IT-Notfallkonzept – Relevanz aus IT- und Datenschutzsicht

veröffentlicht am 30. November 2021; Autor: Gabor Hadnagy, Konrad Klein

Das IT-Notfallkonzept erhält oftmals nicht die Aufmerksamkeit, die dieser Sache gerecht wird. Die Nichtberücksichtigung von IT-Notfällen in Form einer verbindlichen und schriftlichen Vorgabe birgt das Risiko einer unangemessenen Fallbehandlung und kann zu vermeidbaren zusätzlichen Schäden führen.

Die beinahe vollständige Abhängigkeit der Geschäftsprozesse von IT-Systemen geht zunehmend mit komplexen Aufgabenstellungen einher. Insbesondere die sich unaufhaltsam entwickelnde Vielfalt an Bedrohungen auf die IT-Systeme und die gesamte IT-Infrastruktur ist eine unablässige Herausforderung für Unternehmen. Der Reduzierung von möglichen Schadensszenarien kommt hierbei eine besondere Rolle zu, um die Funktionsfähigkeit der IT zu gewährleisten und den Geschäftsbetrieb aufrechterhalten zu können.

Unabhängig von der Motivation und den Umsetzungsmühen im Rahmen der Härtung der gesamten IT bleibt die ganzheitliche Risikoeliminierung leider ein unerreichbares Optimum. Dies lässt sich zum einen auf den hiermit verbundenen finanziellen und personellen Ressourcenaufwand zurückführen. Zum anderen erleben wir eine Verschiebung der Kriminalitätsentwicklung hin zu einem beachtlichen Anstieg der Cyberkriminalität. Diese ist immer deutlicher wahrzunehmen und, unter Berücksichtigung der aktuellsten Kriminalstatistiken des BMI, ebenfalls belegbar.

In Anbetracht der inneren und sich dynamisch entwickelnden äußeren schädlichen Einflüsse auf die IT erscheint es fahrlässig, sich nicht auf mögliche Schadensszenarien vorzubereiten. Hierbei kommen sowohl technische Störungen, Hacker-Angriffe insbesondere im Zusammenhang mit Malware sowie Schäden aufgrund von Naturkatastrophen in Betracht. Diesen gilt es unter anderem in Form eines IT-Notfallkonzepts entgegenzutreten.

Das IT-Notfallkonzept beinhaltet Vorgaben über die Behandlung eines eingetretenen Notfalls und ist durch das Unternehmen auf die eigenen Bedürfnisse und technischen und organisatorischen Möglichkeiten abzustimmen. In der Regel enthält es unter anderem Eskalations- und Alarmierungsvorgaben sowie Weisungskompetenzen. In diesem Zusammenhang ist es unabdingbar, einen festgelegten Mitarbeiterkreis in Form eines Response-Team zu definieren um Verbindlichkeit und Verantwortung zu konstituieren.

Das IT-Notfallkonzept ist zumindest der erste Schritt in die Vorbereitung auf mögliche Schadenszenarien und soll klare ablauforganisatorische Vorgaben beinhalten. Insbesondere mit Blick auf negative IT-Einflüsse, die eine schnelle Entscheidung über das weitere Vorgehen abverlangen, kann sich der Erstellungsaufwand dieses Konzepts bezahlt machen. Response-Strategien sind integraler Bestandteil eines solchen Konzepts und unterwerfen verschiedene Szenarien unterschiedlichen Handlungsabläufen. Unter anderem kommen, beispielsweise bei Malware-Angriffen, unterschiedliche Lösungsansätze zum Tragen und sind unter Abwägungsgesichtspunkten zu berücksichtigen. Werden alle Systeme heruntergefahren, kann dies eine Vernichtung von Beweismaterial zum Zweck von forensischen Untersuchungen nach sich ziehen. Besteht die Möglichkeit der Eingrenzung des Vorfalls, könnte auf einen gesamten Boot-/Shutdown verzichtet werden, um somit die Beweislage im Falle einer strafrechtlichen Verfolgung zu erhalten.

Da Schadensszenarien sich aus verschiedenen Möglichkeiten ergeben können, sollte ein Notfall sich nicht ausschließlich auf Cyberangriffe beschränken. Sowohl Naturkatastrophen mit Einfluss auf die IT-Landschaft wie auch physische Beschädigungen und technische Störungen sollten im Rahmen des IT-Notfallkonzepts behandelt werden. Welche konkreten Szenarien als Notfall zu definieren sind, ist einzelfallabhängig und sollte aus Sicht der jeweiligen Institution für sich betrachtet und im Rahmen des IT-Notfallkonzepts definiert werden.

Einem Konzept über den Wiederanlauf der Systeme nach einem Schadensfall sollte im Zusammenhang mit dem IT-Notfallkonzept nicht weniger Aufmerksamkeit gewidmet werden, um den Geschäftsbetrieb möglichst schnell wieder in den üblichen Funktionszustand zu versetzen. Dies wird regelmäßig unter Berücksichtigung von Priorität, Reihenfolge und dem Ausmaß des eingetretenen Schadensvorfalls zu bewerten sein.

Mit Blick auf die vielfältigen IT-Risiken lässt sich das Fehlen eines IT-Notfallkonzepts nicht rechtfertigen. Darüber hinaus wird sich eine Notwendigkeit dieses Konzepts ebenfalls aus Sicht des Datenschutzes ergeben.

Im Zuge der Einführung der DSGVO wurden zum Zweck der Datensicherheit ebenfalls Schutzziele definiert, wie sie teilweise aus der Informationssicherheit bekannt sind. Das betrifft insbesondere die Schutzziele Vertraulichkeit, Integrität und die Verfügbarkeit, die allesamt in Art. 32 Abs. 1 lit. b) DSGVO genannt sind. Zudem ist unter anderem die Anforderung ergänzt worden, dass die Verfügbarkeit und der Zugriff der Systeme bei einem Zwischenfall rasch wiederhergestellt werden können muss.

Eine konkrete Aussage über den möglichen Zeithorizont bleibt die DSGVO in diesem Kontext schuldig. Ein Hinweis könnte der englischen Sprachfassung der DSGVO sowie dem Erwägungsgrund 85 entnommen werden. Die englische Sprachfassung beinhaltet diesbezüglich die Bezeichnung „in a timely manner”. Übersetzt dürfte die Anforderung also lauten, dass eine Reaktion in angemessener Zeit ohne schuldhaftes Zögern zu erfolgen hat. In Anlehnung an den Erwägungsgrund 85 lässt sich im Ergebnis herleiten, dass eine zeitnahe Reaktion ohne Zögern erfolgen muss, um einen zusätzlichen Schaden zu vermeiden.

Entsprechend Art. 5 Abs. 2 DSGVO ist die für die Datenverarbeitung verantwortliche Institution für den Nachweis der Einhaltung der Anforderungen aus der DSGVO verantwortlich. Dies schließt ebenfalls die Schutzmaßnahmen aus Art. 32 DSGVO und dessen Konkretisierung der Verfügbarkeit mit ein. Dieser Rechenschaftspflicht wird man grundsätzlich nur gerecht, wenn nachvollziehbare Dokumente in schriftlicher Form vorliegen und die Wirksamkeit in regelmäßigen Abständen nachweislich auf den Prüfstand gestellt wird.

Mit Blick auf das IT-Notfallkonzept sind daher regelmäßige Tests durchzuführen, um den Ernstfall zu proben. Ein nicht selten anzutreffender vernachlässigter Faktor ist zudem der Test über die Wiederherstellbarkeit von Backups. Die Rücksicherung sollte unter keinen Umständen erst im Rahmen des Notfalls erfolgen. Sofern erst im Zuge der Rücksicherung festgestellt wird, dass die Datenbestände der Sicherungen unvollständig oder fehlerhaft sind, können einen erheblichen Zusatzaufwand verursachen, der mit einem verhältnismäßigen Aufwand in Form von regelmäßigen Rücksicherungstests zu vermeiden ist.

Wir empfehlen Ihnen, sich zeitnah mit dem IT-Notfallkonzept auseinanderzusetzen und notwendige Maßnahmen einzuleiten. Dieses Konzept sollte belastbar sein und Sie im Falle eines Notfalls vor vermeidbaren Schäden bewahren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zu dieser Thematik bereits im November 2008 einen BSI-Standard in der Version 1.0 zum Notfallmanagement veröffentlicht und gibt darin wertvolle Hinweise und Umsetzungsmöglichkeiten zur Notfallbehandlung. Dieses wurde im Januar 2021 durch den BSI-Standard 200-4 in der Version 1.0 abgelöst. Eine wesentliche Änderung zur Vorgängerversion ist, dass das Notfallmanagement als integraler Bestandteil eines gesamtheitlichen Business-Continuity-Managements (BCM) betrachtet wird.