Der Umgang mit Katastrophen ist für viele Firmen alles andere als Routine. Die meisten testen ihre Pläne zur Disaster Recovery (DR) zu selten, hat Symantec unlängst ermittelt. Der Untersuchung zufolge versagt die Hälfte der DR-Pläne im Ernstfall. Die Marktforscher von Gartner indes warnen, dass die wenigsten Unternehmen auf einen IT-Ausfall von mehr als sieben Tagen vorbereitet seien. Dabei verwenden Organisationen laut Gartner bis zu zwölf Prozent ihres IT-Budgets auf Sicherheitsaspekte einschließlich Disaster Recovery.
Mit ISO/IEC 24762:2008 haben die Internationale Organisation für Standardisierung (ISO) und die Internationale Elektrotechnik-Kommission (IEC) nun einen neuen Standard erarbeitet, der Unsicherheiten im Umgang mit Krisensituationen beseitigen soll. Philip Sy, bei der ISO zuständig für das Projekt, spricht gar von einem Standard der "nächsten Generation".
Das 78-seitige Dokument enthält zunächst Hinweise allgemeiner Natur. So müsse etwa die Umgebung des Ortes, von dem aus bei Unglücken eingegriffen werden soll, möglichst sicher sein. Es sei etwa zu bedenken, dass die Mitarbeiter eines Recovery-Centers bei Störungen im Verkehrsnetz nicht zu ihrem Einsatzort gelangen können. Damit die DR-Einheit nicht von derselben Katastrophe betroffen ist wie die Organisation, für die sie tätig ist, sollte sie sich nicht am gleichen Ort befinden. Wichtig sei zudem eine gute Pflege der Bestände. Denn im Ernstfall müssen alle Anwendungen oder gesicherten Daten schnell verfügbar sein.
Sicherheitsdienstleister werden dazu angehalten, sicherzustellen, dass ihre Lieferanten sie in jedem Fall mit der notwendigen Ausrüstung versorgen können. Lagert die für die Sicherheit zuständige Abteilung oder Einheit einer Organisation bestimmte Prozesse aus, sollte auf eine sorgfältige Auswahl des externen Anbieters geachtet werden.
Foto: ISO
Um die Sicherheit von Informationen zu gewährleisten müssen Dienstleister dem ISO-Standard zufolge dafür Sorge tragen, dass im IT-System eines Unternehmens gespeicherte Daten nicht über Systeme einer anderen Organisation zugänglich sind. Streng geregelt werden muss auch der Zugang von Personen zu den Gebäuden, in denen Einrichtungen zur Disaster Recovery untergebracht sind. Ein Sicherheitsdienstleister sollte auch Sorge tragen, dass Daten während der Übertragung nicht eingesehen werden können. Sollte es trotz aller Vorkehrungen doch zu Zwischenfällen kommen, sind diese laut ISO/IEC 24762:2008 sofort zu melden.
Umgang mit Datenpannen regeln
Für den Umgang mit Zwischenfällen und Schwächen bei der Informationssicherheit sollten Regelungen vorliegen. Darin sollte unter anderem festgelegt sein, wie mit Pannen umgegangen wird, wie sie protokolliert und ausgewertet werden und wie sich daraus lernen lässt.
Wichtig sind auch Vereinbarungen darüber, unter welchen Umständen ein DR-Plan in Kraft tritt. Zu regeln ist nicht nur, unter welchen Bedingungen Maßnahmen zur Disaster Recovery anlaufen, sondern auch wer befugt ist, den Notfall auszurufen und über welches Medium diese Entscheidung mitgeteilt wird.
Notfall-Mannschaften schulen
Der ISO-Standard enthält auch Empfehlungen dazu, wie die zuständigen Mitarbeiter auf ihre Aufgaben in der Disaster Recovery vorbereitet werden. Demnach sollten die Angestellten an speziellen Tranings teilnehmen und vor ihrem ersten Einsatz auch auf ihre Kompetenz geprüft werden. Neben einer einführenden Unterweisung und einer Schulung für Fortgeschrittene wird permanentes Training vorgeschlagen, um die Kenntnisse der Mannschaft immer auf dem neuesten Stand zu halten.
Entscheidend für ein erfolgreiches Eingreifen bei Katastrophen ist natürlich, dass die dabei eingesetzten Systeme funktionieren. Die entsprechenden IT-Komponenten sind regelmäßig zu überprüfen und auch dann, wenn sich zum Beispiel Anforderungen oder Strukturen in einem Unternehmen wesentlich geändert haben.
In ihrem Papier machen ISO und IEC auch Vorschläge, welchen Anforderungen Einrichtungen zur Disaster Recovery genügen sollten. Geradezu banal lesen sich die Empfehlungen zur Lage: möglichst nicht nahe bei Vulkanen oder Fabriken, die explosive Stoffe verarbeiten. Auch die Erreichbarkeit ist ein Thema. Zu achten ist auf ein gut ausgebautes Straßen- und Eisenbahnnetz. Von letzterem sollte eine DR-Einrichtung zugleich aber auch ausreichenden Abstand haben. Ein Bahnhof könne schließlich Ziel eines Sabotage-Akts werden, heißt es.
Zugangskontrolle
Um Eindringlinge fernzuhalten, wird eine strenge Zugangskontrolle empfohlen. Externe Besucher beispielsweise dürfen niemals unbegleitet in einer Zentrale zur Disaster Recovery herumspazieren. Zu dokumentieren ist, wann ein Besucher das Gelände betritt und verlässt. Neben solcher Einzelmaßnahmen wird allerdings auch ein übergreifendes, einheitliches Konzept zur "physischen Sicherheit" umrissen. Kern sollte ein von außen nach innen zunehmendes Maß an Schutz sein. Während etwa der Zugang zum Betriebsgelände noch einem größeren Kreis von Personen gewährt sein könnte, müssen die Bedingungen für den Zutritt zu den Schaltzentralen strenger sein. Vorgeschlagen wird, verschiedene Sektoren mit jeweils spezifischen Zugangsbedingungen zu definieren.
Angesprochen wird in dem Papier zur Disaster Recovery auch der Umgang mit Schlüsseln. Darauf hingewiesen wird etwa, dass Bestimmungen erlassen werden sollten, wie vorzugehen ist, wenn ein Mitarbeiter einen Schlüssel verliert. Dass in Einrichtungen zur Disaster Recovery Feuer- und Rauchmelder installiert werden müssen, dürfte sich schließlich von selbst verstehen.
Feuerlöscher und Belüftung
Als weitere Punkte, die beim Bau und der Ausstattung von DR-Einrichtungen zu beachten sind, führt der ISO- und IEC-Standard die richtige Platzierung von Handfeuerlöschern auf, aber auch die Notwendigkeit von Sensoren, die etwa die Qualität der Raumluft überwachen und die Belüftung sicherstellen. Von Bedeutung ist auch eine sichere Energieversorgung. Nach Möglichkeit sollte den Betreibern eines Disaster Recovery-Zentrums für Notfälle eine zweite Energiequelle zur Verfügung stehen. Zu regeln ist laut dem ISO/IEC-Papier, wie und wann auf die alternative Energieversorgung umgestellt werden kann.