Auswertung der Veranstaltung

Auf Basis der 42 abgegebenen Feedbackbögen der 79 Teilnehmer der Veranstaltung haben wir eine Auswertung vorgenommen.

Diese können Sie hier herunter laden.

Bericht über die Veranstaltung

Es folgt ein Bericht über den Event, der auch in der itSM Zeitschrift 29 veröffentlicht wird.

 

Dokumentation, Prozesse und Kommunikation – das ist der Schlüssel zu einem erfolgreichen (IT) Notfallmanagement

79 Teilnehmerinnen und Teilnehmer sind dem Aufruf des itSMF gefolgt, um sich in Kassel mit den Experten Deutschlands über Notfallmanagement und IT Sicherheit auszutauschen. Nach Meinung einiger Teilnehmer an anderen Experten-Kreise auf diesem Gebiet war dies die seit langem größte und beste Veranstaltung zu diesem Thema. Der Schwerpunkt der Veranstaltung lag bei der Schnittstelle zwischen dem IT Service- und dem Business-Continuity Management. Anwesend waren 2 Autoren der BSI Grundschutznorm 100-4.

Fazit des Events war, dass allein mit den Ideen und Prozessen der IT Infrastructure Library das Thema Notfallmanagement für IT Ressourcen nicht abgedeckt werden kann. Ergänzend sind BSI- und ISO- Standards heranzuziehen. Aber auch das ist nicht ausreichend, wenn man betrachtet, wie wenige Firmen ein revisions- und prüfungsfestes IT Notfallmanagement auf Basis von robusten Prozessen umgesetzt haben. Die Eröffnungs-Keynote von Krysztof Paschke (GRC Partner GmbH) macht das deutlich. Es fehlt vor allem an auf das Unternehmen zugeschnittenen Business Impact Analysen (hier sind mehrere Möglichkeiten denkbar) und der entsprechenden Zuordnung der für die Business Prozesse relevanten IT Services. In diese Richtung argumentiert auch Manuala Reiss, eine Expertin für IT Dokumentation. Ohne ausreichende Dokumentation der IT ist es nicht zu schaffen, das Wichtige vom weniger Wichtigen zu trennen und die IT adäquat und aktuell zu dokumentieren. Diese Aktualisierung kann nur über Prozesse stattfinden.

Ein Praxisbeispiel der Norddeutschen Landesbank von der dortigen Konzernsicherheit bzw. Revision machte das deutlich. Hier ist eine Kombination von BCM mit ITSCM geglückt, so Bianca Schliebener. Das lag vor allem am Aufbau eines Kreislaufs der Prozesse. Die Geschäftsfortführung und der Wiederanlauf muss auf jeden Fall für die geschäftskritischen Prozesse und deren IT Services geplant und getestet sein. Motor dafür ist nicht zuletzt das Bankaufsichtsrecht. Auch Inge Mess, eine der Expertinnen im Gebiet Notfallmanagement, machte deutlich, dass nur eine Abstimmung zwischen Business und IT hier zielführend ist. Die organisatorischen Anforderungen dazu wurden in einem Beitrag von Hartmut Duwald und Dirk Ehrenberg dargestellt. Nur als Team kommt man zum Erfolg, vorausgesetzt jedoch, das Thema ist in einer Stabstelle weit genug oben in der Hierarchie etabliert. Helmut Schönherr von der ITSM Consulting AG zeigte auf, dass der Weg nur von einer nachvollziehbaren Operations über Standardisierungen bis zu einer Zertifizierung laufen kann. Das Tagesgeschäft muss man im Griff haben, dann kann über die auf dem Event vorgestellten Standards ein Zusammenspiel der Methoden erreicht und damit eine Prüfbarkeit und Nachhaltigkeit gesichert werden.

Wie ein Notfallplan und das ITSCM eines Unternehmens geprüft wird und welche Schwachstellen typischerweise da sind, machte der Revisor Georg Reiss von der Mainova AG deutlich. Nur nachvollziehbare Prozesse und Dokumentationen sind hier der Weg, in einer gemeinsam abgestimmten Prüfungsplanung der Geschäftsführung langfristig die Sicherheit zu geben, dass in diesem Umfeld alles in korrekten Bahnen läuft. Der Schlüssel für den Erfolg sei aber die Kommunikation, so Kai Mettke-Pick von HiSolutions. Wer nicht miteinander redet und aneinander vorbeiplant, muss sich nicht wundern, wenn im Notfall die Räder nicht ineinander greifen im Getriebe.

Die beiden Abschluss-Vorträge aus der Praxis der Unicredit / Hypo Vereinsbank von Herrn Englram und vom Airport Nürnberg von Herrn Ziegler zeigten dann auf, dass Notfallmanagement und IT Sicherheit leichter zu implementieren sind, wenn ITIL Einführungen voraus gegangen sind. Plan-Do-Check-Act laute die Zauberformel lauf Englram. Zum Erfolg führt eine Kombination mit dem SLA Management, so Ziegler.

Der spannendste Teil an dem Ganzen seien Notfallübungen und Tests – hier waren sich Experten und Teilnehmer einig. Auch auf diesem Weg könne man sich einem effektiven ITSCM nähern. Zwischen dem „es ist noch immer gut gegangen“ und dem „Lernen am Notfall“ ist der Reifegrad der Prozesse stetig steigerungsfähig – besser ist jedoch, die Notfallplanung von vorherein auf eine gute Dokumentation, Kommunikation und reife Prozesse zu stützen.

Die Teilnehmer zeigten sich am Ende interessiert an dem geplanten itSMF Fachforum „Notfallmanagement und IT Sicherheit“ des itSMF und postulierten folgen Ziele in diesem Umfeld:

  • Man wünscht sich eine Methoden-Übersicht, Praxisbeispiel und den Austausch von Erfahrungen.
  • Die Fragen, die es zu beantworten gilt:

    • Wir überzeugt man das Management?
    • Wie hoch soll/muss der Druck sein für den Start von Initiativen?
    • Welche Tools brauche ich?
    • Welche Genauigkeit ist erforderlich?
    • Wo entwickelt sich ein Best Practice Notfallmanagement hin?

Das itSMF wird versuchen, die Community auf diesem Weg zu unterstützen.