Notfallkonzept - 22. März 2018

Nummer sicher

Kaum eine Kanzlei kann heute auf ihre IT verzichten. Ein Not­fall­konzept haben aber die wenigsten. Dabei ist es über­lebens­wichtig für die Kanzlei.

Ein Bagger, der versehentlich die Stromversorgung einer ganzen Straße lahmlegt; ein Wasser­rohr­bruch in der Wohnung über der Kanzlei; eine Festplatte, die in Flammen aufgeht … – für eine Kanzlei gibt es viele Unwägbarkeiten, die ein normales Weiterarbeiten unmöglich machen. Dazu kommt die zunehmende Verbreitung von Schad-Software oder auch Datenverlust durch Nach­lässig­keit oder falsche Bedienung. Gravierende IT-Sicherheitsprobleme oder Imageverlust können die Folge sein.

Entscheider gefragt

Beim IT-Notfallmanagement oder Notfallkonzept geht es keineswegs nur um rein technische Fragen, die ohne Vorüberlegung an einen Dritten ausgelagert werden können, zum Beispiel an einen Systempartner. Die Bewertung der wirtschaftlichen und rechtlichen Auswirkung ist vielmehr Aufgabe der Kanzleileitung. Zunächst geht es um organisatorische Lösungen, die den laufenden Betrieb in der Kanzlei gewährleisten sollen. Daraus ergeben sich die auszuwählenden technischen Lösungen, die eine unterstützende Funktion haben. Ein Außenstehender kann nur schwer be­wer­ten, welche Daten und Prozesse für das Wiederanlaufen der Kanzlei nötig sind und deshalb hohe Priorität haben.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet umfangreiche Konzepte für ein IT-Notfallmanagement, gleichermaßen für multinationale Konzerne und für Kleinst­unter­nehmen. Für eine kleine Kanzlei kann aber auch ein abgespeckter Notfallplan durchaus reichen – sofern er dafür sorgt, dass in einer Notfallsituation die Kanzleiprozesse nicht oder nur kurzfristig unterbrochen werden.

Vorgehensweise

Oft lohnt es sich, hier einen Experten heranzuziehen, der über das branchenübliche, für die Kanzlei nötige Wissen verfügt, die erforderlichen Maßnahmen kennt und umsetzen kann, wie es zum Beispiel auch beim DATEV IT-Consulting gehandhabt wird.
Am Anfang sollte eine Betriebsunterbrechungsanalyse stehen (Business Impact Analysis). Damit ermittelt die Kanzlei, wie sich ein Schadensszenario generell auf die Geschäftsprozesse auswirkt. So lässt sich genauer feststellen, nach wie vielen Stunden oder Tagen der Geschäftsbetrieb bereits existenzbedrohend gefährdet ist.

  1. Beginnen Sie mit dem Überlebensszenario
    Wer für seine Kanzlei die Entwicklung eines IT-Not­fall­plans beschleunigen möchte, konzentriert sich am besten auf das Wesentliche, um möglichst schnell wieder ein akzeptables Funk­tions­niveau zu erreichen.
    Das ist das Überlebensszenario.

    Die Kanzleileitung sollte grundsätzlich diese Fragen klären:

    • Welche Katastrophenszenarien könnten existenzbedrohend für die Kanzlei sein und zum Konkurs der Kanzlei führen?
    • Wie schnell (in Stunden, Tagen oder Wochen) muss die Kanzlei sich erholen, damit sie eine katastrophenbedingte Störung übersteht?
    • Was sind die kritischen Ressourcen, von deren Verfügbarkeit die Existenz der Kanzlei abhängt?
    • Welche Arten von Katastrophen und Unfällen könnten in den nächsten Jahren eintreten und möglicherweise einen Worst Case auslösen?

    Wichtig ist, dass alle Mitarbeiter und Führungskräfte wissen, wo sie die benötigten Notfall­informa­tionen finden und was zu tun ist.

  2. Vorsorge
    Bei der Notfallvorsorge wird geplant, wie mit den möglichen Schäden umzugehen ist. Um die kritischen Geschäftsprozesse zu schützen, können unterschiedliche technische oder organi­sa­to­rische Verfahren angewendet werden, zum Beispiel Datensicherungen und Vertreterregelungen.
    Prinzipiell wird sich in einer Kanzlei der Ausfall des Internets und eine nicht erreichbare Home­page nicht so dramatisch auswirken wie ein Ausfall des Servers mit einhergehendem Daten­ver­lust. Denn auch Kanzleien, die per Cloud Sourcing arbeiten, können den Internetausfall durch entsprechende Sicherungsmaßnahmen verkürzen.Das Herzstück ist eine gute Datensicherung. Ihre Merkmale:

    • Dass alle notwendigen Daten auch tatsächlich enthalten sind, muss regelmäßig durch Re­views überprüft werden. Daten einer neu eingesetzten Software oder andere, durch neue Prozesse eingeführte Speicherorte dürfen nicht vergessen werden.
    • Die Datensicherung sollte außerhalb der Technikräume aufbewahrt werden, mindestens in einem anderen Brandabschnitt, besser außerhalb des Hauptgebäudes.
    • Sie muss gegen unbefugten Zugriff gesichert sein. Wird sie außerhalb der eigenen Räume aufbewahrt, sollte sie verschlüsselt sein.
    • Aktuelle Datensicherungen werden vom Netzwerk getrennt aufbewahrt. Eine Infektion des Netzwerks infiziert dann nicht automatisch auch die Datensicherung.
    • Regelmäßige Rücksicherungstests stellen die Lesbarkeit sicher und üben die Vorgehensweise ein.
  3. Den Notfall bewältigen
    Auch bei gutem Schutz lassen sich nicht alle gefährlichen Situationen eliminieren. Ein Notfall kann immer eintreten. Dann geht es um die konkrete Bewältigung. Hilfreich in kritischen Situationen ist ein Notfallhandbuch, nach dem man Schritt für Schritt vorgehen kann. Es sollte digital und in gedruckter Form vorhanden sein, über eine strukturierte Dokumentation mit Notfallplänen und Checklisten verfügen, die man abarbeiten kann. Das entlastet vor allem in Stresssituationen und hilft, einen kühlen Kopf zu bewahren.
  4. In Abständen überprüfen
    Notfallpläne und Handbücher müssen regelmäßig kritisch darauf überprüft werden, ob sie praktikabel und aktuell sind. Besonders nach umfangreichen Änderungen in der Organisation oder der IT. Das gilt für Maßnahmen und Dokumente und auch für den Notfallprozess an sich.
    In der Steuerberatungskanzlei kann das bedeuten, dass zum Beispiel bei der Datensicherung die Backups in regelmäßigen Abständen überprüft werden: ob sie funktioniert und wie lang die Wiederanlaufzeit ist, bis die Kanzlei wieder arbeiten kann. Wichtig ist hier die klare und eindeutige Kommunikation zwischen Kanzleiinhaber und Systempartner, um sicherzustellen, dass die Kanzlei ihre Fristen und Termine einhalten kann.
  5. Testen, üben, verbessern
    Die Vorsorgemaßnahmen, Strukturen und Pläne müssen regelmäßig getestet und geübt werden, damit sie im Ernstfall funktionieren. Alle Mitarbeiter sollen die Inhalte verstehen und im Notfall richtig anwenden können. Formulieren Sie also klar und einfach. Der aktuelle Kennt­nis­stand sollte aufrechterhalten werden – durch Schulungen sowie ständige Weiterentwicklung und Anpassung der Konzepte, Dokumente und des Vorgehens.

Klein anfangen

Die angemessene Vorbereitung auf Notsituationen ist zwingend erforderlich und gesetzlich vorgeschrieben. Für eine Umsetzung fehlen aber vielerorts praktikable Rezepte. Dabei kann schon ein einfacher Notfallplan auf Basis weniger Notfallszenarien rasch vorzeigbare Ergebnisse liefern – und er lässt sich sukzessive zu einem umfassenden Konzept erweitern.

DATEV ProCheck unterstützt bei der Dokumentation und dem Nachweis regelmäßiger Tests und Übungen.

Fotos: alexfiodorov, CostinT, freestylephoto / Getty Images

Phasen des Notfallmanagements

  • Initiierung durch den Kanzleiinhaber
  • Konzeption der Notfallstrategie und Vorsorgemaßnahmen durch Risikoanalysen und Ermittlung kritischer Kanzleiprozesse sowie Ressourcen
  • Realisierung des Konzepts auf Basis von Prioritätenlisten und Verantwortlichkeiten
  • Bewältigung von Notfällen anhand Verhaltensregeln, Plänen und definierten Zuständigkeiten
  • Tests und Übungen, um mögliche Probleme und Lücken zu erkennen und zu optimieren
  • Aufrechterhaltung und kontinuierliche Verbesserung der Konzepte und Maßnahmen

Zur Autorin

MM
Manuela Moretta

DATEV eG, Vermarktung Kanzleimanagement

Weitere Artikel der Autorin