Mit der IT-Notfallplanung und deren Umsetzung ist es wie mit einer privaten Haftpflichtversicherung: Jeder sollte sie haben und doch wartet man genau bis zum ersten Unfall bzw. Störfall, um zu entscheiden, endlich mit der Vorsorge zu starten.
Auch das BSI hat in seinem Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2016 wieder mit einigen prominenten Beispielen mangelhafter IT-Notfallvorsorge aus dem öffentlichen Leben gewürzt:
Serverausfall in Krankenhaus-Rechenzentrum
So kam es zu einem 19-stündigen Serverausfall in einem Krankenhaus-Rechenzentrum, das 3 Kliniken mit IT-Services versorgt. Ursache war eine defekte Festplatte im Server, die vorgesehene Redundanz funktionierte nicht ordnungsgemäß.
In Folge des Defektes war u. a. der Zugriff auf die elektronischen Patientenakten nicht möglich. Die Dokumentation musste manuell geführt und später im System nachgetragen werden. Zum Glück waren (noch?) keine medizinischen Geräte vom ausgefallenen Serversystem abhängig, so dass die Versorgung der Patienten nicht in Gefahr war.
Schadsoftware im Atomkraftwerk
Bei Revisionsarbeiten in einem deutschen Atomkraftwerk wurde Schadcode auf einem System zur Visualisierung von Handhabungsvorgängen entdeckt.
Es handelte sich um Schadcode, der von Virenscannern zuverlässig erkannt wird, doch auf dem befallenen System war ein veraltetes Betriebssystem installiert und verfügte darüber hinaus über keinen Virenscanner. Das befallene System war nicht mit dem Netzwerk verbunden und so meinte die IT-Organisation auf IT-Sicherheitsvorkehrungen verzichten zu können. Eine Infektion durch einen USB-Stick, wie sie zu verzeichnen war, überstieg wohl die Vorstellungskraft der Verantwortlichen.
Wie steht es um die IT-Notfallvorsorge in Ihrem Unternehmen?
Führen Sie regelmäßig IT-Notfalltests durch oder beschränken Sie sich wie sehr viele Unternehmen immer noch auf den obligatorisch jährlich stattfindenden Feuerübungsalarm.
Kennen Sie die Möglichkeiten von IT-Notfalltests? Kennen Sie den Unterschied zwischen Realtests und Papiertests?
Sind Sie motiviert, Ihre IT-Notfallvorsorge zu intensivieren und wissen nicht genau, wie Sie es angehen sollten?
Ich unterstütze Sie mit meinen weitreichenden Erfahrungen bei Implementierung und Bewertung von IT-Notfallvorsorgemaßnahmen als ISO27001-Auditor gern – nehmen Sie Kontakt zu mir auf!