image

IT-Notfallplan im Finanzsektor

Ausgangssituation:
Der Kunde verfügt über einen bestehenden IT-Notfallplan, der jedoch in wesentlichen Aspekten nicht mehr den aktuellen Standards und Anforderungen entspricht. Insbesondere im Finanzsektor, in dem täglich Millionen sensibler Transaktionsdaten verarbeitet werden, kann ein IT-Ausfall gravierende Folgen haben – sowohl in Form von finanziellen Schäden als auch im Verlust des Kundenvertrauens. Besonders kritisch ist dabei, dass viele Prozesse, bei denen Datenverluste kategorisch ausgeschlossen werden müssen, in Echtzeit ablaufen. Vor diesem Hintergrund wurde Piquant damit beauftragt, innerhalb von sechs Monaten einen neuen, robusten Notfallplan zu entwickeln, umzusetzen und testweise in Betrieb zu nehmen. Der enge Zeitrahmen und die hohen Anforderungen an Vollständigkeit und Fehlerfreiheit stellen dabei eine besondere Herausforderung dar.

Unsere Herangehensweise:
Zu Beginn des Projekts werden alle bestehenden Dokumente sowie der bisherige Notfallplan sorgfältig gesichtet und analysiert. Dies dient der Identifikation bestehender Lücken und Schwachstellen. Parallel dazu erfolgt eine detaillierte Bestandsaufnahme der vorhandenen ICT-Systeme (Information and Communication Technologies), um die kritischen Komponenten und Prozesse zu erfassen. Im nächsten Schritt werden zusammen mit dem Kunden konkrete Schutzziele definiert. Dabei stehen insbesondere zwei Kennzahlen im Fokus: die maximal akzeptable Zeit zur Wiederherstellung eines Systems (RTO), sowie das höchste zulässige Alter der wiederhergestellten Daten im Ernstfall (RPO).
Darüber hinaus wird für die betroffenen Mitarbeiter eine maßgeschneiderte Schulung vorbereitet, um sie mit dem neuen Notfallkonzept vertraut zu machen und sicherzustellen, dass sie in Krisensituationen angemessen reagieren können. Der neue IT-Notfallplan wird konkrete Handlungsanweisungen für verschiedene Ausfallszenarien enthalten und vollständig in das übergreifende Business Continuity Management (BCM) und IT Service Continuity Management (ITSCM) des Unternehmens eingebettet sein. Ein abschließender, geplanter Testlauf in Form eines kontrollierten Server-Ausfalls stellt den Abschluss des Projekts dar, um die Praxistauglichkeit des Konzepts final zu evaluieren.

  • Analyse und Prozessmodellierung bestehender Systeme und Abläufe
  • Definition von RTO und RPO mithilfe strukturierter Risikoanalyse
  • Einsatz von ICT-Bestandsaufnahme-Tools zur Klassifizierung der Infrastruktur
  • Erstellung des Notfallplans gemäß anerkannter Standards
  • Interne Awareness-Schulungen und Notfallübungen

(Vorläufiges) Ergebnis:
Nach einer intensiven Analyse- und Konzeptionsphase soll dem Unternehmen ein vollständig überarbeiteter, praxisnaher IT-Notfallplan vorliegen, der sowohl auf technische Störungen, als auch auf menschliches Versagen vorbereitet. Wiederherstellungsziele wurden gemeinsam definiert und der gesamte Prozess dokumentiert, sodass er für alle Beteiligten nachvollziehbar ist. Durch die Schulung der Mitarbeiter wird außerdem sichergestellt, dass der Plan im Notfall operativ ausgeführt werden kann. Der Testlauf am Ende des Projekts wird zeigen, wie effektiv die Maßnahmen im Ernstfall greifen.