Katastrophenvorsorge

Größe: px
Ab Seite anzeigen:

Download "Katastrophenvorsorge"

Transkript

1 DÉPARTEMENT D INFORMATIQUE / DEPARTEMENT FÜR INFORMATIK Wirtschafts- und Sozialwissenschaftliche Fakultät Studiengang Wirtschaftsinformatik Katastrophenvorsorge Masterkurs Informationsmanagement vorgelegt von Reinhard BÜRGY Rüttistrasse Plaffeien / FR 10. Mai 2008 Tél Fax

2 Inhaltsverzeichnis 1. Ziel und Aufbau der Arbeit 3 I. Theorie 3 2. Literaturübersicht 3 3. Ziele und Abgrenzung 4 4. IT Katastrophenvorsorge-Prozess Initiierung Planungsphase: Anforderungen und Strategie Business Impact Analyse Risikoanalyse IT Katastrophenvorsorge Strategie Implementierung der Strategie Hersteller von Katastrophenvorsorge-Lösungen Katastrophenauslösung Tests Permanente Aufrechterhaltung der IT Katastrophenvorsorge Herausforderungen und Risiken in der Katastrophenvorsorge Schlusswort II. Praxis Einleitung Charles Vögele Gruppe Coop Gruppe IT Katastrophenvorsorge bei Charles Vögele und Coop Stellenwert, Ziele und Umfang Leitlinie und Dokumentation Business Impact Analyse und Risikoanalyse Eingesetzte Risikoreduktions- und Recoveryoptionen Alarmierung Tests und andere permanente Aufgaben Katastrophenvorfälle Fazit

3 1. Ziel und Aufbau der Arbeit 1. Ziel und Aufbau der Arbeit Die vorliegende Arbeit wurde im Rahmen des Masterkurses Informationsmanagement von Prof. Dr. Andreas Meier, Universität Freiburg, Schweiz, erstellt. Sie soll einen theoretischen Überblick der IT Katastrophenvorsorge liefern und die Umsetzung der Theorie in die Praxis anhand von Fallbeispielen präsentieren. Der Bericht ist entsprechend der Zielsetzung ebenfalls zweiteilig strukturiert. Im ersten Teil werden die theoretischen Grundlagen der IT Katastrophenvorsorge erläutert. Im zweiten Teil wird die Umsetzung der IT Katastrophenvorsorge bei der Charles Vögele Holding AG und bei der COOP Gruppe - zwei renommierte Schweizer Grossunternehmen - betrachtet. Teil I. Theorie 2. Literaturübersicht Das Gebiet der IT Katastrophenvorsorge wird von vielen Standards und Best Practice Werken abgedeckt. Es folgt eine Aufzählung einiger Werke, die im engeren oder weiteren Sinn das Themengebiet behandeln. British Standard (BS) :2006 Information security management systems. Guidelines for information security risk management [3] BS 25999, Business Continuity Management [2] [4] Bundesamt für Sicherheit in der Informationstechnik (BSI) Standard 100-4, Notfallmanagement [5] International Organization for Standardization (ISO) 17799:2005, The Information Security Standard [10] ISO/IEC 24762:2008, Information and communication technology disaster recovery services [11] IT Infrastructure Library (ITIL) - IT Service Continuity Management, Service Design [6] National Institute of Standards and Technology (NIST) Special Publication , Contingency Planning Guide for Information Technology Systems [13] Singapore Standard 507:2004, Singapore Standard for information and communications technology disaster recovery services [14] 3

4 3. Ziele und Abgrenzung In vielen Werken ist die Rede von Business Continuity Management (BCM) oder von Notfallmanagement. Diese Management-Methoden umfassen neben der Katastrophenvorsorge auch das Krisenmanagement, welches bei Eintritt einer Katastrophe in Aktion gelangt (siehe Abbildung 1). Auch die Nacharbeiten, welche wegen der geringeren Leistung in der Krisenzeit anfallen, werden in dieser Arbeit nicht betrachtet. Die Katastrophenvorsorge beinhaltet neben IT auch non-it Bereiche. In dieser Arbeit wird das Gewicht auf die Katastrophenvorsorge im IT Bereich gelegt. Als Referenz werden vornehmlich das IT Service Continuity Management von ITIL - Service Design [6] und der BSI Standard 100-4, Notfallmanagement [5] eingesetzt. Abbildung 1: Unterschied Katastrophenvorsorge - Notfallmanagement [5] 3. Ziele und Abgrenzung Das Ziel der IT Katastrophenvorsorge ist die unterbruchsfreie Gewährleistung der IT Services (Dienste) während einer Katastrophe, oder falls es zu einem Unterbruch kommt, dass sie innerhalb der erforderlichen Zeit wieder anlaufen. IT Services umfassen beispielsweise Computersysteme, Netzwerke, Applikationen, Datenspeichermedien. [6] Die Informationstechnologie (kurz IT) ist in den meisten Unternehmen eine überlebenswichtige Komponente. Ohne IT können die wichtigsten Geschäftsprozesse meist gar nicht mehr durchgeführt werden. Deshalb ist es wichtig, dass die IT auch in einem Katastrophenfall weiterläuft oder innerhalb der erforderlichen Zeit wieder anläuft. Die IT Katastrophenvorsorge behandelt nur Vorfälle, welche einen wesentlichen Einfluss auf den Geschäftsgang eines Unternehmens und hohe bis sehr hohe Schäden zur Folge haben. Wie man eine Katastrophe definiert, wird in den Unternehmen unterschiedlich gehandhabt. Finanzielle Verluste und Reputationsverluste sind z.b. gängige Mittel, um einen Vorfall zu klassifizieren. Vorfälle, die nicht das Ausmass einer Katastrophe errei- 4

5 4. IT Katastrophenvorsorge-Prozess chen, werden vom IT Störungsmanagement abgedeckt. Damit das Ziel der IT Katastrophenvorsorge erreicht werden kann, ist ein strukturiertes Vorgehen von grosser Wichtigkeit. Nachfolgend wird ein IT Katastrophenvorsorge- Prozess vorgestellt. Dieser Prozess ist an ITIL [6] und den BSI Standard [5] angelehnt. 4. IT Katastrophenvorsorge-Prozess Der Katastrophenvorsorge-Prozess beinhaltet folgende Punkte: Eine Leitlinie, in welcher die Ziele, der Umfang (Scope) und der Katastrophenvorsorge Prozess definiert werden. Eine Business Impact Analyse (BIA), in welcher die Auswirkung eines IT Serviceausfalls qualitativ und quantitativ beschrieben wird. Eine Risikoanalyse, in welcher die potentiellen Gefahren erkannt und eingeschätzt werden. Mit Hilfe der Business Impact Analyse und der Risikoanalyse wird eine umfassende IT Katastrophenvorsorge-Strategie erstellt. Das Bestimmen von Risikoreduktionsmethoden und Recovery-Optionen ist hierbei ein zentraler Punkt. Einen IT Katastrophen-Plan, welcher die Implementierung der Katastrophenvorsorge-Strategie beschreibt. Ausführliche Tests des aufgestellten Plans. Permanente Operationen, wie die Ausbildung des Personals, das Testen der IT Katastrophenvorsorge und das Veränderungsmanagement Der Katastrophenvorsorge-Prozess ist prinzipiell zyklisch. Die einzelnen Phasen müssen bei einer veränderten Geschäftslage (Geschäftsprozess, Risiken und Gefahren, etc.) wieder durchlaufen werden. In der Abbildung 2 auf Seite 6 ist der Prozess grafisch dargestellt. In den folgenden Abschnitten werden die einzelnen Phasen genauer betrachtet Initiierung Das primäre Ziel der IT Katastrophenvorsorge ist eine möglichst unterbruchsfreie Unterstützung der Geschäftsprozesse durch die IT Services zu gewährleisten. Um dieses Ziel zu erreichen, sollte die Leitungsebene als erstes die Verantwortung für die IT Katastrophenvorsorge übernehmen und die strategische Ausrichtung definieren. Die oberste Leitungsebene ist verantwortlich dafür, dass alle Geschäftsprozesse zielgerichtet und ordnungsgemäss funktionieren und dass Risiken erkannt, reduziert und die Auswirkungen bei Eintreten minimiert werden. (Zitat aus [5], Seite 15) In diesem Sinn ist die oberste Leitungsebene auch für die IT Katastrophenvorsorge verantwortlich. Sie 5

6 4. IT Katastrophenvorsorge-Prozess Abbildung 2: Katastrophenvorsorge-Prozess [6] [5] muss für genügend Ressourcen (Personal und Finanzen) sorgen, die Integration in allen Geschäftsbereichen überwachen und das Unternehmen bei der Umsetzung der IT Katastrophenvorsorge unterstützen. Die strategische Ausrichtung der IT Katastrophenvorsorge sollte in einer Leitlinie zusammengefasst werden. Die Leitlinie legt für die nachfolgenden Phasen den Rahmen fest. Zumindest die untenstehenden Punkte sollten beschrieben werden: Definition Eine kurze, klare Definition soll es erlauben, dass alle Mitarbeiter des Unternehmens wissen, was unter IT Katastrophenvorsorge zu verstehen ist. Stellenwert und Bedeutung In wenigen Sätzen soll der Stellenwert und die Bedeutung der IT Katastrophenvorsorge den Mitarbeitern dargelegt werden. Alle Mitarbeiter sollten den Sinn und Zweck der IT Katastrophenvorsorge kennen. Geltungsbereich Es sollte festgelegt werden, in welchen Organisationseinheiten und in welchen Bereichen die IT Katastrophenvorsorge angewandt wird. Unter anderem sollte eine Abgrenzung zum IT Störungsmanagement vorhanden sein. Ressourcenallokation Die Einrichtung einer effektiven IT Katastrophenvorsorge benötigt eine beachtliche Menge von Ressourcen. Sowohl genügend Finanzmittel wie auch Personal sind für eine Umsetzung notwendig. In der Leitlinie sollten die einsetzbaren Ressourcen skizziert werden. 6

7 4. IT Katastrophenvorsorge-Prozess Vorgehensmodell IT Katastrophenvorsorge kann sehr komplex werden und muss gut strukturiert sein. Deshalb wird nahegelegt, dass der Vorgang nach einem anerkannten Standard umgesetzt wird Planungsphase: Anforderungen und Strategie Nachdem in der ersten Phase die Rahmenbedingungen gelegt worden sind, wird in der Planungsphase im ersten Schritt eine Anforderungsanalyse erstellt, in welcher folgende zwei Punkte behandelt werden: Business Impact Analyse (betriebliche Auswirkungsanalyse) Abschätzung der Auswirkungen einer Katastrophe Risikoanalyse Identifikation der Risiken und Gefahren und Zuweisung von Eintrittswahrscheinlichkeiten Diese Anforderungsanalyse ist Input für den zweiten Planungsschritt, der Strategieausarbeitung. Die Strategie setzt die Risikoreduktions- und Wiederherstellungsoptionen (Recovery Optionen) fest Business Impact Analyse Um eine effektive IT Katastrophenvorsorge ausarbeiten zu können, werden die Auswirkungen von IT Service Störungen auf die Geschäftsprozesse des Unternehmens analysiert. Zu diesem Zweck wird eine sog. Business Impact Analyse durchgeführt. In der Business Impact Analyse wird nicht nach der Ursache einer Katastrophe, sondern nach den Konsequenzen gefragt. Das Ergebnis einer solchen Analyse ist eine priorisierte Liste von kritischen Geschäftsprozessen. Von dieser Liste abgeleitet wird die Wichtigkeit bzw. Kritikalität der IT Services und Ressourcen sowie die Verfügbarkeitsanforderungen bzw. die maximale Wiederanlaufzeit dieser Services und Ressourcen. [5] Folgend wird angelehnt an den BSI-Standard [5] ein mögliches Vorgehensmodell für die Business Impact Analyse dargestellt. Schritt 1: Geschäftsprozesse Im ersten Schritt sollten die Geschäftsprozesse bestimmt werden, welche im Rahmen der Katastrophenvorsorge liegen. Geschäftsprozesse, welche nicht im Gültigkeitsbereich liegen und Prozesse, die zu unkritisch für das Unternehmen sind, werden in diesem Schritt aussortiert. Von den restlichen Geschäftsprozessen sollte eine Dokumentation mit mindestens folgenden Informationen vorliegen: Name und kurze Beschreibung Prozess-Input und Prozess-Output (Material und Informationen) Verknüpfungen mit anderen Prozessen Prozessverantwortliche Person bzw. Ansprechpartner Sind die Geschäftsprozesse nicht dokumentiert, sollte dieser Schritt nach den gängigen Methoden durchgeführt werden (siehe z.b. [7], [9]). 7

8 4. IT Katastrophenvorsorge-Prozess Schritt 2: Kritikalitätsanalyse Die Kritikalitätsanalyse ordnet den Geschäftsprozessen ein Kritikalitätsmass zu. Unternehmenskritische Geschäftsprozesse erhalten ein hohes Kritikalitätsmass und nicht kritische Prozesse ein tiefes. Unter die kritischen Geschäftsprozesse fallen jene, bei welchen eine Störung oder ein Ausfall weitreichende Geschäftsauswirkungen haben. Die Kritikalitätsanalyse kann wie folgt durchgeführt werden: Festlegung der Kritikalitätskategorien und -kriterien Zuerst müssen Kategorien und Kriterien zur Bestimmung der Kritikalität gebildet werden. In der Praxis haben sich 4 Kategoriestufen bewährt: unkritisch Ausfall hat keine oder nur geringe Auswirkungen wenig kritisch Ausfall hat Auswirkungen kritisch Ausfall hat beträchtliche Auswirkungen hoch kritisch Ausfall oder Störungen führen zu existentiell bedrohlichen Auswirkungen Die Geschäftsauswirkungen können in harten Faktoren (finanzielle Schäden, zusätzliche Kosten) und/oder weichen Faktoren (Reputationsschaden, Verlust eines Marktvorteils) gemessen werden. Das Unternehmen hat nach seinen eigenen Vorstellungen festzulegen, welche Kriterien eingesetzt werden. Um die Kritikalitätskategorien voneinander abzugrenzen, werden anhand der festgelegten Kriterien Grenzen bestimmt. In der Tabelle 1 ist ein Beispiel aufgezeigt. Bewertungsperioden Da sich die Auswirkungen der IT Serviceausfälle auf die Geschäftstätigkeit je nach Dauer verändern können, wird der zeitliche Verlauf in der Kritikalitätsanalyse betrachtet. Hierfür werden Bewertungsperioden festgelegt. Die Anzahl und die Dauer dieser Perioden sollten den Gegebenheiten des Geschäfts angepasst werden. In der Praxis ist die Aufteilung in vier Bewertungsperioden verbreitet. Periode 1 8 Stunden Periode Stunden Periode Tage Periode Tage Kritikalitätsanalyse Nachdem alle Vorarbeiten abgeschlossen worden sind, kann nun zur eigentlichen Kritikalitätsanalyse übergegangen werden. Hierbei wird für jeden Geschäftsprozess die Auswirkung eines Ausfalls auf das Geschäft in den Bewertungsperioden anhand der festgesetzten Kritikalitätskategorien und -kriterien beurteilt. Zusätzlich wird auch eine maximal tolerierbare Ausfallzeit abgeschätzt. Die maximal tolerierbare Ausfallzeit bezeichnet den Zeitrahmen, in welchem der Prozess wieder anlaufen muss, damit das Geschäft nicht in eine lebensbedrohliche Situation gerät. In der Tabelle 2 ist ein Beispiel einer Kritikalitätsanalyse gegeben. 8

9 4. IT Katastrophenvorsorge-Prozess Kritikalitätskategorie unkritisch wirtschaftlicher Schaden keine Beeinträchtigung der Aufgabenerfüllung keine Verstoss gegen Gesetze keine Kritikalitätskategorie wenig kritisch wirtschaftlicher Schaden < Fr. Beeinträchtigung der Aufgabenerfüllung tolerierbar, keine wesentlichen Störungen Verstoss gegen Gesetze Verstösse mit geringen Konsequenzen Kritikalitätskategorie kritisch wirtschaftlicher Schaden Fr. - 1 Mio Fr. Beeinträchtigung der Aufgabenerfüllung nicht tolerierbar, verminderte Leistungsfähigkeit, erhebliche Störung Verstoss gegen Gesetze Verstösse mit tolerierbaren Konsequenzen Kritikalitätskategorie hoch kritisch wirtschaftlicher Schaden > 1 Mio Fr. Beeinträchtigung der Aufgabenerfüllung gravierende Störung, verzögerte und fehlerhafte Ergebnisse, grosse Minderung der Servicequalität Verstoss gegen Gesetze Verstoss mit Konsequenzen für den Geschäftsbetrieb und die Mitarbeiter Tabelle 1: Kritikalitätskategorien und -kriterien [5] Schritt 3: Priorisierung Die kritischen Geschäftsprozesse werden für die Katastrophenvorsorge priorisiert. Die Priorisierung wird anhand der Resultate der Kritikalitätsanalyse aufgestellt. Die Liste liefert einen guten Überblick über die zu betrachtenden Geschäftsprozesse und deren Wichtigkeit bzw. Kritikalität. Schritt 4: Erhebung der Ressourcen für den Normal- und Notbetrieb und Vererbung der Kritikalität Damit eine kohärente IT Katastrophenvorsorge erstellt werden kann, sollten die von den kritischen Geschäftsprozessen eingesetzten IT Services und Ressourcen identifiziert werden. Informationen bezüglich Kapazität im Normal- und gegebenenfalls Notbetrieb sollten erhoben werden. Die Kritikalität der IT Services und Ressourcen lässt sich von der Geschäftsprozesskritikalität ableiten. Beispiel: Wird ein IT Service in sehr kritischen Geschäftsprozessen eingesetzt, so hat auch dieser IT Service eine hohe Kritikalität Risikoanalyse Die Business Impact Analyse liefert Erkenntnisse über die Auswirkungen eines IT Serviceausfalls. Um eine geeignete Katastrophenvorsorge-Strategie entwickeln zu können, wird nun eine Risikoanalyse durchgeführt. Risiko bedeutet in diesem Kontext die Möglichkeit, dass eine Gefahr eine Katastrophe verursacht, deren Auswirkung die IT Services 9

10 4. IT Katastrophenvorsorge-Prozess Prozess: Geschäftsprozess A1 Bearbeiter und Ansprechpartner: Person AB und Person XY Datum: Maximal tolerierbarer Ausfall: 24 Stunden angestrebte Wiederanlaufzeit: 15 Stunden < 8 Std Std. 1-4 Tage 4-7 Tage wirtschaftlicher Schaden wenig kritisch kritisch hoch kritisch hoch kritisch Beeintr. der Aufgabenerfüllung wenig kritisch kritisch kritisch hoch kritisch Verstoss gegen Gesetze unkritisch unkritisch unkritisch unkritisch Tabelle 2: Kritikalitätsanalyse eines Geschäftsprozesses [5] beeinträchtigt oder lahmlegt. Die Risikoanalyse hat die Identifikation der Gefahren für die kritischen IT Services und die Zuordnung von Eintrittswahrscheinlichkeiten zu diesen Gefahren als Ziel. Bei einer Risikoanalyse muss beachtet werden, dass es nie gelingen wird, alle Gefahren zu identifizieren. Auch die Zuordnung der Eintrittswahrscheinlichkeiten beruht meistens auf sehr subjektiven, groben Schätzungen. Nichtsdestotrotz ist eine gut durchgeführte Risikoanalyse eine wichtige Komponente in der Katastrophenvorsorge. Es existieren viele unterschiedliche Risikoanalysemethoden (siehe z.b. [1], [8]). Angelehnt an den BSI-Standard [5] wird ein Vorgehen mit folgenden Schritten betrachtet: Risikoidentifikation Risikobewertung Risikosteuerung Risikoidentifikation Die Risiken und Gefahren, welche die IT Services beeinträchtigen können, müssen zuerst einmal ermittelt werden. Eine breite Palette von einsetzbaren Methoden ist vorhanden, wie z.b. die SWAT-Analyse (Strength, Weaknesses, Opportunities and Threats), Interviews, HAZOP (Hazard and Operability Study), Fehlerbaumanalysen und Brainstorming. Die Kombination der verschiedenen Methoden kann die Identifikation der Risiken und Gefahren merklich steigern. Ein mögliches Resultat einer Risikoidentifikation ist in Tabelle 3 zu sehen. Um den Aufwand der Risikoanalyse zu verkleinern, können IT Services und Ressourcen, die von den gleichen oder sehr ähnlichen Gefahren bedroht sind, zu einer Risikogruppe zusammengefasst werden. In der Tabelle 3 wurde z.b. die Risikogruppe IT Systeme und Netzwerke gebildet. Auch die Gefahren können in Szenarien zusammengefasst werden (z.b. Krankheiten und Terroristischer Akt ). In der Praxis hat sich gezeigt, dass das Erstellen von 5-15 Szenarien angebracht ist. Risikobewertung Im nächsten Schritt wird überprüft, welche Eintrittswahrscheinlichkeiten die identifizierten Gefahren oder Gefahrenszenarien aufweisen. Die Eintrittswahrscheinlichkeiten können in den meisten Fällen nur grob geschätzt werden, deshalb macht 10

11 4. IT Katastrophenvorsorge-Prozess Risiko Verlust von IT Systemen/Netzwerken Verlust von Daten Nichtverfügbarkeit von wichtigem Personal Gefahr Feuer Stromausfall Überschwemmung Flugzeugabsturz Blitzeinschlag Sabotage Terroristischer Akt Willentliche Zerstörung Denial of Service Attacke Technologie-Fehler (z.b. Kryptografie) Technologie-Fehler Menschlicher Fehler Virus, Würmer, bösartige Software Kündigungswelle Krankheits-Epidemie Transportprobleme Tabelle 3: Risikoidentifikation [6] es keinen Sinn, exakte Zahlenwerte zuzuordnen. Die Schätzung der Eintrittswahrscheinlichkeiten wird deshalb meist in einer 4-5 stufigen Skala (z.b. 1: niedrig, 2: mittel, 3: hoch, 4: sehr hoch) vorgenommen. Risikosteuerung Grundsätzlich können Risiken entweder übernommen, transferiert, vermieden oder reduziert werden. In diesem Schritt wird für alle IT Services und für alle Risiken die Behandlung der Risiken festgesetzt. Dieser Schritt bildet die Grundlage für die IT Katastrophenvorsorge Strategie. Es werden im folgenden Abschnitt die einzelnen Risikostrategien kurz erläutert: [5] Risikoübernahme Wenn das Risiko in einem akzeptablen Rahmen liegt, wird diese Option gewählt. Wenn es sich um Risiken mit geringer Eintrittswahrscheinlichkeit und geringem Schadenspotential handelt, wenn für die zugrunde liegenden Gefahren keine Gegenmassnahmen existieren oder die Gegenmassnahmen ein schlechtes Kosten-Nutzen Verhältnis aufweisen, werden die Risiken meist übernommen. Risikotransfer Das Risiko wird bei dieser Option auf ein anderes Unternehmen übertragen. Durch einen Abschluss einer Versicherung kann z.b. der finanzielle Schaden transferiert werden. Oder man kann durch Outsourcing des Geschäftsprozesses das Risiko auf einen Partner übertragen. Es ist aber zu beachten, dass Restrisiken, wie z.b. der Imageschaden, im eigenen Unternehmen verbleiben. Risikovermeidung Wenn das Risiko zu hoch ist, kann es auch eine valable Option sein, das Risiko ganz zu vermeiden. Entweder wird ein Geschäftsprozess so verändert, 11

12 4. IT Katastrophenvorsorge-Prozess dass die Eintrittswahrscheinlichkeit des Risikos null beträgt, oder dass es kein Schadenspotential gibt. Risikoreduktion Ein Mittelweg zwischen Risikoübernahme und Risikovermeidung bildet die Risikoreduktion. Das Risiko wird reduziert, indem entweder das Schadenspotential verkleinert oder die Eintrittswahrscheinlichkeit verringert wird. Diese Option wird am häufigsten gewählt. Eine Risikoprofil-Grafik, in welcher die Eintrittswahrscheinlichkeiten auf der einen Achse und die Stärke der Auswirkungen auf der anderen Achse abgetragen und die Gefahrenszenarien eingefügt werden, kann die Auswahl der einzusetzenden Risikooptionen erleichtern. In der Grafik kann auch noch der zeitliche Verlauf der Auswirkung dargestellt werden. In der Abbildung 3 ist ein Beispiel eines Risikoprofils gegeben. Die Höhe der kurzfristigen Auswirkungen ist abgetragen. Die roten Plus-Zeichen stellen die Stärke der Auswirkungszunahme im Verlauf der Zeit dar; je mehr Plus-Zeichen, desto schneller und stärker wachsen die Auswirkungen an. Abbildung 3: Risikoprofil [6] IT Katastrophenvorsorge Strategie Das Resultat der Business Impact Analyse und der Risikoanalyse erlaubt es nun, eine IT Katastrophenvorsorge Strategie zu entwickeln, in welcher die betrieblichen Anforderungen optimal abgedeckt werden. Es existieren viele unterschiedliche Strategiealternativen, 12

13 4. IT Katastrophenvorsorge-Prozess die sich vor allem im Umfang, in den Kosten, in der Wiederanlaufzeit und in der Zuverlässigkeit unterscheiden. Generell sind jedoch zwei Strategieoptionen zu unterscheiden: Risikoreduktion Risikoreduktionsoptionen vermindern das Risiko, dass die IT Services ausfallen. Diese Optionen werden präventiv angewandt. Wiederherstellung Die Wiederherstellungsoptionen vermindern den Schaden eines IT Service Ausfalls, indem eine schnelle Wiederherstellung der Dienste unterstützt wird. Diese Optionen werden nach einem Katastrophenereignis eingesetzt. Jeder IT Service, welcher die kritische Geschäftsprozesse unterstützt, kann entweder mit einer oder mit beiden Optionen abgesichert werden. IT Services, die bei einem Ausfall kurzfristig grosse Geschäftsauswirkungen aufweisen und eine kurze maximal tolerierbare Ausfallzeit haben, sollten mit präventiven Risikoreduktionsoptionen abgedeckt werden, während die Services mit geringen kurzfristigen Auswirkungen eher mit Wiederherstellungsoptionen ausgestattet werden sollten. Die beiden Optionsarten sind jedoch komplementär zueinander, weshalb viele Unternehmen sowohl Risikoreduktions- wie auch Wiederherstellungsoptionen im Einsatz haben. Nachfolgend werden einige typische Risikoreduktionsoptio- Risikoreduktionsoptionen nen aufgelistet: [6] Installation einer unterbrechungsfreien Stromversorgung (USV) zum Schutz vor Störungen im Stromnetz RAID Systeme und Festplattenspiegelung zur Datensicherung und für den unterbrechungsfreien Zugriff auf die Daten Eliminierung von single point of failures (SPoFs), wie zum Beispiel ein einzelner Netzzugangspunkt oder eine einzelne Stromversorgungsquelle für ein Gebäude. Physische Zugangskontrollen zu IT Systemen, z.b. biometrische Identifikationssysteme IT Netzwerksicherheitssysteme (z.b. Virenerkennung, Intrusion Detection, Firewall) Einsatz von Gefahren-Erkennungssystemen (z.b. Feuererkennung), gepaart mit Bekämpfungssystemen (z.b. Löschanlage) Umfassende Daten- und Systembackup-Strategie zum Schutz vor Datenverlust 13

14 4. IT Katastrophenvorsorge-Prozess Folgend werden einige typische Wiederherstellungsoptio- Wiederherstellungsoptionen nen aufgelistet: [6] Zurück zur manuellen Arbeit Für einige IT Services kann es Sinn machen, dass während einer Übergangszeit die IT Services durch manuelle Arbeit ersetzt werden. Z.B. kann der Service Desk eventuell eine gewisse Zeit ohne die Anrufsysteme arbeiten, indem Bleistift und Papier oder eine Tabellenkalkulation eingesetzt wird. Gegenseitige Absprachen Setzen zwei Unternehmen die gleichen IT Systeme ein, kann es Sinn machen, dass sie sich in einer Katastrophensituation gegenseitig aushelfen. Weil die meisten Unternehmen eine sehr hohe Verfügbarkeit erreichen und ausschliesslich eigene Rechenkraft einsetzen wollen, sind gegenseitige Absprachen weniger attraktiv als früher. Jedoch sind Absprachen zwischen Firmen für die offsite Speicherung von Backups noch heute verbreitet. Cold stand-by Bei dieser Option sind leere Geschäftsräume mit bereits installiertem Strom, lokalem Netzwerk und Telekommunikationsnetz vorhanden. In einem Katastrophenfall wird das Unternehmen diese Räume mit den eigenen IT Systemen ausrüsten und betreiben. Da die Räume im Katastrophenfall erst einmal mit der nötigen IT Umgebung ausgerüstet werden, ist diese Wiederherstellungsoption nicht für IT Services gedacht, die nur einige Stunden off-line sein dürfen. Es dauert meistens Tage-Wochen bis ein solcher Raum einsatzfähig gemacht werden kann. Diese Katastrophenräume können entweder der eigenen Firma gehören oder von einer anderen Institution gemietet werden. Entweder kann es sich um fixe Räume oder um mobile Einheiten handeln. Warm stand-by Wenn die IT Systeme im Katastrophenfall innerhalb von einigen Stunden einsatzfähig sein müssen, ist die Warm stand-by Option eine gute Alternative. Meistens werden bei dieser Option kommerzielle Einrichtungen eingesetzt, die von einem Dritt-Anbieter angemietet werden. Die Räume sind für den Betrieb von IT Systemen voll ausgerüstet; Computersysteme, Peripheriegeräte, Telekommunikationsnetze sind vorhanden. Je grösser die Ausrüstung desto teurer wird die Miete ausfallen. Die Einrichtungen werden meistens gleichzeitig von mehreren Firmen gemietet, die sich dann so die Kosten teilen. Im Katastrophenfall kann das Unternehmen sofort die gemietete Einrichtung einsetzten. Die Einrichtung muss jedoch noch für den Einsatz konfiguriert und die Applikationen und Systeme müssen von Backups des Unternehmens hergestellt werden. Auch diese Variante kann entweder an einem fixen Standort sein oder als mobile Variante angemietet werden. Schnelle Wiederherstellung, hot stand-by Diese Alternative bietet eine schnelle Wiederherstellung der IT Services und wird teilweise als Erweiterung der warm standby Option von einigen Dritt-Unternehmen angeboten. Bei dieser Option werden 14

15 4. IT Katastrophenvorsorge-Prozess Einrichtungen angemietet, die für den Betrieb von IT Systemen voll ausgerüstet sind. Zusätzlich sind die eigenen Applikationen und Kommunikationssysteme schon verfügbar und die Daten werden vom operativen System gespiegelt. Falls bei einer Katastrophe die operativen Systeme nicht mehr einsetzbar sind, wird auf die hot stand-by Einrichtung gewechselt. Der Unterbruch der IT Services ist so relativ kurz (< 12 Stunden). Unverzügliche Wiederherstellung Diese Option, auch als mirroring, load balancing bekannt, wird eingesetzt, wenn die IT Systeme überhaupt nicht unterbrochen werden sollten. Für kritische Geschäftprozesse wird innerhalb des eigenen Unternehmens ein Katastrophen-Rechenzentrum bereitgestellt, das sich nicht am selben Ort wie die normalen operationellen Systeme befindet. Es steht an beiden Orten genügend IT Ausrüstung zur Verfügung, sodass bei einem Ausfall eines Standortes der andere den Dienst weiterführen kann und in der Zwischenzeit das ausgefallene Rechenzentrum mithilfe des anderen wieder on-line gebracht werden kann. Diese Variant ist zwar teuer, aber für geschäftskritische IT Services durchaus zu rechtfertigen. Sicherheitstechnisch ist diese Option der hot stand-by Variante vorzuziehen, da sich die Daten nicht bei einem Dritt-Anbieter befinden, sondern im eigenen Unternehmen bleiben. Wie schon angesprochen, müssen die zwei Rechenzentren auch physisch getrennt voneinander aufgebaut werden, sodass die Wahrscheinlichkeit, dass beide Rechenzentren von der gleichen Katastrophe betoffen sind, klein gehalten werden kann. Das zweite Rechenzentrum, welches für die Katastrophenvorsorge aufgebaut wird, muss nicht unbedingt brach liegen. Es kann zusammen mit dem anderen Rechenzentrum auch zur Steigerung der Kapazität eingesetzt werden. Es muss in diesem Fall sichergestellt werden, dass bei einem Ausfall eines Rechenzentrums, das andere alleine mit genügend Leistung weiterarbeiten kann. Die verschiedenen IT Services haben unterschiedliche Anforderungen bezüglich der Katastrophenvorsorge und benötigen deshalb unterschiedliche Risikoreduktion- und Wiederherstellungsoptionen. Die Kosten, welche die einzusetzenden Massnahmen generieren, sollten aber immer gegenüber dem Nutzen abgewogen werden. Je länger ein System ausfallen darf, desto günstiger sind die einzusetzenden Optionen. Welche IT Services mit welchen Optionen abgesichert werden, sollte anhand der gesammelten Information (Leitlinie, Business Impact Analyse, Risikoanalyse) bestimmt werden können Implementierung der Strategie Nachdem die Strategie festgelegt wurde, wird ein IT Katastrophenplan erstellt. Dieser Plan beinhaltet detaillierte Informationen über die eingesetzten Risikoreduktions- und Wiederherstellungsoptionen. Der Plan sollte nicht nur die eingesetzten Alternativen beschreiben, sondern auch auf die Frage, wieso diese eingesetzt werden, antworten können. Die Resultate der vorherigen Schritte - Business Impact Analyse, Risikoanalyse und Risikoprofil - sollten deshalb auch im Plan vorhanden sein. 15

16 4. IT Katastrophenvorsorge-Prozess Damit im Katastrophenfall die Wiederherstellung der Systeme effizient abgewickelt werden kann, hat sich die Erstellung einer Checkliste bewährt. Die Checkliste umfasst und beschreibt alle Aktionen, die bei der Wiederherstellung der IT Services durchgeführt werden. Das involvierte Personal muss natürlich auch eingeplant werden. Die Aufbau- und Ablauforganisation während einer Katastrophe werden in dieser Arbeit jedoch nicht behandelt. In der Business Continuity Management oder Notfallmanagement Literatur (siehe [5], [6]) werden sowohl Aufbau- wie auch Ablauforganisation detailliert betrachtet Hersteller von Katastrophenvorsorge-Lösungen Welche Lösungen von welchen Herstellern nun konkret implementiert werden, hängt sehr stark von den Anforderungen und Präferenzen der Unternehmen ab. Nachfolgend werden einige Hersteller von Risikoreduktions- und Wiederherstellungsoptionen aufgeführt. Auf eine detaillierte Beschreibung der Produkte und einen Vergleich der Anbieter wird verzichtet. Contrafeu (http://www.contrafeu.ch/) Brandschutz und -löschangebote (z.b. Trockenlöschung) CTA Energy Systems (http://www.usv.ch/) USV-Anlagen, Kommunikationssoftware, Stromverteil- und Überwachungssysteme Doubletake Software (http://de.doubletake.com/) Datenschutzlösungen mit hoher Verfügbarkeit und zentralem Backup. Marathon - everrun F T (http://www.marathontechnologies.com/) Fehlertolerante, Hochverfügbarkeits-Software für die Server Virtualisierung Microsoft System Center Data Protection Manager (http://www.microsoft.com/ systemcenter/dpm/default.mspx) Datenschutz und Recovery Lösung Neverfail (http://www.neverfailgroup.com/) Hochverfügbarkeits-, Disaster Recoveryund Datenschutzlösungen CA XOsoft (http://www.xosoft.com/) Disaster Recovery und Business Continuity Softwarelösungen Siemens - Zugangskontrollsysteme (http://www.siemens.com/) Sicherheits-Lösungen, z.b. auch biometrische Zugangskontrollsysteme Symantec Backup (http://www.symantec.com/business/products/overview.jsp? pcid=2244&pvid=57_1) Datenschutzlösung für Windows Servers Sun Solaris Cluster (http://www.sun.com/software/solaris/cluster/) Disaster Recovery Lösung VMWare ESX-Server 3 (http://www.vmware.com/) Virtualisierungslösungen 16

17 4. IT Katastrophenvorsorge-Prozess Katastrophenauslösung Der Katastrophenplan definiert in klarer Weise den Ablauf im Katastrophenfall. Das Ausführen dieses Planes hat diverse z.t. hohe Kosten und eventuell einen Unterbruch des Geschäftsganges zur Folge. Deshalb muss geregelt werden, in welchen Situationen und von welchen Personen eine Katastrophe ausgerufen werden darf. Die Bereichsleiter oder die Geschäftsleitung sind meistens für die Katastrophenauslösung verantwortlich. Die Entscheidung, ob es sich um eine Katastrophe handelt, beruht auf den vom Vorfall bereits gesammelten Informationen. Da ein Vorfall an einem beliebigen Zeitpunkt stattfinden kann, sollte ein Alarm- und Meldekonzept aufgestellt werden, sodass die entscheidungsbefugten Personen die Informationen auch zeitgerecht erhalten. Der Katastrophenauslösungs-Entscheidungsprozess muss häufig sehr kurz sein, da sich die Auswirkungen einer Katastrophe bei Verzögerungen verstärken können. In einigen Fällen ist die Katastrophenauslösung einfach zu treffen, z.b. bei einem grossen Brand im Rechenzentrum, in anderen Fällen, wie z.b. bei einem Stromunterbruch oder einem Hardwarefehler, müssen Zeitlimiten gesetzt werden, in welchen das Problem (vom Störungsmanagement) gelöst werden kann, ohne dass der Katastrophenplan durchgeführt wird. Ist die Zeit abgelaufen und das Problem besteht weiterhin, tritt der Katastrophenplan in Aktion. Folgende Informationen sollten bei der Auslösung einer Katastrophe einbezogen werden.[6] Ausmass des Schadens und Umfang der potentiellen Katastrophenauslösung (betrifft es das gesamte Unternehmen oder nur Teilbereiche) Geschätzte Ausfallzeit der Geschäftsbereiche und (IT) Services Geschätzte betriebliche Auswirkungen Die Katastrophenauslösung sollte klar strukturiert und dokumentiert sein, sodass die Entscheidungsträger im Katastrophenfall schnell die richtigen Entscheidungen treffen können Tests Die Praxis hat gezeigt, dass das Testen der eingesetzten Katastrophenvorsorge ein integraler Bestandteil sein muss. Nicht getestete Massnahmen funktionieren meist nicht wie vorgesehen oder überhaupt nicht. Die Tests überprüfen, ob die IT Services in einem (simulierten) Katastrophenfall wie gewünscht weiterlaufen oder innerhalb der festgesetzten Wiederanlaufzeit mit der gewünschten Performance on-line sind. Es gibt angelehnt an ITIL [6] folgende vier Testversionen: Walk-through oder Schreibtischtests In dieser Test-Variante gehen alle involvierten Personen zusammen den Katastrophenplan Schritt für Schritt durch und überprüfen diesen auf die Korrektheit. 17

18 4. IT Katastrophenvorsorge-Prozess Vollständiger Test Regelmässig (mindestens einmal pro Jahr) sollte ein vollständiger Test des Katastrophenplans durchgeführt werden. Hierbei werden die in der Katastrophenvorsorge behandelten Ausfälle der IT Services simuliert und die nötigen Wiederherstellungsschritte gemäss Plan durchgeführt. Falls nötig sollten auch die in der Katastrophenvorsorge einbezogenen Dritt-Anbieter involviert werden. Der Ablauf der simulierten Katastrophe wird von einem Beobachter detailliert protokolliert, sodass das Unternehmen die nötigen Erkenntnisse gewinnen kann. Die Tests können entweder angekündigt oder unangekündigt erfolgen. Partielle Tests Ein Teil des Katastrophenplanes wird in partiellen Tests validiert. Zum Beispiel kann der Ausfall eines einzelnen Servers anstatt des gesamten Rechenzentrums simuliert werden. Die partiellen Tests sind zusätzlich zu den vollständigen Tests einzusetzen. Vor allem bei System- oder Prozessänderungen sind partielle Tests angebracht. Szenario Tests In Szenario Tests können Reaktionen auf bestimmte Situationen getestet werden. Zum Beispiel könnte ein Brand in einem Rechenzentrum als Szenario simuliert werden. Die Tests, so umfangreich sie auch sein mögen, können nie alle Aspekte einer Katastrophe umfassen. Doch sollten die wahrscheinlichsten Szenarien getestet werden, damit man auf diese besonders gut vorbereitet ist. Jeder Test sollte mit klaren Zielsetzungen durchgeführt werden, z.b. die Service-Unterbruchszeit muss kleiner als x Stunden sein. Die Erkenntnisse aus der Testanalyse fliessen in die Überarbeitung des Katastrophenplans ein Permanente Aufrechterhaltung der IT Katastrophenvorsorge Die Katastrophenvorsorge ist nach den initialen Tests nicht abgeschlossen. Das gesamte Konzept muss von Zeit zu Zeit den Veränderungen des Unternehmens und der Umwelt angepasst werden. So verändern sich zum Beispiel die Gefahren und die Geschäftsprozesse, somit auch die IT Services im Verlauf der Zeit. In der folgenden Auflistung sind die wichtigsten Punkte, die permanent ausgeführt werden sollten, dargestellt: [6] Ausbildung des Personals Die involvierten Mitarbeiter müssen von Zeit zu Zeit geschult werden, damit sie über das nötige Katastrophenvorsorge-Wissen verfügen. Tests Initiale Tests sind nicht genug. Regelmässige Tests versichern, dass der Katastrophenplan vollständig und up-to-date ist. Vor allem nach grösseren Veränderungen innerhalb des Unternehmens oder des unternehmerischen Umfeldes sollten Tests angeordnet werden. Permanente Anpassung und Verbesserungen Veränderungen gehören in den meisten Unternehmen zur Tagesordnung. Die Katastrophenvorsorge muss sich deshalb den veränderten Bedingungen anpassen. Aber nicht nur Anpassungen sind wichtig, sondern auch bestehende Teile sollten von Zeit zu Zeit auf ihre Güte überprüft 18

19 5. Herausforderungen und Risiken in der Katastrophenvorsorge werden. Nur ein aktueller und getesteter Katastrophenplan wird bei Eintreten eines katastrophalen Ereignisses zum erwünschten Ergebnis führen. 5. Herausforderungen und Risiken in der Katastrophenvorsorge Die IT Katastrophenvorsorge ist ein wichtiger Teil der umfassenden Katastrophenvorsorge, welche auch non-it Bereiche abdeckt. Meistens findet die Katastrophenvorsorge ihren Anfang in der IT Abteilung. Doch es darf nicht sein, dass die Katastrophenvorsorge nur eine IT Aufgabe bleibt, da es sonst sehr wahrscheinlich ist, dass falsche Annahmen über die Wichtigkeit der Geschäftsprozesse erstellt werden, und somit die gesamt (IT) Katastrophenvorsorge auf einer falschen Strategie beruht. Eine grosse Herausforderung ist die Beschaffung der Informationen. Wie im Katastrophenvorsorgeprozess dargelegt, müssen für die Business Impact Analyse und für die Risikoanalyse diverse Informationen vorliegen, damit eine erfolgreiche Katastrophenvorsorge Strategie aufgestellt werden kann. Sowohl bei der Beschaffung der Geschäftsprozessdaten wie auch bei der Einschätzung der Kritikalität, beim Bestimmen der Gefahren und bei der Zuordnung von Eintrittswahrscheinlichkeiten zu den Gefahren ist ein umfassendes Wissen notwendig. Das Auftreiben der Informationen, die zu diesem Wissen führen, ist eine grosse Herausforderung. Folgende Hauptrisiken bestehen in der Katastrophenvorsorge: Mangelnde Unterstützung der Katastrophenvorsorge, was häufig zu Ressourcenmangel (Personen und Geld) führt Prioritäten der Geschäftsprozesse werden zu wenig berücksichtigt, was zu einer falschen Ausrichtung führt Risiken und Gefahren werden falsch eingeschätzt Auswirkungen eines IT Serviceausfalls werden falsch beurteilt Katastrophenvorsorge wird nicht up-to-date gehalten Tests werden nicht oder nur ungenügend durchgeführt 5.1. Schlusswort Viele Hersteller bieten erstklassige Hard- und Softwarelösungen zur Katastrophenvorsorge an. Die Techniken für eine effiziente Vorsorge sind vorhanden, aber der Einsatz dieser Lösungen sollte gut geplant und den spezifischen unternehmerischen Anforderungen angepasst sein. Ein strukturiertes Vorgehen ist deshalb für die IT wie auch für die non-it Katastrophenvorsorge Pflicht. 19

20 Teil II. Praxis 6. Einleitung 6. Einleitung Frédéric Gauderon und ich hatten die Möglichkeit, die praktische Umsetzung unserer Themengebiete bei der Charles Vögele Gruppe und der Coop Gruppe zu begutachten. Wir möchten uns an dieser Stelle bei den Herren Christian Böhner (Leiter IT Beschaffung/Controlling, Coop), Heinrich Kählin (Leiter Informatik Konzern, Charles Vögele Trading AG) und Kurt Uhlmann (Leiter Informatik Strategie/Architektur, Coop) herzlich für die sehr interessanten, aufschlussreichen und offenen Diskussionen bedanken. In den folgenden Abschnitten werden die zwei Unternehmen kurz vorgestellt. Danach wird auf die IT Katastrophenvorsorge eingegangen Charles Vögele Gruppe Die Charles Vögele Gruppe wurde 1955 gegründet und ist im Schweizer Markt das grösste Einzelhandelsunternehmen für modisch, aktuelle Bekleidung. Die Gruppe betreibt in Deutschland (seit 1984), Österreich (seit 1994), Niederlande, Belgien und einigen osteuropäischen Staaten eigene Filialen. Der Nettoumsatz betrug im letzten Jahr 1394 Mio. Franken. Der als Aktiengesellschaft geführte Konzern beschäftigt 7800 Mitarbeiter, wovon in der IT Abteilung angestellt sind. Die IT Abteilung ist zentral im Hauptsitz Pfäffikon (Schwyz) angesiedelt. Zusammengezählt verursachen die IT Dienstleistungen Kosten in der Höhe von 1.5% des Nettoumsatzes (absolut: 20.9 Mio Fr.), wobei die Telekommunikationskosten in diesen Zahlen schon inbegriffen sind. IT als Dienstleister Die IT ist generell ein Dienstleister und nur für Infrastrukturprojekte verantwortlich. Hat ein Prozessverantwortlicher einer Linie Bedürfnisse, welche auch die IT betreffen, kann dieser mit seinen Wünschen und Vorstellungen zur IT gehen. Zusammen wird dann eine Lösung erarbeitet. Standardisierung und zentrale Datenhaltung Vögele setzt konsequent auf Standardlösungen und auf eine Zentralisierung der IT. Mit diesen Prinzipien könne man die Kosten tief halten und mit relativ wenig Angestellten die gesamte Konzern-IT betreiben. Hauptapplikationen Es werden 4 Hauptapplikationen eingesetzt. Zentral ist das eigenentwickelte Textilpaket für den Textilhandel (Bestellung erfassen, Verteilung der Ware, Bestandesmanagement). Dieses System ist sehr ausgereift und bewältigt ohne Probleme die 65 Millionen Käufe- und Verkäufe pro Jahr. An dieses System angebunden sind drei Standardsysteme: ein Finanzsystem, ein Data Warehouse und ein Point-of-Sales System 20

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik Notfallmanagement Einführung & Überblick Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Tag Bremen / 13.06.2012 Sind Ihre Informationen sicher? Beispiel wichtiger

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

Themengruppe: IT Service Management - Praxis

Themengruppe: IT Service Management - Praxis Themengruppe: IT Service Management - Praxis Die 11 wichtigsten Risiken beim Multivendor-Sourcing Version 1.6 (25.02.2014) Fritz Kleiner, Futureways GmbH, fritz.kleiner@futureways.ch Leiter der swissict

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

IT Service Management - Praxis

IT Service Management - Praxis IT Service Management - Praxis Die 11 wichtigsten Risiken beim Multivendor-Sourcing Version 1.5 (05.11.2013) Fritz Kleiner, Futureways GmbH, fritz.kleiner@futureways.ch Leiter der Themengruppe: IT Service

Mehr

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren Methodik für, und von Ausfallrechenzentren Das Lebenszyklus-Modell der Networkers AG Inf.-sw. Christoph Haas Senior Consultant 30.09.2010 I Networkers AG I Seite 1 Vorgehen mit Methode Wieso, weshalb,

Mehr

2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme

2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme 2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme Seite 27 Der Risikomanagement-Prozess Im Vorfeld: (Erst-)Definition

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

Thema: Risikomanagement

Thema: Risikomanagement 1.1. Risikomanagement Eine der elementarsten Anforderungen an die Projektplanung ist, durch zielgerichtete Planung mögliche Risiken, die den Projekterfolg in Frage stellen, zu identifizieren und präventiv

Mehr

IT Risikomanagement in Integrationsprojekten. NETZGUIDE Ausgabe Mai 2009

IT Risikomanagement in Integrationsprojekten. NETZGUIDE Ausgabe Mai 2009 IT Risikomanagement in Integrationsprojekten NETZGUIDE Ausgabe Mai 2009 Trends IT-risikomanagement in Integrationsprojekten Integrationsprojekte machen Geschäftsprozesse effizienter. Gleichzeitig erhöhen

Mehr

Business Continuity Management (BCM) für Versicherungsunternehmen. Schweiz Mindeststandards und Empfehlungen

Business Continuity Management (BCM) für Versicherungsunternehmen. Schweiz Mindeststandards und Empfehlungen Business Continuity Management (BCM) für Versicherungsunternehmen in der Schweiz Mindeststandards und Empfehlungen Juni 2015 2 Impressum Empfänger Alle von der Finma beaufsichtigten Versicherungsunternehmen

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Business Continuity Management (BCM) für Versicherungsunternehmen. der Schweiz Mindeststandards und Empfehlungen

Business Continuity Management (BCM) für Versicherungsunternehmen. der Schweiz Mindeststandards und Empfehlungen Business Continuity Management (BCM) für Versicherungsunternehmen in der Schweiz Mindeststandards und Empfehlungen Juni 2015 2 Impressum Empfänger: Alle von der Finma beaufsichtigten Versicherungsunternehmen

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

Klein Computer System AG. Portrait

Klein Computer System AG. Portrait Klein Computer System AG Portrait Die Klein Computer System AG wurde 1986 durch Wolfgang Klein mit Sitz in Dübendorf gegründet. Die Geschäftstätigkeiten haben sich über die Jahre stark verändert und wurden

Mehr

Risk Management für Unternehmen

Risk Management für Unternehmen Risk Management für Unternehmen Überlassen Sie nichts dem Zufall RM- Risk Management für Unternehmen methodisch vorgehen Dem Risk Management (RM) liegt ein dauernder, sich stets verändernder Prozess im

Mehr

Business Continuity Management (BCM) Eine Uebersicht und Lösungsansätze

Business Continuity Management (BCM) Eine Uebersicht und Lösungsansätze Business Continuity Management (BCM) Eine Uebersicht und Lösungsansätze Ronny Jorysch Senior Consultant BCM (Business Continuity Management) IBM Schweiz Vulkanstrasse 106 Postfach CH-8010 Zürich +41 58

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Notfallplanung in der Praxis

Notfallplanung in der Praxis Bochum, 09.02.2010 Notfallplanung in der Praxis Stadtwerke Düsseldorf AG Uwe Bergfeld - Leiter Systemmanagement / Rechenzentrumsbetrieb Agenda Vorstellung Stadtwerke Düsseldorf (EnBW) Das Rechenzentrum

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

PRÄSENTATION ZUR BACHELORARBEIT

PRÄSENTATION ZUR BACHELORARBEIT PRÄSENTATION ZUR BACHELORARBEIT THEMA: Katastrophenmanagement im Rahmen von ITSCM am Beispiel der Sparkasse Hildesheim AUTOREN: Christian Heber & Daniela Baehr GLIEDERUNG 1 Einleitung 2 Der ITSCM-Lifecycle

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Projektrisiken analysieren

Projektrisiken analysieren Projektrisiken analysieren Compendio: Kapitel 5, Seiten 78-90 15.06.2013 SWE-IPM 1 Inhalt Risiko Management Prozess Risiko-Bewusstsein Chancen und Gefahren gehören zusammen Typische Projektrisiken Risiken

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Security Forum 2014. Notfallmanagement. nach BSI-Standard 100-4. Hagenberg, 9. April 2014. katmakon Katastrophen Management Konzepte

Security Forum 2014. Notfallmanagement. nach BSI-Standard 100-4. Hagenberg, 9. April 2014. katmakon Katastrophen Management Konzepte Security Forum 2014 Notfallmanagement nach BSI-Standard 100-4 Hagenberg, 9. April 2014 katmakon Katastrophen Management Konzepte Was: Erstellen und optimieren des Notfall- und Katastrophenmanagements Für

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

Erfahrungen und Best Practices aus Projekten - Risikomanagement

Erfahrungen und Best Practices aus Projekten - Risikomanagement Erfahrungen und Best Practices aus Projekten - Risikomanagement ConSol Webcast 14.12.2012 Referent: Lutz Keller Moderator: Jens Brügmann Oh das hatten wir nicht bedacht Risikomanagement in Projekten 14.12.2012

Mehr

Design und Realisierung von E-Business- und Internet-Anwendungen! " # $ %& # ' ( ( )

Design und Realisierung von E-Business- und Internet-Anwendungen!  # $ %& # ' ( ( ) Design und Realisierung von E-Business- und Internet-Anwendungen! " # $ %& # ' ( ( ) Seite 2 Agenda. Was haben wir letzte Woche gemacht? Die IT Infrastructure Library (ITIL) Die Prozesse des Service Support

Mehr

PRAXISTAUGLICHE RISIKOBEWERTUNG VON BETRIEBSBEREICHEN UND ANLAGEN, DIE DER 12. BIMSCHV UNTERLIEGEN

PRAXISTAUGLICHE RISIKOBEWERTUNG VON BETRIEBSBEREICHEN UND ANLAGEN, DIE DER 12. BIMSCHV UNTERLIEGEN in Karlsruhe am 15. und 16. Juni 2010 Veranstalter: LUBW Landesanstalt für Umwelt, Messungen und Naturschutz Baden-Württemberg PRAXISTAUGLICHE RISIKOBEWERTUNG VON BETRIEBSBEREICHEN UND ANLAGEN, DIE DER

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2014: Business Continuity Management

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2014: Business Continuity Management und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2014: Business Continuity Management 6.1 Datensicherung Aufgabe: Welche Regelungen sollte eine Richtlinie zur Datensicherung beinhalten? 2 6.1 Datensicherung

Mehr

Betriebssicherheit Informatik

Betriebssicherheit Informatik Betriebssicherheit Informatik Gefahren und mögliche Massnahmen zum sicheren Betrieb von Informatiksystemen Zu meiner Person Roland Abderhalden Geschäftsführer der Cadwork Holz AG Holzbautechniker TS Wirtschaftsinformatiker

Mehr

Notfallmanagement in Zeiten des Cloud Computing

Notfallmanagement in Zeiten des Cloud Computing Ihre IT ist unser Business Notfallmanagement in Zeiten des Cloud Computing Thomas Reichenberger Manager Business Unit Cloud Services, VCDX, CISA ACP IT Solutions AG ACP Gruppe I www.acp.de I www.acp.at

Mehr

Business Continuity Leitlinie. Software, Beratung und Services für Außenwirtschaft und Logistik

Business Continuity Leitlinie. Software, Beratung und Services für Außenwirtschaft und Logistik Business Continuity Leitlinie Software, Beratung und Services für Außenwirtschaft und Logistik Business Continuity Leitlinie Unternehmen, die zur Steuerung und Überwachung ihrer logistischen und außenwirtschaftlichen

Mehr

Referenzbericht Einführung Lynx CORESTO HA Storage Appliance im Hause SIMTEK

Referenzbericht Einführung Lynx CORESTO HA Storage Appliance im Hause SIMTEK Referenzbericht Einführung Lynx CORESTO Storage HA Appliance im Hause Präzisionswerkzeuge GmbH, Mössingen http://www.simtek.com mit Unterstützung von Lynx IT, Reutlingen - ein Geschäftsbereich der transtec

Mehr

Übersichtsdokument - Risikoanalyse

Übersichtsdokument - Risikoanalyse Übersichtsdokument - Risikoanalyse Nutzen und Ziel: Die Analyse der Risiken ist nach der Erarbeitung der Rahmenbedingungen (Risikopolitik, Organisation, Kultur etc.) der zentrale Teil des Integralen Risikomanagements.

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

ZUR BEDEUTUNG VON TRENDS IM INNOVATIONSMANAGEMENT

ZUR BEDEUTUNG VON TRENDS IM INNOVATIONSMANAGEMENT April 2013 ZUR BEDEUTUNG VON TRENDS IM INNOVATIONSMANAGEMENT von Maren Weiß & Prof. Dr. Michael Durst Welche Rolle spielen Trends in den Frühen Phasen im Innovationsmanagement? Wie setzen Unternehmen Trends

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

E-Interview mit Herrn Dr. Winokur, CTO von Axxana

E-Interview mit Herrn Dr. Winokur, CTO von Axxana E-Interview mit Herrn Dr. Winokur, CTO von Axxana Titel des E-Interviews: Kostengünstige Datenrettung ohne Verlust und über alle Distanzen hinweg wie mit Enterprise Data Recording (EDR) von Axxana eine

Mehr

Business Continuity Management Systeme

Business Continuity Management Systeme Business Continuity Management Systeme Q_PERIOR AG 2014 www.q-perior.com Einführung Verschiedene Gefahren bzw. Risiken bedrohen die wirtschaftliche Existenz eines Unternehmens. Terrorismus: Anschläge auf

Mehr

Riskikomanagement. No risk, no fun? No risk, no project! PROJEKTMANAGEMENT I - 18. Risikomanagement

Riskikomanagement. No risk, no fun? No risk, no project! PROJEKTMANAGEMENT I - 18. Risikomanagement Riskikomanagement No risk, no fun? No risk, no project! Risikomanagement 1 Ein paar Fragen zum Start Was sind Risiken? Wie gehen Sie mit Risiken um? Welche Bedeutung hat das Risiko in einem Projekt? Risikomanagement

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015 www.dvgw-regelwerk.de Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015 Sicherheit in der Gasversorgung; Risikomanagement von gastechnischen Infrastrukturen im Normalbetrieb Security of Gas Supply;

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Netz16 GmbH Managed Service / Cloud Solutions www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Vorstellung Netz16 Eckdaten unseres Unternehmens Personal 80 60 40 20 0 2010 2011 2012 2013

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

MIS Service Portfolio

MIS Service Portfolio MIS Service Portfolio Service Level Management o Service Management o Customer Satisfaction Management o Contract Management & Accounting o Risk Management Event Management o Monitoring und Alerting Services

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Informationssystemanalyse Software Risk Evaluation 7 1

Informationssystemanalyse Software Risk Evaluation 7 1 Informationssystemanalyse Software Risk Evaluation 7 1 Software Risk Evaluation Um Risiken bei Software-Projekten abzuschätzen und ihnen zu begegnen, wurde am SEI die Software Risk Evaluation-Methode entwickelt.

Mehr

Entwicklung Krisenmanagementsystem. Sicherheitsconsulting

Entwicklung Krisenmanagementsystem. Sicherheitsconsulting Entwicklung Krisenmanagementsystem Inhaltsverzeichnis Grundsätzliche Überlegungen zum Krisenmanagement Bewältigung von Ereignissen Definition Krise Begriffsbestimmungen Ereignistrichter vom Störfall zur

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

Im REWE-Sortiment: Notfallplanung nach ISO 27001 als Business Garant

Im REWE-Sortiment: Notfallplanung nach ISO 27001 als Business Garant Im REWE-Sortiment: Notfallplanung nach ISO 27001 als Business Garant Vom Einkauf bis zum Vertrieb Christoph Wenin Christoph Wenin CISO und Datenschutzbeauftragter Leiter IT-Governance & Security Seit 2004

Mehr

Notfallmanagement & Business Continuity Management. SILA Consulting GmbH

Notfallmanagement & Business Continuity Management. SILA Consulting GmbH Notfallmanagement & Business Continuity Management SILA Consulting GmbH Notfallvorsorge Alle Menschen sind klug, die einen vorher, die anderen nachher. Eine alltägliche Situation Sie befinden sich auf

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

Notfallmanagement in Zeiten des Cloud Computing

Notfallmanagement in Zeiten des Cloud Computing Ihre IT ist unser Business Notfallmanagement in Zeiten des Cloud Computing Thomas Reichenberger Manager Business Unit Cloud Services, VCDX, CISA ACP IT Solutions AG ACP Gruppe I www.acp.de I www.acp.at

Mehr

Notfallmanagement-Forum 2009

Notfallmanagement-Forum 2009 Notfallmanagement-Forum 2009 Business und IT-Service Continuity Management (BCM) Aktuelle Herausforderungen und Erfolgsfaktoren Nürnberg 14. Oktober 2009 Lothar Goecke Lothar Goecke Selbstständig seit

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

1. Normen für Unternehmen

1. Normen für Unternehmen 1. Normen für Unternehmen Normen sind gut für ein Missverständnis und schlecht für ein Verständnis. Um diesem Wortspiel einen konkreten Inhalt zu geben, seien zwei Thesen angeführt: Das Missverständnis

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Höhere Sicherheit und geringere Kosten?

Höhere Sicherheit und geringere Kosten? Herzlich Willkommen zum Vortrag der TMR - Telekommunikation Mittleres Ruhrgebiet Höhere Sicherheit und geringere Kosten? Dr. Andreas Jabs Oliver Thörner eco Verband der deutschen Internetwirtschaft e.

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Deutsche Übersetzung. Im Zweifelsfall gilt das englische Original Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Ausgabe 2012 Verpflichtung gegenüber der Gesellschaft

Mehr

Eco Verband & PRIOR1 GmbH. Notfallmanagement für ihr Rechenzentrum. 12. November 2014 in Köln

Eco Verband & PRIOR1 GmbH. Notfallmanagement für ihr Rechenzentrum. 12. November 2014 in Köln Eco Verband & PRIOR1 GmbH Notfallmanagement für ihr Rechenzentrum 12. November 2014 in Köln Vorstellung Curt Meinig Managementberater Rechenzentrumssicherheit und Energieeffizienz im Rechenzentrum TÜV

Mehr

Moderne Konzepte für Krisen- und Notfallsmanagement BCM, BBS & Co! Business Continuity Management als moderne Methodik für ein sicheres Unternehmen

Moderne Konzepte für Krisen- und Notfallsmanagement BCM, BBS & Co! Business Continuity Management als moderne Methodik für ein sicheres Unternehmen Moderne Konzepte für Krisen- und Notfallsmanagement BCM, BBS & Co! Was macht Krisenmanagement erfolgreich? 20. & 21. Juni 2006 Wien Business Continuity Management als moderne Methodik für ein sicheres

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Erfolgsfaktor Proaktives IT-Sicherheitsmanagement

Erfolgsfaktor Proaktives IT-Sicherheitsmanagement 1. Dezember 2004 Seite: 1 / 5 Erfolgsfaktor Proaktives IT-Sicherheitsmanagement Christian Peter Global Services Executive, IBM Österreich 1. Dezember 2004 1 Abstract IT-Sicherheitsmanagement: unverzichtbares

Mehr

Risikomanagement ORTIS

Risikomanagement ORTIS Die österreichische Schneiakademie 16.09.2008 Risikomanagement ORTIS alps Zentrum für Naturgefahrenund Risikomanagement Andrew Moran Agenda I Einleitende Präsentation Einführung in die Thematik Risikomanagement

Mehr

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen Erfolg des Risk- und Notfall-Managements in Ihrem Unternehmen 1 Inhalt Das Zusammenspiel zwischen externem Partner und internen Funktionen Notfallhandbuch von der Stange oder doch als Maßanfertigung Ansätze

Mehr

Business SLA (Service Level Agreement) Information

Business SLA (Service Level Agreement) Information Business SLA (Service Level Agreement) Information V1.4 12/2013 Irrtümer und Änderungen vorbehalten Inhalt 1. Begriffe und Definitionen... 3 2. Allgemein... 4 2.1. Rechenzentren... 4 2.2. Service und Support...

Mehr

expect more Verfügbarkeit.

expect more Verfügbarkeit. expect more Verfügbarkeit. Erfolgreiche Managed-Hostingund Cloud-Projekte mit ADACOR expect more Wir wollen, dass Ihre IT-Projekte funktionieren. expect more expect more Verlässlichkeit.. Seit 2003 betreiben

Mehr

IDR - Integrative Disaster Recovery Neue Wege zur DR Planung ein Praxisbeispiel

IDR - Integrative Disaster Recovery Neue Wege zur DR Planung ein Praxisbeispiel Hier Kundenlogo einfügen NICHT SVA-Logo IDR - Integrative Disaster Recovery Neue Wege zur DR Planung ein Praxisbeispiel IT Desaster Recovery Sind Ihre Daten klassifiziert und ist die Wiederherstellung

Mehr

Der gesamte Capacity Management Prozess versucht kontinuierlich kosteneffektiv die IT Ressourcen und Kapazitäten auf den sich fortwährend ändernden

Der gesamte Capacity Management Prozess versucht kontinuierlich kosteneffektiv die IT Ressourcen und Kapazitäten auf den sich fortwährend ändernden Der gesamte Capacity Management Prozess versucht kontinuierlich kosteneffektiv die IT Ressourcen und Kapazitäten auf den sich fortwährend ändernden Bedarf und die Anforderungen des Business anzupassen.

Mehr

Handbuch Version 1.02 (August 2010)

Handbuch Version 1.02 (August 2010) Handbuch Version 1.02 (August 2010) Seite 1/27 Inhaltsverzeichnis 1. Einleitung 1.1. Begrüßung 03 1.2. Was ist PixelX Backup FREE / PRO 03 1.3. Warum sollten Backups mittels einer Software erstellt werden?

Mehr

Verfügbarkeit von Applikationen und Failover Szenarien. Winfried Wojtenek. wojtenek@mac.com

Verfügbarkeit von Applikationen und Failover Szenarien. Winfried Wojtenek. wojtenek@mac.com Verfügbarkeit von Applikationen und Failover Szenarien Winfried Wojtenek wojtenek@mac.com Verfügbarkeit % Tage Stunden Minuten 99.000 3 16 36 99.500 1 20 48 99.900 0 9 46 99.990 0 0 53 99.999 0 0 5 Tabelle

Mehr

CALL CENTER- KURZ CHECK

CALL CENTER- KURZ CHECK CALL CENTER- KURZ CHECK DER KARER CONSULTING KURZ-CHECK FÜR IHREN TELEFONISCHEN KUNDENSERVICE Call Center Kurz Check White Paper 1 Einleitung Wollen Sie genau wissen, wie der aktuelle Stand in Ihrem telefonischen

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Process Streamlining:

Process Streamlining: Process Streamlining: Geschäftsprozesse in globalen Business Software-Lösungen Dr. Frank Schönthaler Michael Mohl PROMATIS software GmbH Ettlingen/Baden Schlüsselworte Business Process Streamlining, Multinationaler

Mehr

Zertifikatsstudiengang Certified Security Manager (CSM)

Zertifikatsstudiengang Certified Security Manager (CSM) Zertifikatsstudiengang Certified Security Manager (CSM) Mit Security Management sind Sie gut vorbereitet Das Thema Sicherheit im Unternehmen wird meist in verschiedene Bereiche, Unternehmenssicherheit,

Mehr

Business Continuity and Recovery Services, BCRS

Business Continuity and Recovery Services, BCRS Integrated Technology Services Business Continuity and Recovery Services, BCRS Praxisforums in der Forengruppe KMU 25. März 2003 Jörg Schanze, Manager BCRS 2002 IBM Corporation Agenda Business Continuity

Mehr

INFORMATIK-BESCHAFFUNG

INFORMATIK-BESCHAFFUNG Leistungsübersicht Von Anbietern unabhängige Entscheidungsgrundlagen Optimale Evaluationen und langfristige Investitionen Minimierte technische und finanzielle Risiken Effiziente und zielgerichtete Beschaffungen

Mehr

Risiken kann man eingehen. Oder man kann sie meistern.

Risiken kann man eingehen. Oder man kann sie meistern. IBM Global Technology Services Risiken kann man eingehen. Oder man kann sie meistern. Einsichten und Erkenntnisse aus der IBM Global IT Risk Study. 2 IBM Global IT Risk Study Wie steht es mit dem Sicherheitsbewusstsein

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Sozioökonomische Dienstleistungsinfrastrukturen

Sozioökonomische Dienstleistungsinfrastrukturen Das IT-Sicherheitsgesetz Am 12. Juni 2015 hat der deutsche Bundestag in 2. und 3. Lesung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Die Zustimmung

Mehr

Hochverfügbarkeit von TransConnect 2.2

Hochverfügbarkeit von TransConnect 2.2 Hochverfügbarkeit von TransConnect 2.2 und Ausblick Torsten Uhr - SQL Projekt AG Stand September 2012 Inhalt Teil 1 Backup & Restore Virtualisierung Hot-Standby / Fail-Over Teil 2 Ausblick auf zukünftige

Mehr

IT-Infrastruktur und Auswirkungen in der Wohnungswirtschaft im Kontext des technikunterstützten Leben

IT-Infrastruktur und Auswirkungen in der Wohnungswirtschaft im Kontext des technikunterstützten Leben IT-Infrastruktur und Auswirkungen in der Wohnungswirtschaft im Kontext des technikunterstützten Leben Befragung im Rahmen des Verbundprojektes Standards für wohnungsbegleitende Dienstleistungen im Kontext

Mehr