Wiederanlaufpläne in der IT: Der Weg aus dem Chaos

IT-Sicherheitsvorfälle können jederzeit auftreten. Schutzmaßnahmen wie Firewalls und Identity Access Management (IAM) gehören heute zum Standard. Doch Wiederanlaufpläne geraten oft in den Hintergrund – dabei sind sie ein zentrales Element der IT-Sicherheit.

In diesem Beitrag erfahrt ihr, warum Wiederanlaufpläne unverzichtbar für den Geschäftsbetrieb sind und wie ihr einen wirksamen Plan entwickeln könnt, der im Ernstfall wirklich funktioniert. 

IT-Sicherheitsvorfälle & ihre Folgen

Die Zahl der IT-Sicherheitsvorfälle nimmt auch heute weiterhin zu. Cyberkriminelle wählen dabei meist den Weg des geringsten Widerstands: Wer unzureichend geschützt ist, wird eher zum Ziel. Deshalb sind längst nicht mehr nur Großkonzerne, Behörden oder andere Institutionen von Angriffen betroffen, sondern auch kleine und mittlere Unternehmen (KMU).

Ein besonders verbreiteter Angriffsvektor ist Ransomware. Dabei handelt es sich um Schadprogramme, mit deren Hilfe Daten und auch Zugriffe auf Computersysteme verschlüsselt werden. Eine Entschlüsselung erfolgt laut den Angreifenden erst nach Zahlung eines Lösegelds. Sogenannte „Ransomware-as-a-Service“-Plattformen (RaaS) senken die technologischen Hürden für solche Angriffe erheblich und stellen den Angreifenden fertige Werkzeuge inklusive Handbücher und Kundensupport bereit. Durch die Professionalisierung von RaaS ist Ransomware zu einem Massengeschäft geworden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft sie daher als die größte Bedrohung für Unternehmen ein [1].

Zwar sinkt die Zahl der Lösegeldzahlungen dank verbesserter Backups, dennoch zählen Cyberrisiken weiterhin zu den zehn größten Bedrohungen [2]. Laut Bitkom verursachten sie im Jahr 2024 einen Schaden von 266,6 Milliarden Euro bei deutschen Unternehmen. Damit wurde der bisherige Rekordwert von 223,5 Milliarden Euro aus dem Jahr 2021 deutlich übertroffen [3]. Neben direkten Lösegeldzahlungen führen Totalausfälle der Systeme häufig zu Insolvenzen, die teils sofort, teils erst Jahre später eintreten [4]. 

Wiederanlaufpläne als geschäftskritische Dokumente

Ein Wiederanlaufplan (WAP) ist mehr als nur ein technisches Dokument: Er fungiert als Bindeglied zwischen präventiven Schutzmaßnahmen und Incident Response und ist ein wesentlicher Bestandteil des Business Continuity Management. Sein Ziel ist die schnellstmögliche und koordinierte Wiederherstellung unternehmenskritischer Systeme nach einem vollständigen Ausfall. So soll der Geschäftsbetrieb zeitnah wieder aufgenommen werden, um finanzielle Schäden oder schwerwiegendere Folgen, wie etwa eine Insolvenz, zu vermeiden.

Der Inhalt eines Wiederanlaufplans kann situationsbeding angepasst werden, sollte jedoch stets einige zentrale Aspekte abdecken. Einen beispielhaften Aufbau eines solchen Plans stellt das BSI auf seiner Webseite vor [5]. Zu den wichtigsten Punkten gehören dabei die Ziele und Prioritäten, die Rollen und Verantwortlichkeiten, die technischen Schritte sowie die Kommunikation und Dokumentation. 

Ziele und Prioritäten

Ein Wiederanlaufplan konzentriert sich darauf, nach einem vollständigen Ausfall kritischer Systeme einen minimalen Geschäftsbetrieb wiederherzustellen. Dabei ist es besonders wichtig, von Anfang an klare Ziele und Prioritäten festzulegen: Welche Systeme und Anwendungen müssen im Ernstfall zuerst wiederhergestellt werden? So wird sichergestellt, dass im Notfall keine Unklarheit darüber besteht, wie das Unternehmen schnellstmöglich wieder funktionsfähig wird. Während des Notbetriebs sollen die Mitarbeitenden arbeitsfähig bleiben, bis der reguläre Geschäftsbetrieb vollständig wiederhergestellt ist.

Zur Messung werden Kennzahlen wie das Recovery Time Objective (RTO) und das Recovery Point Objective (RPO) verwendet. Das RTO gibt an, wie lange ein für den Geschäftsbetrieb wichtiger Prozess oder eine Applikation maximal ausfallen darf. Das RPO definiert hingegen die höchstzulässige Zeitspanne, in der Daten verloren gehen dürfen. 

Rollen und Verantwortlichkeiten

Im Notfall muss nicht nur klar sein, wie ein geschäftsfähiger Zustand wiederhergestellt wird, sondern auch, wer welche Schritte übernimmt. Ein Wiederanlaufplan legt deshalb eindeutig fest, welche Rollen und Verantwortlichkeiten die IT-Abteilung, das Management oder auch externe Dienstleister haben. Nur wenn die Aufgaben klar verteilt sind, lassen sich Verzögerungen und Missverständnisse vermeiden.

Typische Rollen in diesem Zusammenhang sind beispielsweise die Ressourcenzuständigen, der Chief Information Security Officer (CISO), die IT-Sicherheits- und Datenschutzbeauftragten, der Help Desk oder Mitglieder des Vorstands. 

Technische Schritte

Sobald feststeht, welche Systeme im Notfall weiterlaufen müssen und wer dafür verantwortlich ist, beschreibt der Wiederanlaufplan die konkreten Maßnahmen für den Wiederanlauf. Dazu gehören Voraussetzungen wie aktuelle Backups, Cloud-Lösungen oder Notfallhardware sowie die detaillierten Schritte zur Inbetriebnahme der unternehmenskritischen Dienste. Die Abläufe können entweder direkt im Plan dokumentiert oder durch Verweise auf bestehende Handbücher und technische Dokumentationen ergänzt werden.

Automatisierte Prozesse sorgen für einen schnellen Wiederanlauf und verringern die Fehleranfälligkeit. Manuelle Eingriffe hingegen bieten zusätzliche Flexibilität, besonders wenn das tatsächliche Szenario von der ursprünglichen Annahme abweicht. 

Kommunikation

Im Notfall müssen die Personen, die den Wiederanlaufplan ausführen, nicht nur die technischen Schritte genau kennen, sondern auch die Kommunikationswege. Daher sollte eine übersichtliche Liste aller wichtigen internen und externen Kontakte bereitgestellt werden. Diese Liste umfasst Namen, Telefonnummern, E-Mail-Adressen sowie weitere relevante Informationen.

Kommunikation umfasst jedoch weit mehr als den reinen Informationsaustausch zwischen den Beteiligten – sie ist entscheidend für die Schaffung von Transparenz. Gerade bei datenschutzrelevanten Vorfällen ist es wichtig, die zuständigen Behörden und Cyberversicherungen sowie Kunden und Partner, deren Daten möglicherweise von einem Cyberangriff betroffen sind, zu informieren. 

Dokumentation

Der Wiederanlaufplan ist ein „lebendes Dokument“, das regelmäßig überprüft und aktualisiert werden muss, sobald sich die IT-Landschaft oder die Bedrohungslage verändert. Daher ist die Dokumentation ein zentraler Bestandteil, sowohl in Bezug auf den Plan selbst als auch auf die darin enthaltenen technischen und organisatorischen Unterlagen.

Eine gute Dokumentation stellt im Notfall sicher, dass keine Zeit mit der Suche nach wichtigen Informationen verloren geht. Sie umfasst dabei nicht nur die Abläufe für den Wiederanlauf, sondern auch Kontaktlisten, technische Handbücher und Checklisten. 

Unsere Tipps

Damit ein Wiederanlaufplan im Notfall funktioniert, helfen folgende praktische Tipps:

1. Führt Interviews mit den Personen, die für einzelne Systeme und Anwendungen verantwortlich sind. Sie verfügen über das tiefste Verständnis ihrer Dienste und können wertvolle Informationen liefern.
2. Hinterfragt die Einschätzung der Kritikalität durch die Verantwortlichen. Oft halten Mitarbeitende die Systeme, mit denen sie täglich arbeiten, für unverzichtbar – diese sind jedoch nicht zwangsläufig unternehmenskritisch.
3. Dokumentiert alles, was im Zusammenhang mit dem Wiederanlaufplan entsteht. Dazu zählen sowohl die Ergebnisse von Testläufen als auch die Vorgehensweise im Notfall. Diese Dokumentationen bieten im Nachhinein wertvolle Einblicke in die Wirksamkeit des Wiederanlaufplans.
4. Hinterlegt datenschutzverantwortliche Personen oder Stellen, denn gerade bei sicherheitsrelevanten Vorfällen ist es wichtig, eine:n klar benannte:n Ansprechpartner:in für Datenschutzfragen zu haben. Insbesondere bei Ransomware-Angriffen ist davon auszugehen, dass Daten kompromittiert werden. Transparenz schafft Vertrauen bei betroffenen Kunden und Partnern.
5. Setzt auf Kontaktstellen statt -personen, die im Notfall kontaktiert werden können. Einzelne Personen sind unter Umständen nicht erreichbar, während eine zentrale Stelle die Handlungsfähigkeit sicherstellt.
6. Übt den Plan regelmäßig, um sicherzustellen, dass die definierten Ziele erreicht werden und alle Beteiligten im Notfall genau wissen, was zu tun ist.
7. Schaft einen zentralen Ablageort für die relevanten Unterlagen. Dieser muss auch bei einem Totalausfall zugänglich sein. Geeignet ist eine Kombination aus digitalen Ablageorten und physischen Kopien, beispielsweise im Unternehmensgebäude.
8. Bestimmt Verantwortliche für den Wiederanlaufplan, die für die laufenden Aktualisierungen zuständig sind. Dies kann eine einzelne Person oder ein dediziertes Team sein.

Fazit

IT-Sicherheitsvorfälle sind keine Frage des „Ob“, sondern des „Wann“. Ein Wiederanlaufplan ist ein geschäftskritisches Instrument, welches über die Stabilität und Zukunftsfähigkeit eines Unternehmens entscheiden kann.

Er ist das Bindeglied zwischen präventiven Schutzmaßnahmen und dem reaktiven Wiederanlauf von kritischen Anwendungen, Diensten und Systemen. Seine Rolle liegt in der Schaffung von Klarheit über die Ziele, Verantwortlichkeiten, Maßnahmen, Kommunikation und Dokumentation – um schnellstmöglich einen Notbetrieb bereitzustellen. Durch regelmäßige Tests lässt sich die Zuverlässigkeit sicherstellen. Außerdem stärkt ein solcher Plan das Vertrauen von Kunden und Partnern.

Wenn ihr weitere Fragen zu Wiederanlaufplänen oder Themen wie Cyber Recover und Cyber Security habt, sprecht uns an! 

Quellen

Seminarempfehlung