ISO 27001, Notfallmanagement, KRITIS, Cyberwar – IT-Resilienz und Datenbanken

Nicht erst mit der Richtlinie 2016/1148 des EU-Parlaments und des EU-Rates (sog. „NIS-Richtlinie“) wurde professionelles Notfallmanagement in Organisationen und Unternehmen mit Versorgungsauftrag etabliert. Sowohl das altbekannte ITIL als auch BSI-Standard 100-4 von 2008 haben konkrete Wege und mögliche Vorgehensweisen im Umgang mit kritischen Störfällen im IT-Betrieb aufgezeigt. Doch erst mit dem Inkrafttreten der ersten KRITIS-Verordnung am 3. Mai 2016 (BSI-KritisV) wurden Notfallvorsorge, Planung von Notfallmaßnahmen und Meldung solcher Vorfälle an BSI oder die Bundesnetzagentur Pflicht. Seit der Aktualisierung der BSI-KritisV (in Kraft seit 1.1.2022) – die fortwährend evaluiert und erneuert werden soll – kamen weitere umfangreiche Pflichten auf die Kritischen Infrastrukturen (kurz „KRITIS“ genannt) zu, darunter die Angriffserkennung. In eben dieser Verordnung wird auch eindeutig festgeschrieben, wer unter Kritische Infrastrukturen fällt und welche Teile des Betriebes und ab welchem Schwellenwert welcher Aufsichtsbehörde zu berichten verpflichtet sind.

Für uns als IT-Dienstleister ist vor allem das BSI-Gesetz entscheidend. Die §§ 2-8 listen die besonders gefährdeten Bereiche auf:

  • Energie
  • Gesundheit
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Medien und Kultur
  • Wasser
  • Finanz- und Versicherungswesen
  • Ernährung
  • Staat und Verwaltung

Hier muss die IT zuverlässig funktionieren. Und das in zweifacher Hinsicht: Sie soll widerstandsfähig (robust und unempfindlich gegenüber Störungen) und resilient sein (d.h. über eine Art Selbstheilungskräfte in Krisen verfügen).

Durch die Warnstufe Orange und die Maßnahmenempfehlungen des BSI im Hinblick auf den Krieg in der Ukraine wach gerüttelt entstand eine breite Verunsicherung unter den Verantwortlichen, die bis hin zur Angst vor einem Cyber-Krieg reichte. Die Szenarien eines Angriffs durch staatliche Hacker-Einheiten (wie z.B. 2007 in Estland) oder durch Hacktivisten wirken äußerst bedrohlich, doch auch eine Flutkatastrophe wie im Juli 2021 in Zusammenhang mit ungünstig gelegenen IT-Räumen können ganze Stadtwerke lahm legen. Andererseits ist es unmöglich, alles zu schützen. Priorisierung ist also gefragt.

Eine solche Einteilung in kritische und unterstützende Geschäftsprozesse nimmt der Notfallbeauftragte zusammen mit der Geschäftsleitung vor. Als Schnittstelle zu allen Bereichen des Unternehmens legt er auch die maximal tolerierbare Ausfallzeit (MTDP) fest, schätzt die Wiederanlaufzeit bis zum Notbetrieb, trifft Aussagen über die gewünschte Wiederherstellungszeit bzw. recovery time objectives (RTO) und vor allem die daraus resultierenden Maßnahmen. Für den Notfall schreibt er vorsorglich vor, welche Ressourcen benötigt werden. Eine dieser Ressourcen können externe Dienstleister sein, die das Notfallteam unterstützen müssen. Eben diesen hat der BSI-Standard 100-4 „Notfallmanagement“ das Kapitel 10 gewidmet: „Outsourcing und Notfallmanagement

Es ist uns bewusst, wie wichtig es ist, Datenbanken robust, lauffähig und rasch wiederherstellbar zu halten. Nicht ohne Grund werden sie an einigen Stellen im Dokument zum Notfallmanagement explizit erwähnt. Doch Datenbank ist nicht gleich Datenbank. Auf die Anwendung kommt es an! Wir verlassen uns auf die Notfallbeauftragte unserer Kunden. Sie kennen die Prioritäten und haben den Überblick über die Geschäftsprozesse. Die Auftraggeber (meist IT-Leiter) werden von uns bei der Entwicklung der IT-Landschaft beraten und bekommen – der geschätzten Priorität angemessen – ein Angebot inklusive der notwendigen Wartung und der empfohlenen Sicherungs- und Wiederherstellungsstrategie.

Für PostgreSQL haben wir mit unserer Appliance Superior eine Software entwickelt, die neben einem automatischen lokalen und externen Backup auch den vollautomatischen Test der Wiederherstellbarkeit umfasst. Ein Wartungsvertrag garantiert schnelle Hilfe beim Desaster Recovery oder alltäglichen Problemen mit der Datenbank.

Bei Oracle Datenbanken sind die Maßstäbe in vielen Fällen anders. Dedizierte Hardware und Terabyte-große Datenbestände können nicht ohne Weiteres ersetzt bzw. schnell restauriert werden. Während Oracles RMAN per „Validate“ die Wiederherstellbarkeit eines Backups logisch prüft und so dem Nutzer die Arbeit abnimmt, ist der sog. Schwarzstart (also beginnend „auf der grünen Wiese“ ohne Hardware) eine gehörige Herausforderung. Die aktuell stark eingeschränkte Lieferbarkeit von Komponenten lässt manch’ einen IT-Verantwortlichen von einer sog. Warm Site (Warme Seite bzw. Standby-Lösung) – einer vorinstallierten Hardware, die nur noch mit Daten bespielt werden muss – träumen. Eine Hot Site – eine parallel mitlaufende Hard- und Software-Lösung wie der Oracle Stretched Cluster – ist mit Mehrkosten verbunden aber bei einigen unserer Kunden seit Jahren erfolgreich im Einsatz. Für solche Fälle entwickeln wir gemeinsam mit unseren Kunden auf Anfrage ein passgenaues Spezialangebot, welches eine fertige Software-Appliance und ein hochperformantes Hosting unseres Partners, Notfall-Hardware oder gar eine Oracle Cloud-Instanz umfassen kann.

Unter den vielen Warnhinweisen, die das BSI herausgegeben hat, finden wir auch Begriffe wie autarke Entstörung, Härtung (Patches, Passwort-Prüfung), Angriffsfläche minimieren (Firewall, DMZ), Durchhaltefähigkeit (Security Operation Center, CERT, BAO, etc.) und Notfallpläne. Selbstverständlich gehören vorab festgelegte redundante Kommunikationswege mit uns als Dienstleister in diese Kategorie.

Um die kritischen Anforderungen eines Unternehmens zu erfassen und so auf einen Notfall vorbereitet zu sein, werden wir auf Anfrage Workshops anbieten. Das gegenseitige Verständnis für die Organisation, Prioritäten, Vorgänge und Akteure in einem Notfallplan beugt Missverständnissen vor und legt unter Umständen noch nicht bekannte Single Points of Failure offen.

Mehr über Unterstützung kritischer Infrastrukturen finden Sie zukünftig auf der Seite „KRITIS – Datenbanken in Kritischen Infrastrukturen„.