-Dienstleister)
- "Ausfallsituationen können simuliert und getestet werden;
Handbuch steht im Intranet für alle zur Verfügung"
(Pharmaindustrie)
- "Workflow-Komponenten, Replizierbarkeit, gängige Software
(Lotus Notes)" (Treuhandgesellschaft)
- "zeitliches Abschätzen des Notfallaufwands wird
möglich" (Wirtschaftsprüfungsgesellschaft)
- "führt zu strukturierter Beschäftigung und
Aufbereitung der Thematik Business Continuity; ermöglicht
Dokumentation eingetretener Not- beziehungsweise
Störfälle und durchgeführter Simulationen"
(Bank)
- "unser Handbuch enthält extrem vertrauliche Informationen,
die elektronisch nur bedingt zu schützen wären"
(Elektro-Konzern)
Auch die Eigenentwicklungen werden aber keineswegs durch die
rosa Brille betrachtet:
- "zu hoher Aufwand für Erstellung und Pflege: Handbuch ist
veraltet" (Handelskonzern)
- "Hoher Änderungsbedarf, zeitaufwändig"
(Pharmaindustrie)
- "feststehende Tiefe der Unterkapitel; nicht variabel"
(Industrieunternehmen)
- "betroffene Admins sind nicht ausreichend geschult/geübt;
Doku nicht immer aktuell und vollständig für alle
Systeme; Verfügbarkeit der notwendigen Hilfsmittel nicht immer
sichergestellt" (IT-Dienstleister)
- "kann nicht nebenbei gemacht werden: man muss feste Ressourcen
einplanen" (Großbrauerei)
Bei den Unternehmen mit Eigenlösung fällt auf, dass
sie zum Teil ganz bewusst auf die Übernahme extern
vorgefertigter Maßnahmenkataloge verzichten:
- "Der Plan ist bewusst rudimentär, da ich der Meinung bin,
nicht alle Notfälle abgreifen zu können. Wichtig sind
Erfahrung und klare Entscheidungswege im Fall der Krise"
(Internationale Bank)
- "Die Erarbeitung des Handbuchs mit vielen Beteiligten ist schon
der Prozess der Sensibilisierung." (Automobilkonzern)
- "Ich habe immer nur verlangt, dass es ein Handbuch gibt.
Mit welchen Mitteln, ist zweitrangig, solange es alle wesentlichen
Punkte beinhaltet." (Versicherung)
Grundschutz
Immerhin sechs Anwender aus der Stichprobe verlassen sich auf
das BSI-Grundschutzhandbuch und die darin enthaltenen Checklisten
und Maßnahmenkataloge: Zwei große
Unternehmensberatungen, eine Stadtverwaltung, ein
Energieversorgungsunternehmen, eine Bank und ein
Leasingunternehmen. Sie loben vor allem die Struktur, die
Übersichtlichkeit, die Maßnahmenkataloge, die
vorgegebene Reihenfolge konkreter Schritte und immer wieder den
Checklisten-Charakter des BSI-Werkzeugs. Als Nachteil wird zum Teil
der Umfang angesehen, der die Pflege schwierig und umständlich
mache; ein Teilnehmer wünscht sich eine raschere
Aktualisierung des Grundschutzhandbuchs bei Veränderungen.
Gewinnaussichten
Nur wenige Anwender konnten Angaben machen, wie viel Zeit sich
durch ein Tool gegenüber der Notfallplanung ohne Hilfsmittel
einsparen lässt. Überwiegend wird von einem Zeitvorteil
von 25–50 % berichtet. Aber auch solche Aussagen gab
es:
- "keine Zeitersparnis, Vorteil liegt in der
Vollständigkeit" (TK-Unternehmen)
- "Zeitersparnis stand nicht im Vordergrund; ohne Tool wäre
ein konsistenter Notfallplan und vor allem die Pflege kaum
möglich" (IT-Dienstleister)
- "spürbar höherer Zeitaufwand als ohne Tool"
(Versicherung)
- "Während der Handbucherstellung wurde das Projekt durch
den Einsatz des Tools sogar um circa zwei Monate verlängert.
Im täglichen Betrieb bringt es aber enorme Vorteile. Die durch
Umzug von Abteilungen/Mitarbeitern und durch veränderte
Abläufe/Prozesse bedingten Anpassungen reduzieren sich auf
wenige Stunden Aufwand pro Jahr. Durch Links zu
Mitarbeiterdatenbanken werden Zu- und Abgänge automatisch
übernommen." (Internationale Bank)
Eine der Antworten führt aber letztlich alle Rechnerei
über ersparte Stunden oder Tage ad absurdum: Der
IT-Sicherheitsbeauftragte einer großen Bank, die im Oktober
2002 einen Wasserschaden auch im Bereich der IT-Infrastruktur
hatte, antwortete auf die Frage nach der Zeitersparnis bei der
Erstellung des Handbuchs lapidar: "Unermesslich. Ohne Handbuch
wäre es zum K-Fall gekommen!"
zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003#3, Seite 22