IT Service Continuity Management (ITSCM)

Plan

Bevor man sich um Notfallpläne oder Backups kümmert, muss man erstmal klären: Was genau ist in der IT eigentlich kritisch? Also: Welche Systeme oder Anwendungen sind für das Unternehmen unverzichtbar? Und was passiert, wenn genau die plötzlich nicht mehr laufen?

Der erste Schritt ist, sich die wichtigsten Geschäftsprozesse anzuschauen und zu überlegen, welche IT-Systeme dafür gebraucht werden. Dann fragt man sich: Wie sehr hängen wir davon ab? Und wie lange könnten wir auf sie verzichten, ohne dass es richtig wehtut?

Danach schaut man auf mögliche Risiken. Das können technische Probleme sein (z. B. Hardware-Ausfall), Angriffe von außen, menschliche Fehler oder Naturereignisse. Wichtig ist auch einzuschätzen, wie wahrscheinlich so etwas ist und wie stark es uns treffen würde.

Aus diesen Infos legt man dann konkrete Ziele fest – zum Beispiel:

• Wie schnell ein System nach einem Ausfall wieder laufen muss (RTO).
• Wie aktuell die wiederherstellbaren Daten sein sollten (RPO).
• Was an Mindestbetrieb möglich sein muss, damit es weitergeht (MBCO).

Dann planen?

Auf dieser Basis wird geplant: Welche Maßnahmen braucht es? Wer macht was? Welche Tools, Budgets oder Fähigkeiten fehlen noch?

Am Ende dieser Phase sollte die Geschäftsleitung ins Boot geholt werden – sie muss mitziehen! Außerdem wird geprüft, was es schon gibt: Backups? Wiederherstellungspläne für Hardware und Software? Und Notfallpläne für die einhergehenden Prozesse? Wo sind Schwklärt, wer im Notfall informiert wird und wer was zu tun hat.

Do

Jetzt geht’s darum, das Ganze auch wirklich auf die Straße zu bringen. Was vorher überlegt wurde, muss jetzt in die Praxis – sonst bringt der beste Plan nichts.

Technisch heißt das: Backups einrichten, Systeme doppelt absichern, Cloud-Lösungen nutzen, ein Ersatz-Rechenzentrum vorbereiten usw.

Organisatorisch geht’s darum, Rollen zu verteilen: Wer ist im Notfall zuständig? Wer informiert wen? Wie läuft die Kommunikation?

Ein großes Thema ist auch: Alle, die im Ernstfall gebraucht werden, müssen wissen, was zu tun ist. Schulungen, Übungen oder kleine Szenarien helfen dabei. So kann man sicherstellen, dass niemand im Stress den Überblick verliert.

Auch Dokumente und Pläne gehören dazu: Schritt-für-Schritt-Anleitungen, Kontaktlisten, Checklisten – alles, was im Notfall schnell griffbereit sein muss.

Wenn externe Dienstleister mit im Spiel sind, müssen die natürlich mit eingeplant werden. Wichtig ist, dass deren Aufgaben und Leistungen vertraglich klar geregelt sind – z. B. über SLAs.

Das Ganze sollte wie ein Projekt gemanagt werden – mit klaren Zielen, Zeitrahmen und Verantwortlichen. So behält man den Überblick und sieht, wie weit man schon ist.

Am Ende dieser Phase steht eine solide Basis – technisch und organisatorisch – auf die man sich im Notfall verlassen kann.

Check

Jetzt wird überprüft, ob das, was geplant und umgesetzt wurde, auch im Ernstfall funktionieren würde.

Das heißt konkret: testen, testen, testen. Zum Beispiel:

• Funktioniert das Backup?
• Kommt man im Notfall an die richtigen Daten?
• Klappt die Kommunikation im Team?
• Wissen alle, was sie tun sollen?

Diese Tests können ganz unterschiedlich aussehen – von kleinen technischen Checks bis hin zu realistischen Übungen mit mehreren Beteiligten. So erkennt man schnell, wo es noch hakt.

Übungen sind auch super, um die Beteiligten fit zu machen. Denn: Ein guter Plan bringt wenig, wenn ihn im Ernstfall keiner kennt.

Außerdem sollte man regelmäßig schauen, ob sich was verändert hat: Neue Systeme? Neue Risiken? Andere Abläufe? Dann muss auch der Notfallplan angepasst werden.

Die Ergebnisse der Tests und Übungen werden gesammelt, analysiert und bewertet. Wichtig: Nicht einfach nur dokumentieren und abheften – sondern auch überlegen, was daraus folgt.

Auch interne Audits können helfen: Stimmen die Pläne mit Anforderungen, Gesetzen oder Standards überein? Gibt’s noch blinde Flecken?

Am Ende dieser Phase weiß man ziemlich genau, wo man steht – und was noch besser werden muss.

Act

Jetzt geht’s darum, die Erkenntnisse aus der „Check“-Phase zu nutzen, um besser zu werden.

Was hat bei den Tests nicht geklappt? Welche Ziele wurden verfehlt? Gab’s Missverständnisse, Zeitverluste oder unklare Rollen? Daraus lassen sich gezielt Verbesserungen ableiten.

Zum Beispiel:

• Notfallpläne überarbeiten
• Zuständigkeiten klarer definieren
• Schulungen nachbessern
• Neue Technik einführen

Wichtig ist, dass solche Maßnahmen nicht im luftleeren Raum bleiben: Sie müssen geplant, umgesetzt und überprüft werden. Wer ist verantwortlich? Was soll erreicht werden? Und wie sieht man, ob’s klappt?

Neben Korrekturen geht es auch darum, zukünftig Probleme zu vermeiden. Zum Beispiel, indem man im Change Management darauf achtet, dass Änderungen auch die Notfallplanung betreffen.

Und: Die IT entwickelt sich ständig weiter – genauso das Unternehmen. Deshalb muss auch das ITSCM regelmäßig angepasst werden. Es ist kein einmaliges Projekt, sondern ein dauerhafter Prozess.

Die Geschäftsleitung sollte regelmäßig eingebunden werden – damit klar ist, wo Risiken bestehen und was getan werden muss.

Kurz gesagt: In der „Act“-Phase wird nachjustiert, was nötig ist – und der Kreislauf beginnt von vorn. So bleibt man dauerhaft widerstandsfähig gegen IT-Störungen.