Katastrophenvorsorge

Größe: px
Ab Seite anzeigen:

Download "Katastrophenvorsorge"

Transkript

1 DÉPARTEMENT D INFORMATIQUE / DEPARTEMENT FÜR INFORMATIK Wirtschafts- und Sozialwissenschaftliche Fakultät Studiengang Wirtschaftsinformatik Katastrophenvorsorge Masterkurs Informationsmanagement vorgelegt von Reinhard BÜRGY Rüttistrasse Plaffeien / FR 10. Mai 2008 Tél Fax

2 Inhaltsverzeichnis 1. Ziel und Aufbau der Arbeit 3 I. Theorie 3 2. Literaturübersicht 3 3. Ziele und Abgrenzung 4 4. IT Katastrophenvorsorge-Prozess Initiierung Planungsphase: Anforderungen und Strategie Business Impact Analyse Risikoanalyse IT Katastrophenvorsorge Strategie Implementierung der Strategie Hersteller von Katastrophenvorsorge-Lösungen Katastrophenauslösung Tests Permanente Aufrechterhaltung der IT Katastrophenvorsorge Herausforderungen und Risiken in der Katastrophenvorsorge Schlusswort II. Praxis Einleitung Charles Vögele Gruppe Coop Gruppe IT Katastrophenvorsorge bei Charles Vögele und Coop Stellenwert, Ziele und Umfang Leitlinie und Dokumentation Business Impact Analyse und Risikoanalyse Eingesetzte Risikoreduktions- und Recoveryoptionen Alarmierung Tests und andere permanente Aufgaben Katastrophenvorfälle Fazit

3 1. Ziel und Aufbau der Arbeit 1. Ziel und Aufbau der Arbeit Die vorliegende Arbeit wurde im Rahmen des Masterkurses Informationsmanagement von Prof. Dr. Andreas Meier, Universität Freiburg, Schweiz, erstellt. Sie soll einen theoretischen Überblick der IT Katastrophenvorsorge liefern und die Umsetzung der Theorie in die Praxis anhand von Fallbeispielen präsentieren. Der Bericht ist entsprechend der Zielsetzung ebenfalls zweiteilig strukturiert. Im ersten Teil werden die theoretischen Grundlagen der IT Katastrophenvorsorge erläutert. Im zweiten Teil wird die Umsetzung der IT Katastrophenvorsorge bei der Charles Vögele Holding AG und bei der COOP Gruppe - zwei renommierte Schweizer Grossunternehmen - betrachtet. Teil I. Theorie 2. Literaturübersicht Das Gebiet der IT Katastrophenvorsorge wird von vielen Standards und Best Practice Werken abgedeckt. Es folgt eine Aufzählung einiger Werke, die im engeren oder weiteren Sinn das Themengebiet behandeln. British Standard (BS) :2006 Information security management systems. Guidelines for information security risk management [3] BS 25999, Business Continuity Management [2] [4] Bundesamt für Sicherheit in der Informationstechnik (BSI) Standard 100-4, Notfallmanagement [5] International Organization for Standardization (ISO) 17799:2005, The Information Security Standard [10] ISO/IEC 24762:2008, Information and communication technology disaster recovery services [11] IT Infrastructure Library (ITIL) - IT Service Continuity Management, Service Design [6] National Institute of Standards and Technology (NIST) Special Publication , Contingency Planning Guide for Information Technology Systems [13] Singapore Standard 507:2004, Singapore Standard for information and communications technology disaster recovery services [14] 3

4 3. Ziele und Abgrenzung In vielen Werken ist die Rede von Business Continuity Management (BCM) oder von Notfallmanagement. Diese Management-Methoden umfassen neben der Katastrophenvorsorge auch das Krisenmanagement, welches bei Eintritt einer Katastrophe in Aktion gelangt (siehe Abbildung 1). Auch die Nacharbeiten, welche wegen der geringeren Leistung in der Krisenzeit anfallen, werden in dieser Arbeit nicht betrachtet. Die Katastrophenvorsorge beinhaltet neben IT auch non-it Bereiche. In dieser Arbeit wird das Gewicht auf die Katastrophenvorsorge im IT Bereich gelegt. Als Referenz werden vornehmlich das IT Service Continuity Management von ITIL - Service Design [6] und der BSI Standard 100-4, Notfallmanagement [5] eingesetzt. Abbildung 1: Unterschied Katastrophenvorsorge - Notfallmanagement [5] 3. Ziele und Abgrenzung Das Ziel der IT Katastrophenvorsorge ist die unterbruchsfreie Gewährleistung der IT Services (Dienste) während einer Katastrophe, oder falls es zu einem Unterbruch kommt, dass sie innerhalb der erforderlichen Zeit wieder anlaufen. IT Services umfassen beispielsweise Computersysteme, Netzwerke, Applikationen, Datenspeichermedien. [6] Die Informationstechnologie (kurz IT) ist in den meisten Unternehmen eine überlebenswichtige Komponente. Ohne IT können die wichtigsten Geschäftsprozesse meist gar nicht mehr durchgeführt werden. Deshalb ist es wichtig, dass die IT auch in einem Katastrophenfall weiterläuft oder innerhalb der erforderlichen Zeit wieder anläuft. Die IT Katastrophenvorsorge behandelt nur Vorfälle, welche einen wesentlichen Einfluss auf den Geschäftsgang eines Unternehmens und hohe bis sehr hohe Schäden zur Folge haben. Wie man eine Katastrophe definiert, wird in den Unternehmen unterschiedlich gehandhabt. Finanzielle Verluste und Reputationsverluste sind z.b. gängige Mittel, um einen Vorfall zu klassifizieren. Vorfälle, die nicht das Ausmass einer Katastrophe errei- 4

5 4. IT Katastrophenvorsorge-Prozess chen, werden vom IT Störungsmanagement abgedeckt. Damit das Ziel der IT Katastrophenvorsorge erreicht werden kann, ist ein strukturiertes Vorgehen von grosser Wichtigkeit. Nachfolgend wird ein IT Katastrophenvorsorge- Prozess vorgestellt. Dieser Prozess ist an ITIL [6] und den BSI Standard [5] angelehnt. 4. IT Katastrophenvorsorge-Prozess Der Katastrophenvorsorge-Prozess beinhaltet folgende Punkte: Eine Leitlinie, in welcher die Ziele, der Umfang (Scope) und der Katastrophenvorsorge Prozess definiert werden. Eine Business Impact Analyse (BIA), in welcher die Auswirkung eines IT Serviceausfalls qualitativ und quantitativ beschrieben wird. Eine Risikoanalyse, in welcher die potentiellen Gefahren erkannt und eingeschätzt werden. Mit Hilfe der Business Impact Analyse und der Risikoanalyse wird eine umfassende IT Katastrophenvorsorge-Strategie erstellt. Das Bestimmen von Risikoreduktionsmethoden und Recovery-Optionen ist hierbei ein zentraler Punkt. Einen IT Katastrophen-Plan, welcher die Implementierung der Katastrophenvorsorge-Strategie beschreibt. Ausführliche Tests des aufgestellten Plans. Permanente Operationen, wie die Ausbildung des Personals, das Testen der IT Katastrophenvorsorge und das Veränderungsmanagement Der Katastrophenvorsorge-Prozess ist prinzipiell zyklisch. Die einzelnen Phasen müssen bei einer veränderten Geschäftslage (Geschäftsprozess, Risiken und Gefahren, etc.) wieder durchlaufen werden. In der Abbildung 2 auf Seite 6 ist der Prozess grafisch dargestellt. In den folgenden Abschnitten werden die einzelnen Phasen genauer betrachtet Initiierung Das primäre Ziel der IT Katastrophenvorsorge ist eine möglichst unterbruchsfreie Unterstützung der Geschäftsprozesse durch die IT Services zu gewährleisten. Um dieses Ziel zu erreichen, sollte die Leitungsebene als erstes die Verantwortung für die IT Katastrophenvorsorge übernehmen und die strategische Ausrichtung definieren. Die oberste Leitungsebene ist verantwortlich dafür, dass alle Geschäftsprozesse zielgerichtet und ordnungsgemäss funktionieren und dass Risiken erkannt, reduziert und die Auswirkungen bei Eintreten minimiert werden. (Zitat aus [5], Seite 15) In diesem Sinn ist die oberste Leitungsebene auch für die IT Katastrophenvorsorge verantwortlich. Sie 5

6 4. IT Katastrophenvorsorge-Prozess Abbildung 2: Katastrophenvorsorge-Prozess [6] [5] muss für genügend Ressourcen (Personal und Finanzen) sorgen, die Integration in allen Geschäftsbereichen überwachen und das Unternehmen bei der Umsetzung der IT Katastrophenvorsorge unterstützen. Die strategische Ausrichtung der IT Katastrophenvorsorge sollte in einer Leitlinie zusammengefasst werden. Die Leitlinie legt für die nachfolgenden Phasen den Rahmen fest. Zumindest die untenstehenden Punkte sollten beschrieben werden: Definition Eine kurze, klare Definition soll es erlauben, dass alle Mitarbeiter des Unternehmens wissen, was unter IT Katastrophenvorsorge zu verstehen ist. Stellenwert und Bedeutung In wenigen Sätzen soll der Stellenwert und die Bedeutung der IT Katastrophenvorsorge den Mitarbeitern dargelegt werden. Alle Mitarbeiter sollten den Sinn und Zweck der IT Katastrophenvorsorge kennen. Geltungsbereich Es sollte festgelegt werden, in welchen Organisationseinheiten und in welchen Bereichen die IT Katastrophenvorsorge angewandt wird. Unter anderem sollte eine Abgrenzung zum IT Störungsmanagement vorhanden sein. Ressourcenallokation Die Einrichtung einer effektiven IT Katastrophenvorsorge benötigt eine beachtliche Menge von Ressourcen. Sowohl genügend Finanzmittel wie auch Personal sind für eine Umsetzung notwendig. In der Leitlinie sollten die einsetzbaren Ressourcen skizziert werden. 6

7 4. IT Katastrophenvorsorge-Prozess Vorgehensmodell IT Katastrophenvorsorge kann sehr komplex werden und muss gut strukturiert sein. Deshalb wird nahegelegt, dass der Vorgang nach einem anerkannten Standard umgesetzt wird Planungsphase: Anforderungen und Strategie Nachdem in der ersten Phase die Rahmenbedingungen gelegt worden sind, wird in der Planungsphase im ersten Schritt eine Anforderungsanalyse erstellt, in welcher folgende zwei Punkte behandelt werden: Business Impact Analyse (betriebliche Auswirkungsanalyse) Abschätzung der Auswirkungen einer Katastrophe Risikoanalyse Identifikation der Risiken und Gefahren und Zuweisung von Eintrittswahrscheinlichkeiten Diese Anforderungsanalyse ist Input für den zweiten Planungsschritt, der Strategieausarbeitung. Die Strategie setzt die Risikoreduktions- und Wiederherstellungsoptionen (Recovery Optionen) fest Business Impact Analyse Um eine effektive IT Katastrophenvorsorge ausarbeiten zu können, werden die Auswirkungen von IT Service Störungen auf die Geschäftsprozesse des Unternehmens analysiert. Zu diesem Zweck wird eine sog. Business Impact Analyse durchgeführt. In der Business Impact Analyse wird nicht nach der Ursache einer Katastrophe, sondern nach den Konsequenzen gefragt. Das Ergebnis einer solchen Analyse ist eine priorisierte Liste von kritischen Geschäftsprozessen. Von dieser Liste abgeleitet wird die Wichtigkeit bzw. Kritikalität der IT Services und Ressourcen sowie die Verfügbarkeitsanforderungen bzw. die maximale Wiederanlaufzeit dieser Services und Ressourcen. [5] Folgend wird angelehnt an den BSI-Standard [5] ein mögliches Vorgehensmodell für die Business Impact Analyse dargestellt. Schritt 1: Geschäftsprozesse Im ersten Schritt sollten die Geschäftsprozesse bestimmt werden, welche im Rahmen der Katastrophenvorsorge liegen. Geschäftsprozesse, welche nicht im Gültigkeitsbereich liegen und Prozesse, die zu unkritisch für das Unternehmen sind, werden in diesem Schritt aussortiert. Von den restlichen Geschäftsprozessen sollte eine Dokumentation mit mindestens folgenden Informationen vorliegen: Name und kurze Beschreibung Prozess-Input und Prozess-Output (Material und Informationen) Verknüpfungen mit anderen Prozessen Prozessverantwortliche Person bzw. Ansprechpartner Sind die Geschäftsprozesse nicht dokumentiert, sollte dieser Schritt nach den gängigen Methoden durchgeführt werden (siehe z.b. [7], [9]). 7

8 4. IT Katastrophenvorsorge-Prozess Schritt 2: Kritikalitätsanalyse Die Kritikalitätsanalyse ordnet den Geschäftsprozessen ein Kritikalitätsmass zu. Unternehmenskritische Geschäftsprozesse erhalten ein hohes Kritikalitätsmass und nicht kritische Prozesse ein tiefes. Unter die kritischen Geschäftsprozesse fallen jene, bei welchen eine Störung oder ein Ausfall weitreichende Geschäftsauswirkungen haben. Die Kritikalitätsanalyse kann wie folgt durchgeführt werden: Festlegung der Kritikalitätskategorien und -kriterien Zuerst müssen Kategorien und Kriterien zur Bestimmung der Kritikalität gebildet werden. In der Praxis haben sich 4 Kategoriestufen bewährt: unkritisch Ausfall hat keine oder nur geringe Auswirkungen wenig kritisch Ausfall hat Auswirkungen kritisch Ausfall hat beträchtliche Auswirkungen hoch kritisch Ausfall oder Störungen führen zu existentiell bedrohlichen Auswirkungen Die Geschäftsauswirkungen können in harten Faktoren (finanzielle Schäden, zusätzliche Kosten) und/oder weichen Faktoren (Reputationsschaden, Verlust eines Marktvorteils) gemessen werden. Das Unternehmen hat nach seinen eigenen Vorstellungen festzulegen, welche Kriterien eingesetzt werden. Um die Kritikalitätskategorien voneinander abzugrenzen, werden anhand der festgelegten Kriterien Grenzen bestimmt. In der Tabelle 1 ist ein Beispiel aufgezeigt. Bewertungsperioden Da sich die Auswirkungen der IT Serviceausfälle auf die Geschäftstätigkeit je nach Dauer verändern können, wird der zeitliche Verlauf in der Kritikalitätsanalyse betrachtet. Hierfür werden Bewertungsperioden festgelegt. Die Anzahl und die Dauer dieser Perioden sollten den Gegebenheiten des Geschäfts angepasst werden. In der Praxis ist die Aufteilung in vier Bewertungsperioden verbreitet. Periode 1 8 Stunden Periode Stunden Periode Tage Periode Tage Kritikalitätsanalyse Nachdem alle Vorarbeiten abgeschlossen worden sind, kann nun zur eigentlichen Kritikalitätsanalyse übergegangen werden. Hierbei wird für jeden Geschäftsprozess die Auswirkung eines Ausfalls auf das Geschäft in den Bewertungsperioden anhand der festgesetzten Kritikalitätskategorien und -kriterien beurteilt. Zusätzlich wird auch eine maximal tolerierbare Ausfallzeit abgeschätzt. Die maximal tolerierbare Ausfallzeit bezeichnet den Zeitrahmen, in welchem der Prozess wieder anlaufen muss, damit das Geschäft nicht in eine lebensbedrohliche Situation gerät. In der Tabelle 2 ist ein Beispiel einer Kritikalitätsanalyse gegeben. 8

9 4. IT Katastrophenvorsorge-Prozess Kritikalitätskategorie unkritisch wirtschaftlicher Schaden keine Beeinträchtigung der Aufgabenerfüllung keine Verstoss gegen Gesetze keine Kritikalitätskategorie wenig kritisch wirtschaftlicher Schaden < Fr. Beeinträchtigung der Aufgabenerfüllung tolerierbar, keine wesentlichen Störungen Verstoss gegen Gesetze Verstösse mit geringen Konsequenzen Kritikalitätskategorie kritisch wirtschaftlicher Schaden Fr. - 1 Mio Fr. Beeinträchtigung der Aufgabenerfüllung nicht tolerierbar, verminderte Leistungsfähigkeit, erhebliche Störung Verstoss gegen Gesetze Verstösse mit tolerierbaren Konsequenzen Kritikalitätskategorie hoch kritisch wirtschaftlicher Schaden > 1 Mio Fr. Beeinträchtigung der Aufgabenerfüllung gravierende Störung, verzögerte und fehlerhafte Ergebnisse, grosse Minderung der Servicequalität Verstoss gegen Gesetze Verstoss mit Konsequenzen für den Geschäftsbetrieb und die Mitarbeiter Tabelle 1: Kritikalitätskategorien und -kriterien [5] Schritt 3: Priorisierung Die kritischen Geschäftsprozesse werden für die Katastrophenvorsorge priorisiert. Die Priorisierung wird anhand der Resultate der Kritikalitätsanalyse aufgestellt. Die Liste liefert einen guten Überblick über die zu betrachtenden Geschäftsprozesse und deren Wichtigkeit bzw. Kritikalität. Schritt 4: Erhebung der Ressourcen für den Normal- und Notbetrieb und Vererbung der Kritikalität Damit eine kohärente IT Katastrophenvorsorge erstellt werden kann, sollten die von den kritischen Geschäftsprozessen eingesetzten IT Services und Ressourcen identifiziert werden. Informationen bezüglich Kapazität im Normal- und gegebenenfalls Notbetrieb sollten erhoben werden. Die Kritikalität der IT Services und Ressourcen lässt sich von der Geschäftsprozesskritikalität ableiten. Beispiel: Wird ein IT Service in sehr kritischen Geschäftsprozessen eingesetzt, so hat auch dieser IT Service eine hohe Kritikalität Risikoanalyse Die Business Impact Analyse liefert Erkenntnisse über die Auswirkungen eines IT Serviceausfalls. Um eine geeignete Katastrophenvorsorge-Strategie entwickeln zu können, wird nun eine Risikoanalyse durchgeführt. Risiko bedeutet in diesem Kontext die Möglichkeit, dass eine Gefahr eine Katastrophe verursacht, deren Auswirkung die IT Services 9

10 4. IT Katastrophenvorsorge-Prozess Prozess: Geschäftsprozess A1 Bearbeiter und Ansprechpartner: Person AB und Person XY Datum: Maximal tolerierbarer Ausfall: 24 Stunden angestrebte Wiederanlaufzeit: 15 Stunden < 8 Std Std. 1-4 Tage 4-7 Tage wirtschaftlicher Schaden wenig kritisch kritisch hoch kritisch hoch kritisch Beeintr. der Aufgabenerfüllung wenig kritisch kritisch kritisch hoch kritisch Verstoss gegen Gesetze unkritisch unkritisch unkritisch unkritisch Tabelle 2: Kritikalitätsanalyse eines Geschäftsprozesses [5] beeinträchtigt oder lahmlegt. Die Risikoanalyse hat die Identifikation der Gefahren für die kritischen IT Services und die Zuordnung von Eintrittswahrscheinlichkeiten zu diesen Gefahren als Ziel. Bei einer Risikoanalyse muss beachtet werden, dass es nie gelingen wird, alle Gefahren zu identifizieren. Auch die Zuordnung der Eintrittswahrscheinlichkeiten beruht meistens auf sehr subjektiven, groben Schätzungen. Nichtsdestotrotz ist eine gut durchgeführte Risikoanalyse eine wichtige Komponente in der Katastrophenvorsorge. Es existieren viele unterschiedliche Risikoanalysemethoden (siehe z.b. [1], [8]). Angelehnt an den BSI-Standard [5] wird ein Vorgehen mit folgenden Schritten betrachtet: Risikoidentifikation Risikobewertung Risikosteuerung Risikoidentifikation Die Risiken und Gefahren, welche die IT Services beeinträchtigen können, müssen zuerst einmal ermittelt werden. Eine breite Palette von einsetzbaren Methoden ist vorhanden, wie z.b. die SWAT-Analyse (Strength, Weaknesses, Opportunities and Threats), Interviews, HAZOP (Hazard and Operability Study), Fehlerbaumanalysen und Brainstorming. Die Kombination der verschiedenen Methoden kann die Identifikation der Risiken und Gefahren merklich steigern. Ein mögliches Resultat einer Risikoidentifikation ist in Tabelle 3 zu sehen. Um den Aufwand der Risikoanalyse zu verkleinern, können IT Services und Ressourcen, die von den gleichen oder sehr ähnlichen Gefahren bedroht sind, zu einer Risikogruppe zusammengefasst werden. In der Tabelle 3 wurde z.b. die Risikogruppe IT Systeme und Netzwerke gebildet. Auch die Gefahren können in Szenarien zusammengefasst werden (z.b. Krankheiten und Terroristischer Akt ). In der Praxis hat sich gezeigt, dass das Erstellen von 5-15 Szenarien angebracht ist. Risikobewertung Im nächsten Schritt wird überprüft, welche Eintrittswahrscheinlichkeiten die identifizierten Gefahren oder Gefahrenszenarien aufweisen. Die Eintrittswahrscheinlichkeiten können in den meisten Fällen nur grob geschätzt werden, deshalb macht 10

11 4. IT Katastrophenvorsorge-Prozess Risiko Verlust von IT Systemen/Netzwerken Verlust von Daten Nichtverfügbarkeit von wichtigem Personal Gefahr Feuer Stromausfall Überschwemmung Flugzeugabsturz Blitzeinschlag Sabotage Terroristischer Akt Willentliche Zerstörung Denial of Service Attacke Technologie-Fehler (z.b. Kryptografie) Technologie-Fehler Menschlicher Fehler Virus, Würmer, bösartige Software Kündigungswelle Krankheits-Epidemie Transportprobleme Tabelle 3: Risikoidentifikation [6] es keinen Sinn, exakte Zahlenwerte zuzuordnen. Die Schätzung der Eintrittswahrscheinlichkeiten wird deshalb meist in einer 4-5 stufigen Skala (z.b. 1: niedrig, 2: mittel, 3: hoch, 4: sehr hoch) vorgenommen. Risikosteuerung Grundsätzlich können Risiken entweder übernommen, transferiert, vermieden oder reduziert werden. In diesem Schritt wird für alle IT Services und für alle Risiken die Behandlung der Risiken festgesetzt. Dieser Schritt bildet die Grundlage für die IT Katastrophenvorsorge Strategie. Es werden im folgenden Abschnitt die einzelnen Risikostrategien kurz erläutert: [5] Risikoübernahme Wenn das Risiko in einem akzeptablen Rahmen liegt, wird diese Option gewählt. Wenn es sich um Risiken mit geringer Eintrittswahrscheinlichkeit und geringem Schadenspotential handelt, wenn für die zugrunde liegenden Gefahren keine Gegenmassnahmen existieren oder die Gegenmassnahmen ein schlechtes Kosten-Nutzen Verhältnis aufweisen, werden die Risiken meist übernommen. Risikotransfer Das Risiko wird bei dieser Option auf ein anderes Unternehmen übertragen. Durch einen Abschluss einer Versicherung kann z.b. der finanzielle Schaden transferiert werden. Oder man kann durch Outsourcing des Geschäftsprozesses das Risiko auf einen Partner übertragen. Es ist aber zu beachten, dass Restrisiken, wie z.b. der Imageschaden, im eigenen Unternehmen verbleiben. Risikovermeidung Wenn das Risiko zu hoch ist, kann es auch eine valable Option sein, das Risiko ganz zu vermeiden. Entweder wird ein Geschäftsprozess so verändert, 11

12 4. IT Katastrophenvorsorge-Prozess dass die Eintrittswahrscheinlichkeit des Risikos null beträgt, oder dass es kein Schadenspotential gibt. Risikoreduktion Ein Mittelweg zwischen Risikoübernahme und Risikovermeidung bildet die Risikoreduktion. Das Risiko wird reduziert, indem entweder das Schadenspotential verkleinert oder die Eintrittswahrscheinlichkeit verringert wird. Diese Option wird am häufigsten gewählt. Eine Risikoprofil-Grafik, in welcher die Eintrittswahrscheinlichkeiten auf der einen Achse und die Stärke der Auswirkungen auf der anderen Achse abgetragen und die Gefahrenszenarien eingefügt werden, kann die Auswahl der einzusetzenden Risikooptionen erleichtern. In der Grafik kann auch noch der zeitliche Verlauf der Auswirkung dargestellt werden. In der Abbildung 3 ist ein Beispiel eines Risikoprofils gegeben. Die Höhe der kurzfristigen Auswirkungen ist abgetragen. Die roten Plus-Zeichen stellen die Stärke der Auswirkungszunahme im Verlauf der Zeit dar; je mehr Plus-Zeichen, desto schneller und stärker wachsen die Auswirkungen an. Abbildung 3: Risikoprofil [6] IT Katastrophenvorsorge Strategie Das Resultat der Business Impact Analyse und der Risikoanalyse erlaubt es nun, eine IT Katastrophenvorsorge Strategie zu entwickeln, in welcher die betrieblichen Anforderungen optimal abgedeckt werden. Es existieren viele unterschiedliche Strategiealternativen, 12

13 4. IT Katastrophenvorsorge-Prozess die sich vor allem im Umfang, in den Kosten, in der Wiederanlaufzeit und in der Zuverlässigkeit unterscheiden. Generell sind jedoch zwei Strategieoptionen zu unterscheiden: Risikoreduktion Risikoreduktionsoptionen vermindern das Risiko, dass die IT Services ausfallen. Diese Optionen werden präventiv angewandt. Wiederherstellung Die Wiederherstellungsoptionen vermindern den Schaden eines IT Service Ausfalls, indem eine schnelle Wiederherstellung der Dienste unterstützt wird. Diese Optionen werden nach einem Katastrophenereignis eingesetzt. Jeder IT Service, welcher die kritische Geschäftsprozesse unterstützt, kann entweder mit einer oder mit beiden Optionen abgesichert werden. IT Services, die bei einem Ausfall kurzfristig grosse Geschäftsauswirkungen aufweisen und eine kurze maximal tolerierbare Ausfallzeit haben, sollten mit präventiven Risikoreduktionsoptionen abgedeckt werden, während die Services mit geringen kurzfristigen Auswirkungen eher mit Wiederherstellungsoptionen ausgestattet werden sollten. Die beiden Optionsarten sind jedoch komplementär zueinander, weshalb viele Unternehmen sowohl Risikoreduktions- wie auch Wiederherstellungsoptionen im Einsatz haben. Nachfolgend werden einige typische Risikoreduktionsoptio- Risikoreduktionsoptionen nen aufgelistet: [6] Installation einer unterbrechungsfreien Stromversorgung (USV) zum Schutz vor Störungen im Stromnetz RAID Systeme und Festplattenspiegelung zur Datensicherung und für den unterbrechungsfreien Zugriff auf die Daten Eliminierung von single point of failures (SPoFs), wie zum Beispiel ein einzelner Netzzugangspunkt oder eine einzelne Stromversorgungsquelle für ein Gebäude. Physische Zugangskontrollen zu IT Systemen, z.b. biometrische Identifikationssysteme IT Netzwerksicherheitssysteme (z.b. Virenerkennung, Intrusion Detection, Firewall) Einsatz von Gefahren-Erkennungssystemen (z.b. Feuererkennung), gepaart mit Bekämpfungssystemen (z.b. Löschanlage) Umfassende Daten- und Systembackup-Strategie zum Schutz vor Datenverlust 13

14 4. IT Katastrophenvorsorge-Prozess Folgend werden einige typische Wiederherstellungsoptio- Wiederherstellungsoptionen nen aufgelistet: [6] Zurück zur manuellen Arbeit Für einige IT Services kann es Sinn machen, dass während einer Übergangszeit die IT Services durch manuelle Arbeit ersetzt werden. Z.B. kann der Service Desk eventuell eine gewisse Zeit ohne die Anrufsysteme arbeiten, indem Bleistift und Papier oder eine Tabellenkalkulation eingesetzt wird. Gegenseitige Absprachen Setzen zwei Unternehmen die gleichen IT Systeme ein, kann es Sinn machen, dass sie sich in einer Katastrophensituation gegenseitig aushelfen. Weil die meisten Unternehmen eine sehr hohe Verfügbarkeit erreichen und ausschliesslich eigene Rechenkraft einsetzen wollen, sind gegenseitige Absprachen weniger attraktiv als früher. Jedoch sind Absprachen zwischen Firmen für die offsite Speicherung von Backups noch heute verbreitet. Cold stand-by Bei dieser Option sind leere Geschäftsräume mit bereits installiertem Strom, lokalem Netzwerk und Telekommunikationsnetz vorhanden. In einem Katastrophenfall wird das Unternehmen diese Räume mit den eigenen IT Systemen ausrüsten und betreiben. Da die Räume im Katastrophenfall erst einmal mit der nötigen IT Umgebung ausgerüstet werden, ist diese Wiederherstellungsoption nicht für IT Services gedacht, die nur einige Stunden off-line sein dürfen. Es dauert meistens Tage-Wochen bis ein solcher Raum einsatzfähig gemacht werden kann. Diese Katastrophenräume können entweder der eigenen Firma gehören oder von einer anderen Institution gemietet werden. Entweder kann es sich um fixe Räume oder um mobile Einheiten handeln. Warm stand-by Wenn die IT Systeme im Katastrophenfall innerhalb von einigen Stunden einsatzfähig sein müssen, ist die Warm stand-by Option eine gute Alternative. Meistens werden bei dieser Option kommerzielle Einrichtungen eingesetzt, die von einem Dritt-Anbieter angemietet werden. Die Räume sind für den Betrieb von IT Systemen voll ausgerüstet; Computersysteme, Peripheriegeräte, Telekommunikationsnetze sind vorhanden. Je grösser die Ausrüstung desto teurer wird die Miete ausfallen. Die Einrichtungen werden meistens gleichzeitig von mehreren Firmen gemietet, die sich dann so die Kosten teilen. Im Katastrophenfall kann das Unternehmen sofort die gemietete Einrichtung einsetzten. Die Einrichtung muss jedoch noch für den Einsatz konfiguriert und die Applikationen und Systeme müssen von Backups des Unternehmens hergestellt werden. Auch diese Variante kann entweder an einem fixen Standort sein oder als mobile Variante angemietet werden. Schnelle Wiederherstellung, hot stand-by Diese Alternative bietet eine schnelle Wiederherstellung der IT Services und wird teilweise als Erweiterung der warm standby Option von einigen Dritt-Unternehmen angeboten. Bei dieser Option werden 14

15 4. IT Katastrophenvorsorge-Prozess Einrichtungen angemietet, die für den Betrieb von IT Systemen voll ausgerüstet sind. Zusätzlich sind die eigenen Applikationen und Kommunikationssysteme schon verfügbar und die Daten werden vom operativen System gespiegelt. Falls bei einer Katastrophe die operativen Systeme nicht mehr einsetzbar sind, wird auf die hot stand-by Einrichtung gewechselt. Der Unterbruch der IT Services ist so relativ kurz (< 12 Stunden). Unverzügliche Wiederherstellung Diese Option, auch als mirroring, load balancing bekannt, wird eingesetzt, wenn die IT Systeme überhaupt nicht unterbrochen werden sollten. Für kritische Geschäftprozesse wird innerhalb des eigenen Unternehmens ein Katastrophen-Rechenzentrum bereitgestellt, das sich nicht am selben Ort wie die normalen operationellen Systeme befindet. Es steht an beiden Orten genügend IT Ausrüstung zur Verfügung, sodass bei einem Ausfall eines Standortes der andere den Dienst weiterführen kann und in der Zwischenzeit das ausgefallene Rechenzentrum mithilfe des anderen wieder on-line gebracht werden kann. Diese Variant ist zwar teuer, aber für geschäftskritische IT Services durchaus zu rechtfertigen. Sicherheitstechnisch ist diese Option der hot stand-by Variante vorzuziehen, da sich die Daten nicht bei einem Dritt-Anbieter befinden, sondern im eigenen Unternehmen bleiben. Wie schon angesprochen, müssen die zwei Rechenzentren auch physisch getrennt voneinander aufgebaut werden, sodass die Wahrscheinlichkeit, dass beide Rechenzentren von der gleichen Katastrophe betoffen sind, klein gehalten werden kann. Das zweite Rechenzentrum, welches für die Katastrophenvorsorge aufgebaut wird, muss nicht unbedingt brach liegen. Es kann zusammen mit dem anderen Rechenzentrum auch zur Steigerung der Kapazität eingesetzt werden. Es muss in diesem Fall sichergestellt werden, dass bei einem Ausfall eines Rechenzentrums, das andere alleine mit genügend Leistung weiterarbeiten kann. Die verschiedenen IT Services haben unterschiedliche Anforderungen bezüglich der Katastrophenvorsorge und benötigen deshalb unterschiedliche Risikoreduktion- und Wiederherstellungsoptionen. Die Kosten, welche die einzusetzenden Massnahmen generieren, sollten aber immer gegenüber dem Nutzen abgewogen werden. Je länger ein System ausfallen darf, desto günstiger sind die einzusetzenden Optionen. Welche IT Services mit welchen Optionen abgesichert werden, sollte anhand der gesammelten Information (Leitlinie, Business Impact Analyse, Risikoanalyse) bestimmt werden können Implementierung der Strategie Nachdem die Strategie festgelegt wurde, wird ein IT Katastrophenplan erstellt. Dieser Plan beinhaltet detaillierte Informationen über die eingesetzten Risikoreduktions- und Wiederherstellungsoptionen. Der Plan sollte nicht nur die eingesetzten Alternativen beschreiben, sondern auch auf die Frage, wieso diese eingesetzt werden, antworten können. Die Resultate der vorherigen Schritte - Business Impact Analyse, Risikoanalyse und Risikoprofil - sollten deshalb auch im Plan vorhanden sein. 15

16 4. IT Katastrophenvorsorge-Prozess Damit im Katastrophenfall die Wiederherstellung der Systeme effizient abgewickelt werden kann, hat sich die Erstellung einer Checkliste bewährt. Die Checkliste umfasst und beschreibt alle Aktionen, die bei der Wiederherstellung der IT Services durchgeführt werden. Das involvierte Personal muss natürlich auch eingeplant werden. Die Aufbau- und Ablauforganisation während einer Katastrophe werden in dieser Arbeit jedoch nicht behandelt. In der Business Continuity Management oder Notfallmanagement Literatur (siehe [5], [6]) werden sowohl Aufbau- wie auch Ablauforganisation detailliert betrachtet Hersteller von Katastrophenvorsorge-Lösungen Welche Lösungen von welchen Herstellern nun konkret implementiert werden, hängt sehr stark von den Anforderungen und Präferenzen der Unternehmen ab. Nachfolgend werden einige Hersteller von Risikoreduktions- und Wiederherstellungsoptionen aufgeführt. Auf eine detaillierte Beschreibung der Produkte und einen Vergleich der Anbieter wird verzichtet. Contrafeu (http://www.contrafeu.ch/) Brandschutz und -löschangebote (z.b. Trockenlöschung) CTA Energy Systems (http://www.usv.ch/) USV-Anlagen, Kommunikationssoftware, Stromverteil- und Überwachungssysteme Doubletake Software (http://de.doubletake.com/) Datenschutzlösungen mit hoher Verfügbarkeit und zentralem Backup. Marathon - everrun F T (http://www.marathontechnologies.com/) Fehlertolerante, Hochverfügbarkeits-Software für die Server Virtualisierung Microsoft System Center Data Protection Manager (http://www.microsoft.com/ systemcenter/dpm/default.mspx) Datenschutz und Recovery Lösung Neverfail (http://www.neverfailgroup.com/) Hochverfügbarkeits-, Disaster Recoveryund Datenschutzlösungen CA XOsoft (http://www.xosoft.com/) Disaster Recovery und Business Continuity Softwarelösungen Siemens - Zugangskontrollsysteme (http://www.siemens.com/) Sicherheits-Lösungen, z.b. auch biometrische Zugangskontrollsysteme Symantec Backup (http://www.symantec.com/business/products/overview.jsp? pcid=2244&pvid=57_1) Datenschutzlösung für Windows Servers Sun Solaris Cluster (http://www.sun.com/software/solaris/cluster/) Disaster Recovery Lösung VMWare ESX-Server 3 (http://www.vmware.com/) Virtualisierungslösungen 16

17 4. IT Katastrophenvorsorge-Prozess Katastrophenauslösung Der Katastrophenplan definiert in klarer Weise den Ablauf im Katastrophenfall. Das Ausführen dieses Planes hat diverse z.t. hohe Kosten und eventuell einen Unterbruch des Geschäftsganges zur Folge. Deshalb muss geregelt werden, in welchen Situationen und von welchen Personen eine Katastrophe ausgerufen werden darf. Die Bereichsleiter oder die Geschäftsleitung sind meistens für die Katastrophenauslösung verantwortlich. Die Entscheidung, ob es sich um eine Katastrophe handelt, beruht auf den vom Vorfall bereits gesammelten Informationen. Da ein Vorfall an einem beliebigen Zeitpunkt stattfinden kann, sollte ein Alarm- und Meldekonzept aufgestellt werden, sodass die entscheidungsbefugten Personen die Informationen auch zeitgerecht erhalten. Der Katastrophenauslösungs-Entscheidungsprozess muss häufig sehr kurz sein, da sich die Auswirkungen einer Katastrophe bei Verzögerungen verstärken können. In einigen Fällen ist die Katastrophenauslösung einfach zu treffen, z.b. bei einem grossen Brand im Rechenzentrum, in anderen Fällen, wie z.b. bei einem Stromunterbruch oder einem Hardwarefehler, müssen Zeitlimiten gesetzt werden, in welchen das Problem (vom Störungsmanagement) gelöst werden kann, ohne dass der Katastrophenplan durchgeführt wird. Ist die Zeit abgelaufen und das Problem besteht weiterhin, tritt der Katastrophenplan in Aktion. Folgende Informationen sollten bei der Auslösung einer Katastrophe einbezogen werden.[6] Ausmass des Schadens und Umfang der potentiellen Katastrophenauslösung (betrifft es das gesamte Unternehmen oder nur Teilbereiche) Geschätzte Ausfallzeit der Geschäftsbereiche und (IT) Services Geschätzte betriebliche Auswirkungen Die Katastrophenauslösung sollte klar strukturiert und dokumentiert sein, sodass die Entscheidungsträger im Katastrophenfall schnell die richtigen Entscheidungen treffen können Tests Die Praxis hat gezeigt, dass das Testen der eingesetzten Katastrophenvorsorge ein integraler Bestandteil sein muss. Nicht getestete Massnahmen funktionieren meist nicht wie vorgesehen oder überhaupt nicht. Die Tests überprüfen, ob die IT Services in einem (simulierten) Katastrophenfall wie gewünscht weiterlaufen oder innerhalb der festgesetzten Wiederanlaufzeit mit der gewünschten Performance on-line sind. Es gibt angelehnt an ITIL [6] folgende vier Testversionen: Walk-through oder Schreibtischtests In dieser Test-Variante gehen alle involvierten Personen zusammen den Katastrophenplan Schritt für Schritt durch und überprüfen diesen auf die Korrektheit. 17

18 4. IT Katastrophenvorsorge-Prozess Vollständiger Test Regelmässig (mindestens einmal pro Jahr) sollte ein vollständiger Test des Katastrophenplans durchgeführt werden. Hierbei werden die in der Katastrophenvorsorge behandelten Ausfälle der IT Services simuliert und die nötigen Wiederherstellungsschritte gemäss Plan durchgeführt. Falls nötig sollten auch die in der Katastrophenvorsorge einbezogenen Dritt-Anbieter involviert werden. Der Ablauf der simulierten Katastrophe wird von einem Beobachter detailliert protokolliert, sodass das Unternehmen die nötigen Erkenntnisse gewinnen kann. Die Tests können entweder angekündigt oder unangekündigt erfolgen. Partielle Tests Ein Teil des Katastrophenplanes wird in partiellen Tests validiert. Zum Beispiel kann der Ausfall eines einzelnen Servers anstatt des gesamten Rechenzentrums simuliert werden. Die partiellen Tests sind zusätzlich zu den vollständigen Tests einzusetzen. Vor allem bei System- oder Prozessänderungen sind partielle Tests angebracht. Szenario Tests In Szenario Tests können Reaktionen auf bestimmte Situationen getestet werden. Zum Beispiel könnte ein Brand in einem Rechenzentrum als Szenario simuliert werden. Die Tests, so umfangreich sie auch sein mögen, können nie alle Aspekte einer Katastrophe umfassen. Doch sollten die wahrscheinlichsten Szenarien getestet werden, damit man auf diese besonders gut vorbereitet ist. Jeder Test sollte mit klaren Zielsetzungen durchgeführt werden, z.b. die Service-Unterbruchszeit muss kleiner als x Stunden sein. Die Erkenntnisse aus der Testanalyse fliessen in die Überarbeitung des Katastrophenplans ein Permanente Aufrechterhaltung der IT Katastrophenvorsorge Die Katastrophenvorsorge ist nach den initialen Tests nicht abgeschlossen. Das gesamte Konzept muss von Zeit zu Zeit den Veränderungen des Unternehmens und der Umwelt angepasst werden. So verändern sich zum Beispiel die Gefahren und die Geschäftsprozesse, somit auch die IT Services im Verlauf der Zeit. In der folgenden Auflistung sind die wichtigsten Punkte, die permanent ausgeführt werden sollten, dargestellt: [6] Ausbildung des Personals Die involvierten Mitarbeiter müssen von Zeit zu Zeit geschult werden, damit sie über das nötige Katastrophenvorsorge-Wissen verfügen. Tests Initiale Tests sind nicht genug. Regelmässige Tests versichern, dass der Katastrophenplan vollständig und up-to-date ist. Vor allem nach grösseren Veränderungen innerhalb des Unternehmens oder des unternehmerischen Umfeldes sollten Tests angeordnet werden. Permanente Anpassung und Verbesserungen Veränderungen gehören in den meisten Unternehmen zur Tagesordnung. Die Katastrophenvorsorge muss sich deshalb den veränderten Bedingungen anpassen. Aber nicht nur Anpassungen sind wichtig, sondern auch bestehende Teile sollten von Zeit zu Zeit auf ihre Güte überprüft 18

19 5. Herausforderungen und Risiken in der Katastrophenvorsorge werden. Nur ein aktueller und getesteter Katastrophenplan wird bei Eintreten eines katastrophalen Ereignisses zum erwünschten Ergebnis führen. 5. Herausforderungen und Risiken in der Katastrophenvorsorge Die IT Katastrophenvorsorge ist ein wichtiger Teil der umfassenden Katastrophenvorsorge, welche auch non-it Bereiche abdeckt. Meistens findet die Katastrophenvorsorge ihren Anfang in der IT Abteilung. Doch es darf nicht sein, dass die Katastrophenvorsorge nur eine IT Aufgabe bleibt, da es sonst sehr wahrscheinlich ist, dass falsche Annahmen über die Wichtigkeit der Geschäftsprozesse erstellt werden, und somit die gesamt (IT) Katastrophenvorsorge auf einer falschen Strategie beruht. Eine grosse Herausforderung ist die Beschaffung der Informationen. Wie im Katastrophenvorsorgeprozess dargelegt, müssen für die Business Impact Analyse und für die Risikoanalyse diverse Informationen vorliegen, damit eine erfolgreiche Katastrophenvorsorge Strategie aufgestellt werden kann. Sowohl bei der Beschaffung der Geschäftsprozessdaten wie auch bei der Einschätzung der Kritikalität, beim Bestimmen der Gefahren und bei der Zuordnung von Eintrittswahrscheinlichkeiten zu den Gefahren ist ein umfassendes Wissen notwendig. Das Auftreiben der Informationen, die zu diesem Wissen führen, ist eine grosse Herausforderung. Folgende Hauptrisiken bestehen in der Katastrophenvorsorge: Mangelnde Unterstützung der Katastrophenvorsorge, was häufig zu Ressourcenmangel (Personen und Geld) führt Prioritäten der Geschäftsprozesse werden zu wenig berücksichtigt, was zu einer falschen Ausrichtung führt Risiken und Gefahren werden falsch eingeschätzt Auswirkungen eines IT Serviceausfalls werden falsch beurteilt Katastrophenvorsorge wird nicht up-to-date gehalten Tests werden nicht oder nur ungenügend durchgeführt 5.1. Schlusswort Viele Hersteller bieten erstklassige Hard- und Softwarelösungen zur Katastrophenvorsorge an. Die Techniken für eine effiziente Vorsorge sind vorhanden, aber der Einsatz dieser Lösungen sollte gut geplant und den spezifischen unternehmerischen Anforderungen angepasst sein. Ein strukturiertes Vorgehen ist deshalb für die IT wie auch für die non-it Katastrophenvorsorge Pflicht. 19

20 Teil II. Praxis 6. Einleitung 6. Einleitung Frédéric Gauderon und ich hatten die Möglichkeit, die praktische Umsetzung unserer Themengebiete bei der Charles Vögele Gruppe und der Coop Gruppe zu begutachten. Wir möchten uns an dieser Stelle bei den Herren Christian Böhner (Leiter IT Beschaffung/Controlling, Coop), Heinrich Kählin (Leiter Informatik Konzern, Charles Vögele Trading AG) und Kurt Uhlmann (Leiter Informatik Strategie/Architektur, Coop) herzlich für die sehr interessanten, aufschlussreichen und offenen Diskussionen bedanken. In den folgenden Abschnitten werden die zwei Unternehmen kurz vorgestellt. Danach wird auf die IT Katastrophenvorsorge eingegangen Charles Vögele Gruppe Die Charles Vögele Gruppe wurde 1955 gegründet und ist im Schweizer Markt das grösste Einzelhandelsunternehmen für modisch, aktuelle Bekleidung. Die Gruppe betreibt in Deutschland (seit 1984), Österreich (seit 1994), Niederlande, Belgien und einigen osteuropäischen Staaten eigene Filialen. Der Nettoumsatz betrug im letzten Jahr 1394 Mio. Franken. Der als Aktiengesellschaft geführte Konzern beschäftigt 7800 Mitarbeiter, wovon in der IT Abteilung angestellt sind. Die IT Abteilung ist zentral im Hauptsitz Pfäffikon (Schwyz) angesiedelt. Zusammengezählt verursachen die IT Dienstleistungen Kosten in der Höhe von 1.5% des Nettoumsatzes (absolut: 20.9 Mio Fr.), wobei die Telekommunikationskosten in diesen Zahlen schon inbegriffen sind. IT als Dienstleister Die IT ist generell ein Dienstleister und nur für Infrastrukturprojekte verantwortlich. Hat ein Prozessverantwortlicher einer Linie Bedürfnisse, welche auch die IT betreffen, kann dieser mit seinen Wünschen und Vorstellungen zur IT gehen. Zusammen wird dann eine Lösung erarbeitet. Standardisierung und zentrale Datenhaltung Vögele setzt konsequent auf Standardlösungen und auf eine Zentralisierung der IT. Mit diesen Prinzipien könne man die Kosten tief halten und mit relativ wenig Angestellten die gesamte Konzern-IT betreiben. Hauptapplikationen Es werden 4 Hauptapplikationen eingesetzt. Zentral ist das eigenentwickelte Textilpaket für den Textilhandel (Bestellung erfassen, Verteilung der Ware, Bestandesmanagement). Dieses System ist sehr ausgereift und bewältigt ohne Probleme die 65 Millionen Käufe- und Verkäufe pro Jahr. An dieses System angebunden sind drei Standardsysteme: ein Finanzsystem, ein Data Warehouse und ein Point-of-Sales System 20

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

(IT-) Notfallmanagement gemäß BSI-Standard 100-4 und ISO 22301

(IT-) Notfallmanagement gemäß BSI-Standard 100-4 und ISO 22301 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 und ISO 22301 Smart Compliance Solutions Notfallmanagement Notfälle bei unseren Kunden: Gleichzeitiger Ausfall von redundanten Klimaanlagen (Stadtwerke)

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Themengruppe: IT Service Management - Praxis

Themengruppe: IT Service Management - Praxis Themengruppe: IT Service Management - Praxis Die 11 wichtigsten Risiken beim Multivendor-Sourcing Version 1.6 (25.02.2014) Fritz Kleiner, Futureways GmbH, fritz.kleiner@futureways.ch Leiter der swissict

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

IT Service Management - Praxis

IT Service Management - Praxis IT Service Management - Praxis Die 11 wichtigsten Risiken beim Multivendor-Sourcing Version 1.5 (05.11.2013) Fritz Kleiner, Futureways GmbH, fritz.kleiner@futureways.ch Leiter der Themengruppe: IT Service

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

(IT-) Notfallmanagement Ein Notfall wird mir schon nicht passieren.

(IT-) Notfallmanagement Ein Notfall wird mir schon nicht passieren. (IT-) Notfallmanagement Ein Notfall wird mir schon nicht passieren. Smart Compliance Solutions Notfallmanagement Notfälle bei unseren Kunden: Gleichzeitiger Ausfall von redundanten Klimaanlagen (Stadtwerke)

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren Methodik für, und von Ausfallrechenzentren Das Lebenszyklus-Modell der Networkers AG Inf.-sw. Christoph Haas Senior Consultant 30.09.2010 I Networkers AG I Seite 1 Vorgehen mit Methode Wieso, weshalb,

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

BSI-Standard 100-4 Notfallmanagement

BSI-Standard 100-4 Notfallmanagement BSI-Standard 100-4 Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik Notfallmanagement Einführung & Überblick Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Tag Bremen / 13.06.2012 Sind Ihre Informationen sicher? Beispiel wichtiger

Mehr

Sandra Klinkenberg. SILPION SolutionCamp in Hamburg am Freitag den, 13.09.2013

Sandra Klinkenberg. SILPION SolutionCamp in Hamburg am Freitag den, 13.09.2013 Sandra Klinkenberg SILPION SolutionCamp in Hamburg am Freitag den, 13.09.2013 Notfallmanagement Was ist ein Notfall? Unerwartete Situation Zeit und prozesskritisch > verlassen des normalen Arbeitsablaufes

Mehr

Klein Computer System AG. Portrait

Klein Computer System AG. Portrait Klein Computer System AG Portrait Die Klein Computer System AG wurde 1986 durch Wolfgang Klein mit Sitz in Dübendorf gegründet. Die Geschäftstätigkeiten haben sich über die Jahre stark verändert und wurden

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Risikomanagement. 1 Gründe, warum Projekte fehlschlagen. 2 Risiken

Risikomanagement. 1 Gründe, warum Projekte fehlschlagen. 2 Risiken Risikomanagement 1 Gründe, warum Projekte fehlschlagen Projektergebnis wird nicht mehr benötigt Zeitrahmen des Projektes wurde überschritten Projektkosten übersteigen die Planung Nicht vorhersehbare technische

Mehr

MIS Service Portfolio

MIS Service Portfolio MIS Service Portfolio Service Level Management o Service Management o Customer Satisfaction Management o Contract Management & Accounting o Risk Management Event Management o Monitoring und Alerting Services

Mehr

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation tekom RG Baden am 23.05.2012 dokuit Manuela Reiss Mai 2012 1 Manuela Reiss Studium der Geographie Seit fast 20 Jahren Erfahrungen als Beraterin

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme

2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme 2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme Seite 27 Der Risikomanagement-Prozess Im Vorfeld: (Erst-)Definition

Mehr

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Wesentliche Änderungen Anwendung der High Level Structure 10 Kapitel Verstärkte Anforderungen an die oberste

Mehr

Incident Management Anatolij Ristok, AI 7 Aktuelle Themen der Informatik Übersicht Einführung Incident Management Process, Incident Lifecycle n-level Support Dokumentation Klassifizierung Priorisierung

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Enterprise Risikomanagement nach ISO 31000 MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Basis des operativen Risikomanagement Was ist unter dem Begriff Risiko zu verstehen? GEFAHR? Begutachtung

Mehr

Design und Realisierung von E-Business- und Internet-Anwendungen! " # $ %& # ' ( ( )

Design und Realisierung von E-Business- und Internet-Anwendungen!  # $ %& # ' ( ( ) Design und Realisierung von E-Business- und Internet-Anwendungen! " # $ %& # ' ( ( ) Seite 2 Agenda. Was haben wir letzte Woche gemacht? Die IT Infrastructure Library (ITIL) Die Prozesse des Service Support

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Risikomanagement: Aufgabensammlung I

Risikomanagement: Aufgabensammlung I Thema Dokumentart Risikomanagement: Aufgabensammlung I Lösungen Theorie im Buch "Integrale Betriebswirtschaftslehre" Teil: E2 Risikomanagement Risikomanagement: Aufgabensammlung I Aufgabe 1 1.1 Definieren

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

IT-Risikomanagement Auf die Schwachstellen kommt es an! Michael Haack 11. Februar 2008

IT-Risikomanagement Auf die Schwachstellen kommt es an! Michael Haack 11. Februar 2008 Auf die Schwachstellen kommt es an! 11. Februar 2008 Was ist Risikomanagement? Gefahr, dass Ziele nicht erreicht werden können Im Alltag Gesundheit Finanzielle Sicherheit Familie Beispiele für Maßnahmen

Mehr

Risk Management für Unternehmen

Risk Management für Unternehmen Risk Management für Unternehmen Überlassen Sie nichts dem Zufall RM- Risk Management für Unternehmen methodisch vorgehen Dem Risk Management (RM) liegt ein dauernder, sich stets verändernder Prozess im

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08 Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer

Mehr

Das Configuration Management im Oracle-Datenbank-Umfeld

Das Configuration Management im Oracle-Datenbank-Umfeld Das Configuration Management im Oracle-Datenbank-Umfeld Reiner Wolf Senior Consultant Reiner.Wolf@trivadis.com 08.09.2009 DOAG, Köln Basel Baden Bern Lausanne Zurich Düsseldorf Frankfurt/M. Freiburg i.

Mehr

sedex-client Varianten für den Betrieb in einer hoch verfügbaren

sedex-client Varianten für den Betrieb in einer hoch verfügbaren Département fédéral de l'intérieur DFI Office fédéral de la statistique OFS Division Registres Team sedex 29.07.2014, version 1.0 sedex-client Varianten für den Betrieb in einer hoch verfügbaren Umgebung

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen Erfolg des Risk- und Notfall-Managements in Ihrem Unternehmen 1 Inhalt Das Zusammenspiel zwischen externem Partner und internen Funktionen Notfallhandbuch von der Stange oder doch als Maßanfertigung Ansätze

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 Agenda 1. IT-Notfall üben macht stark! 2. Übungen im Kontext des Notfallmanagements 3. Praxisbeispiel einer Notfallübung 4. Erkenntnisse aus

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Informationssystemanalyse Software Risk Evaluation 7 1

Informationssystemanalyse Software Risk Evaluation 7 1 Informationssystemanalyse Software Risk Evaluation 7 1 Software Risk Evaluation Um Risiken bei Software-Projekten abzuschätzen und ihnen zu begegnen, wurde am SEI die Software Risk Evaluation-Methode entwickelt.

Mehr

Im REWE-Sortiment: Notfallplanung nach ISO 27001 als Business Garant

Im REWE-Sortiment: Notfallplanung nach ISO 27001 als Business Garant Im REWE-Sortiment: Notfallplanung nach ISO 27001 als Business Garant Vom Einkauf bis zum Vertrieb Christoph Wenin Christoph Wenin CISO und Datenschutzbeauftragter Leiter IT-Governance & Security Seit 2004

Mehr

IDR - Integrative Disaster Recovery Neue Wege zur DR Planung ein Praxisbeispiel

IDR - Integrative Disaster Recovery Neue Wege zur DR Planung ein Praxisbeispiel Hier Kundenlogo einfügen NICHT SVA-Logo IDR - Integrative Disaster Recovery Neue Wege zur DR Planung ein Praxisbeispiel IT Desaster Recovery Sind Ihre Daten klassifiziert und ist die Wiederherstellung

Mehr

INFORMATIK-BESCHAFFUNG

INFORMATIK-BESCHAFFUNG Leistungsübersicht Von Anbietern unabhängige Entscheidungsgrundlagen Optimale Evaluationen und langfristige Investitionen Minimierte technische und finanzielle Risiken Effiziente und zielgerichtete Beschaffungen

Mehr

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015 www.dvgw-regelwerk.de Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015 Sicherheit in der Gasversorgung; Risikomanagement von gastechnischen Infrastrukturen im Normalbetrieb Security of Gas Supply;

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Hochverfügbarkeit von TransConnect 2.2

Hochverfügbarkeit von TransConnect 2.2 Hochverfügbarkeit von TransConnect 2.2 und Ausblick Torsten Uhr - SQL Projekt AG Stand September 2012 Inhalt Teil 1 Backup & Restore Virtualisierung Hot-Standby / Fail-Over Teil 2 Ausblick auf zukünftige

Mehr

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen

Mehr

BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s!

BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! MEET SWISS INFOSEC! 27.01.2016 BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s! Reinhard Obermüller, lic. iur., emba, Managing Consultant Strom die Primärenergie http://www.patriotnetdaily.com/wp-content/uploads/2014/10/2003-northeast-blackout1.jpg

Mehr

BS 25999 Standard für Business Continuity Management

BS 25999 Standard für Business Continuity Management BS 25999 Standard für Business Continuity Management Dipl.-Ing. Tobias Timmler consequa GmbH Unternehmensstandort Hamburg gegründet 1.4. 2005 langjährige Beratungserfahrungen Business Continuity Information

Mehr

Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl

Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl AGENDA Business Continuity Management System Regulatorische / gesetzliche Anforderungen Projektvorgehen

Mehr

QI SERVICES. QI RISK.

QI SERVICES. QI RISK. QI SERVICES. QI RISK. 3/7/2014 1 Agenda QI Services Qi Risk Rechtliches Umfeld QI Risk Audit Auf einen Blick Ihr Nutzen Risk Scan 3/7/2014 2 QI Services Mit der Produktgruppe QI Services unterstützen wir

Mehr

Sicherheit von Serverräumen 06210. 1 Sicherheit von Serverräumen

Sicherheit von Serverräumen 06210. 1 Sicherheit von Serverräumen Seite 1 Sicherheit von Serverräumen Infrastruktur muss stimmen Telefonanlage gehört zur IT! 1 Sicherheit von Serverräumen Zum Inhalt: Eine umfassende Absicherung der Infrastruktur, die IT beherbergt, ist

Mehr

Betriebssicherheit Informatik

Betriebssicherheit Informatik Betriebssicherheit Informatik Gefahren und mögliche Massnahmen zum sicheren Betrieb von Informatiksystemen Zu meiner Person Roland Abderhalden Geschäftsführer der Cadwork Holz AG Holzbautechniker TS Wirtschaftsinformatiker

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept

Mehr

Professionelles Projektmanagement in der Praxis

Professionelles Projektmanagement in der Praxis Professionelles Projektmanagement in der Praxis Veranstaltung 3 Teil 3 (23.05.2005): Projektrisikomanagement SS 2005 1 Agenda Alle Projekte beinhalten Risiken Definition des Risikobegriffes Kategorien

Mehr

Disaster Recovery Strategien < 48 Std.

Disaster Recovery Strategien < 48 Std. Disaster Recovery Strategien < 48 Std. Marcus Meier Engagement Principal, Business Continuity Services 2004 Hewlett-Packard Deutschland GmbH. The information contained herein is subject to change without

Mehr

Supply Risk Managements

Supply Risk Managements Frühwarnsysteme als Bestandteil eines effektiven Supply Risk Managements Dr. Andreas Wels BME-/IHK-Forum Risikomanagement im Einkauf, Chemnitz, 25ster September 2008 Dr. Andreas Wels Frühwarnsysteme als

Mehr

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE von Maja Pavlek 1 GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE EIN INTEGRIERTER ANSATZ Die TIBERIUM AG ist ein Beratungsunternehmen,

Mehr

Checklisten Kleine und mittlere Unternehmen

Checklisten Kleine und mittlere Unternehmen Eidgenössisches Departement für Wirtschaft, Bildung und Forschung WBF Bundesamt für wirtschaftliche Landesversorgung BWL Checklisten Kleine und mittlere Unternehmen Diese Checklisten sollen Sie bei Ihren

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Netz16 GmbH Managed Service / Cloud Solutions www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Vorstellung Netz16 Eckdaten unseres Unternehmens Personal 80 60 40 20 0 2010 2011 2012 2013

Mehr

Kochbuch für eine Business Impact Analyse. von bcm-news.de

Kochbuch für eine Business Impact Analyse. von bcm-news.de Kochbuch für eine Business Impact Analyse von bcm-news.de Phasen zur Durchführung einer Business Impact Analyse Scope und Konzeption Erhebung Analyse und Entscheidung Festlegung des Umfangs der BIA Konzeption

Mehr

Thema: Risikomanagement

Thema: Risikomanagement 1.1. Risikomanagement Eine der elementarsten Anforderungen an die Projektplanung ist, durch zielgerichtete Planung mögliche Risiken, die den Projekterfolg in Frage stellen, zu identifizieren und präventiv

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

HERZLICH WILLKOMMEN 26.06.2013. Risikomanagement für KMU Grundlagen und konkrete Beispiele. Warum Risikomanagement?

HERZLICH WILLKOMMEN 26.06.2013. Risikomanagement für KMU Grundlagen und konkrete Beispiele. Warum Risikomanagement? HERZLICH WILLKOMMEN Grundlagen und konkrete Beispiele Warum Risikomanagement 1. Risiken frühzeitig erfassen, erkennen, abschätzen. geeignete Vorsorge- und Sicherungsmaßnahmen einleiten. Balance zwischen

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Business Continuity Management (BCM) für Versicherungsunternehmen. Schweiz Mindeststandards und Empfehlungen

Business Continuity Management (BCM) für Versicherungsunternehmen. Schweiz Mindeststandards und Empfehlungen Business Continuity Management (BCM) für Versicherungsunternehmen in der Schweiz Mindeststandards und Empfehlungen Juni 2015 2 Impressum Empfänger Alle von der Finma beaufsichtigten Versicherungsunternehmen

Mehr

Business Process Improvement. Schrittweise Optimierung von Geschäftsprozessen Alfred Bertschinger

Business Process Improvement. Schrittweise Optimierung von Geschäftsprozessen Alfred Bertschinger Business Process Improvement Schrittweise Optimierung von Geschäftsprozessen Alfred Bertschinger Situation Die Informatik unterstützt eine Vielzahl von Geschäftsprozessen Die bestehenden Technologien sind

Mehr

Business Continuity Management (BCM) für Versicherungsunternehmen. der Schweiz Mindeststandards und Empfehlungen

Business Continuity Management (BCM) für Versicherungsunternehmen. der Schweiz Mindeststandards und Empfehlungen Business Continuity Management (BCM) für Versicherungsunternehmen in der Schweiz Mindeststandards und Empfehlungen Juni 2015 2 Impressum Empfänger: Alle von der Finma beaufsichtigten Versicherungsunternehmen

Mehr

ONLINE BACKUP STORAGE REGIONALES DATENBACKUP MIT BIS ZU 100 TB SPEICHERPLATZ. Irgendwo Speicherplatz mieten ist kein Problem.

ONLINE BACKUP STORAGE REGIONALES DATENBACKUP MIT BIS ZU 100 TB SPEICHERPLATZ. Irgendwo Speicherplatz mieten ist kein Problem. ONLINE BACKUP STORAGE REGIONALES DATENBACKUP MIT BIS ZU 100 TB SPEICHERPLATZ Irgendwo Speicherplatz mieten ist kein Problem. Doch wie kommen Sie schnell und sicher wieder an Ihre Daten heran? Wir haben

Mehr

Verfügbarkeit von Applikationen und Failover Szenarien. Winfried Wojtenek. wojtenek@mac.com

Verfügbarkeit von Applikationen und Failover Szenarien. Winfried Wojtenek. wojtenek@mac.com Verfügbarkeit von Applikationen und Failover Szenarien Winfried Wojtenek wojtenek@mac.com Verfügbarkeit % Tage Stunden Minuten 99.000 3 16 36 99.500 1 20 48 99.900 0 9 46 99.990 0 0 53 99.999 0 0 5 Tabelle

Mehr

DISKUSSIONSBEITRÄGE DER FAKULTÄT FÜR BETRIEBSWIRTSCHAFTSLEHRE MERCATOR SCHOOL OF MANAGEMENT UNIVERSITÄT DUISBURG-ESSEN. Nr. 350

DISKUSSIONSBEITRÄGE DER FAKULTÄT FÜR BETRIEBSWIRTSCHAFTSLEHRE MERCATOR SCHOOL OF MANAGEMENT UNIVERSITÄT DUISBURG-ESSEN. Nr. 350 DISKUSSIONSBEITRÄGE DER FAKULTÄT FÜR BETRIEBSWIRTSCHAFTSLEHRE MERCATOR SCHOOL OF MANAGEMENT UNIVERSITÄT DUISBURG-ESSEN Nr. 350 Ein konzeptioneller Business-Intelligence-Ansatz zur Gestaltung von Geschäftsprozessen

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr