Portfolio

Wenn das Unwahrscheinliche eintrifft: Schäden begrenzen mit effizientem Notfallmanagement

Wer sich nur darauf berief, dass unwahrscheinliche Ereignisse nicht eintreffen werden, ist spätestens seit der Corona-Pandemie geläutert. Stromausfälle, Cyberangriffe, Hochwasser oder schlichte Fehlkonfiguration: Was zunächst unwahrscheinlich wirkt, kann dennoch eine reale Gefahr darstellen. 

Das weiß auch der Landesrechnungshof Niedersachsens. Dieser führt neben der externen Finanzkontrolle der kommunalen Körperschaften aktuell Schwerpunkt-Prüfungen zur Informationssicherheit mit dem Vertiefungsthema „Notfallmanagement“ durch. Auch der Bund macht zunehmend konkrete Vorgaben zur Informationssicherheit bei Ebenen übergreifenden Verfahren. Sehen wir uns jedoch zuerst einige der „unwahrscheinlichen“ Ereignisse an:

Beispiel 1: Corona 

Eine Pandemie mit einem hochansteckenden Virus, der Menschen töten kann: Dass ein solcher Fall möglicherweise auftreten könnte, war bekannt. Dennoch handelte es sich beim Corona-Virus um das, was in IT-Kreisen als „Zero-Day-Exploit“ gefürchtet ist. Ohne größere Vorwarnzeit bei gleichzeitig hoher Ansteckungsrate gab es weder Möglichkeiten zur effektiven Eindämmung der Pandemie noch zur Behandlung Betroffener. Der „Lockdown“ als einschneidende Maßnahme verursachte große finanzielle Schäden und Störungen im weltweiten Handel, die bis heute spürbar sind. 

Mit der Pandemie einher ging eine Vielzahl an Herausforderungen: Vielerorts waren Medizinprodukte unzureichend bevorratet. Zudem fehlten Pläne im Zusammenhang mit dem Ausfall größerer Teile der Beschäftigten bzw. der Fähigkeit, diese aus der Ferne arbeiten zu lassen. Außerdem mussten passende Impfstoffe entwickelt und zugelassen werden. Das liegt nicht zuletzt daran, dass es sich bei einer solchen Pandemie bis dahin um ein sehr abstraktes Bedrohungsszenario handelte. Sich auf alle (un)möglichen Fälle ausreichend vorzubereiten, ist schon aus Kostengründen nicht attraktiv. Es stellt sich also die Frage, wie mit der Vielzahl zumeist bedeutungsloser Warnungen umgegangen werden sollte und wie gleichzeitig die für die eigene Institution relevanten Bedrohungen erkannt und angemessen auf diese reagiert werden können.

Beispiel 2: Hochwasser und Starkregen

Bei der Flutkatastrophe im Ahrtal fielen große Teile der Infrastruktur aus. Im akuten Krisenfall war zunächst der Ausfall der Kommunikation besonders relevant – und das, obwohl sie auf den Notfall ausgelegt sein sollte. Doch die Basisstationen für Mobilfunk und das digitale BOS-Funksystem waren durch steigende Fluten von Stromund Datenleitungen abgetrennt oder sogar ganz weggerissen. Die noch grundsätzlich betriebsbereiten Basisstationen waren überlastet und wenn Gespräche im Rückfallbetrieb möglich waren, erschwerten erhebliche Verzögerungen die Kommunikation. Grund dafür: Sichere Leitungen sind erheblich teurer als kommerziell verlegte Kabel. Die Behörden haben deswegen das reguläre Netz gemietet. 

Ohnehin sind Starkregenereignisse und Überflutungen typische unwahrscheinliche Ereignisse, bei denen klar ist, dass sie durch den Klimawandel zukünftig zunehmend zum Alltag gehören werden. Nur: Die jeweils betroffenen Gebiete lassen sich nicht vorhersagen. Kommunen können trotzdem auf vielfältige Arten vorsorgen. Die klassischen Ansätze in Form von Außengebietsentwässerung über die Vergrößerung des Kanalsystems bis hin zu Rückhalteanlagen werden zunehmend ergänzt um kleinteiligere Maßnahmen. Deren Ziel ist es, Wasser möglichst dezentral und großflächig verteilt aufzunehmen und langsam wieder abzugeben. Sinnbildlich wird dann von einer Schwammstadt gesprochen. Doch die zahlreichen Möglichkeiten, größere Schäden zu verhindern, basieren auf Prognosen zur maximal erwarteten Wassermenge. Wenn diese Menge überschritten wird, bilden effektive Notfallpläne, Gefährdungskarten und andere Vorsorgemaßnahmen die Grundlage, um im Ernstfall zügig handeln zu können.

Beispiel 3: Cyberangriffe

Massive Ausfälle durch Angriffe auf technische Infrastrukturen gelten noch immer als unwahrscheinliches Ereignis. Selten sind solche Angriffe jedoch nicht mehr. Allein im Jahr 2021 vermeldeten 27 kommunale Verwaltungen in Deutschland erfolgreiche Angriffe auf die IT-Infrastruktur. Betroffen waren kleine Gemeinden mit nicht viel mehr als 2.000 Einwohnern genauso wie Bochum und andere Großstädte. Der daraus resultierende Schaden stieg teilweise auf sechsstellige Summen an, mitunter waren Dienste gar monatelang nicht abrufbar. Und noch schlimmer: In manchen Fällen veröffentlichten Kriminelle empfindliche Daten im Darknet. 

Das Problem: Kein IT-System kann mit 100%iger Sicherheitsgarantie vor Cyberattacken geschützt werden. Deswegen ist es umso wichtiger, vorbeugende Maßnahmen zum Schutz der Systeme zu treffen. Neben regelmäßigen Updates und einer netzwerktechnischen Trennung mit DMZ und Firewall sollte ein Notfallplan existieren, der festlegt, wann im Ernstfall welche Maßnahmen durch wen getroffen werden müssen. Auch die Sicherung der Daten durch Backups kann Schlimmeres verhindern. 

Doch die Realität sieht manchmal anders aus: Viele Kommunen schützen sich nur unzureichend gegen Cyberattacken. Dabei liegt es oft nicht einmal an der fehlenden Sensibilisierung für dieses Thema. Stattdessen fehlen für die immer komplexer werdenden Anwendungen spezialisierte Fachleute. Dann sollte geprüft werden, ob Beschäftigte entsprechend fortgebildet und klare Zuständigkeiten definiert werden können. Wo anschließend immer noch administrative Lücken bestehen, sollte eine Zusammenarbeit mit anderen Kommunen, kommunalen Dienstleistern oder externen Spezialisten gesucht werden.

Menschliche Fehler machen unwahrscheinliche Ereignisse wahrscheinlicher

Sicherheitslücken können schon deshalb niemals ausgeschlossen werden, weil jede Software zu anderer Software und Hardware in Verbindung steht. Durch diese fast unendlichen Kombinationsmöglichkeiten können sich spezielle Risiken ergeben, die nur in sehr seltenen Fällen bestehen und daher vorab bei Qualitätstests nicht gefunden wurden. Es gibt jedoch noch eine weitaus größere Fehlerquelle: menschliche Fehlhandlungen aus Bequemlichkeit, Unachtsamkeit, Überforderung oder sogar mit Vorsatz. Bei neun von zehn entdeckten Sicherheitslücken ist menschliches Handeln dafür zumindest mitverantwortlich. 

Beheben lassen sich solche Probleme nur dadurch, dass jede Mitarbeiterin und jeder Mitarbeiter durch regelmäßige Schulungen sensibilisiert wird und notwendiges Grundlagenwissen erhält. Jeder und jedem muss klar sein, welche schwerwiegenden Konsequenzen ein Fehlverhalten nach sich ziehen kann. Denn alle müssen zum Schutz der IT-Sicherheit beitragen. Dies gilt umso mehr auch für diejenigen Personen, die über administrative Rechte verfügen. Sie müssen in die Lage versetzt werden, die ihnen anvertrauten Systeme und Anwendungen zu administrieren, Fehlkonfigurationen und Bedrohungen zu erkennen sowie angemessen darauf reagieren zu können. In diesem Zusammenhang ist es hilfreich, wenn in der Institution eine positive Fehlerkultur herrscht, bei der gemeldete Fehler und Sicherheitslücken honoriert werden und gemeinsam an deren Beseitigung gearbeitet wird. 

Im Nachhinein betrachtet stellt sich mitunter heraus, dass auf den Führungsebenen gefallene Entscheidungen die Situation weiter verschärft oder sogar erst verursacht haben. So hätte möglicherweise eine teurere Kommunikationslösung bereits eine höhere Ausfallsicherheit geboten oder Cyberangriffe hätten möglicherweise abgewendet werden können, wenn Institutionen mehr Geld für die IT-Sicherheit zur Verfügung gestellt und entsprechende Notfallkonzepte erarbeitet hätten. 

Anstatt sich in Diskussionen zu verlieren, wer was hätte besser machen müssen, sollten Vorfälle jedweder Art Anlass sein, daraus zu lernen und Maßnahmen zu ergreifen, mit denen ähnliche Ereignisse zukünftig verhindert oder zumindest besser bewältigt werden können. 

Egal ob Führungskräfte ein Szenario falsch einschätzen oder Mitarbeiterinnen oder Mitarbeiter die falsche Entscheidung treffen: Menschliches Fehlverhalten ist immer möglich. Deswegen ist es umso wichtiger, auch auf unwahrscheinliche Notfälle vorbereitet zu sein und bei den Gegenmaßnahmen durch eine sorgsame Dokumentation den menschlichen Fehler möglichst auszuschließen. Denn gerade unter Druck neigen Menschen dazu, Fehler zu begehen. Hierzu gehört auch, ein täglich verwendetes Passwort oder einen Klick an entscheidender Stelle zu vergessen.

Wenn wir etwas aus der Corona-Pandemie und anderen unwahrscheinlichen Ereignissen lernen können, dann das: Es mag unattraktiv und unverhältnismäßig teuer erscheinen, sich auf das Unwahrscheinliche oder gar Unvorstellbare vorzubereiten. Planungen fühlen sich möglicherweise sinnlos an. Doch wenn ein unwahrscheinliches Ereignis eintritt und Notfallpläne in der Schublade liegen, helfen sie dabei, den Kopf frei zu haben für das Wesentliche: Überlebensnotwendiges zu retten.

Auf viele Szenarien vorbereitet 

Es ist nicht möglich, sich optimal auf jedes unwahrscheinliche Ereignis vorzubereiten. Nicht zuletzt spielt der Kosten-Nutzen-Faktor eine wichtige Rolle: Es ist nicht wirtschaftlich, auf jeden unwahrscheinlichen Ernstfall einzugehen und Vorkehrungsmaßnahmen zu treffen. Die gute Nachricht: Das ist auch nicht notwendig. Denn es gibt einige Grundüberlegungen, die für nahezu jedes unwahrscheinliche Ereignis eine wichtige Rolle spielen und dabei helfen können, Schaden im Ernstfall abzuwenden. Hierunter fallen beispielsweise:

Sich einen Überblick über die wirklich wichtigen Prozesse verschaffen: 

Welche Aufgaben, Tätigkeiten und Prozesse sind absolut notwendig und müssen deswegen funktionieren? Welche sind demgegenüber eher nachrangig?  

Sich einen Überblick über den Schutzbedarf der eigenen Daten verschaffen:

Welche Daten und damit Systeme, Schnittstellen und Personen sind von großer Relevanz, damit die zuvor als besonders wichtig definierten Prozesse ablaufen können? 

Sich über die Verfügbarkeitsanforderungen klar werden: 

Wie schnell müssen Prozesse nach einem Ausfall wieder zur Verfügung stehen? Reicht es aus, wenn nur bestimmte Kernprozesse innerhalb eines definierten Zeitfensterns (z. B. Stunden, Tage, …) zur Verfügung stehen? Gilt dies ständig oder vor allem zu bestimmten Zeiten wie z. B. dem Monatsende? Kann mit den vorhandenen technischen Mitteln eine Wiederherstellung innerhalb des gewünschten Zeitfensters sichergestellt werden?

Abstrakte Ausfallszenarien betrachten: 

Gibt es z. B. Notfalloder Ausweichszenarien bei Personalbzw. Systemausfall, Netzwerkstörungen sowie Betretungsverbot der Räumlichkeiten? Kann auch auf gleichzeitig auftretende Ausfälle angemessen reagiert werden?  

Die wesentlichen Informationen ausfallsicher verfügbar halten:

Existiert eine Dokumentation, die das Wiederanlaufen von Systemen und Prozessen erleichtert und systematisiert? Ist diese Dokumentation unter allen betrachteten Ausfallszenarien zugänglich und umsetzbar?

Den Notfall üben:

 Können die Systeme auch bei Stromausfall genutzt werden bzw. fahren sie ordnungsgemäß herunter? Sind Zutritt und Zugang zu allen relevanten Bereichen und Systemen möglich? Kann ein System innerhalb des gewünschten Zeitfensters komplett wiederhergestellt werden? Ist die Dokumentation für ein spezielles Szenario nachvollziehbar und zielführend?

Wer diese Fragen für sich selbst ehrlich beantwortet, ist auf mögliche Ernstfälle vorbereitet, ganz gleich wie diese aussehen. Die eindeutige Prioritätensetzung und die Notfallszenarien sorgen dafür, dass den verantwortlichen Personen klar ist, wie sie handeln müssen und in welcher Reihenfolge. Die beste Planung ist jedoch ohne entsprechende Übungen im Zweifelsfall wertlos, wenn ein entscheidender Aspekt vergessen wurde. Führen Sie daher geplante sowie ungeplante Notfallübungen durch. Jeder entdeckte Fehler während einer Übung kann dazu beitragen, für den Ernstfall besser vorbereitet zu sein. 

Gelebte Informationssicherheit ist also immer auch ein Stück Vorsorge für den Ernstfall. Im Alltag mögen die zahlreichen Sicherheitsvorkehrungen zunächst als Last empfunden werden. Doch es kann immer passieren, dass Kriminelle eine neue Lücke entdecken und diese ausnutzen. Dann können genau diese Sicherheitsmaßnahmen den entscheidenden Unterschied machen, ob ein Angriff erfolgreich verläuft oder abgewehrt werden kann. Im Falle eines erfolgreichen Angriffs tragen die Notfallmaßnahmen dazu bei, so schnell wie möglich wieder arbeitsfähig zu sein.

Die Expertinnen und Experten der ITEBO-Unternehmensgruppe unterstützen Sie gerne dabei, ein effizientes Notfallmanagement zu etablieren. Auf diese Weise ist Ihr Unternehmen oder Ihre Verwaltung trotz Angriff so schnell wie möglich wieder arbeitsfähig.

VOIS Meso (Meldewesen) und die erforderlichen Datenschutzfolgeabschätzungen
Nächster Artikel

Container for the dynamic page

(Will be hidden in the published article)