2015 trat das IT-Sicherheitsgesetz in Kraft, welches Betreiber kritischer Infrastrukturen wie Energie- und Wasserversorger, Gesundheitseinrichtungen, Telekommunikationsprovider aber auch Nahrungsmittelversorger verpflichtet, (IT-)Systeme besser gegen Störungen, u.a. auch Hacker-Angriffe zu schützen. Darüber hinaus enthält es auch entsprechende Meldepflichten für schwerwiegende Störfälle.
Paragraph 8 des IT-Sicherheitsgesetzes schreibt den Betreibern kritischer Infrastrukturen vor,
“angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von Ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.”
Die Rolle der Alarmierung
Es ist natürlich nahe liegend, dass dem Thema Alarmierung bei der “Vermeidung von Störungen der Verfügbarkeit” (aber auch Integrität, etc) eine elementare Rolle zukommt. Um rechtzeitig auf unerwartete Ereignisse reagieren zu können, ist eine zeitnahe und zuverlässige Alarmierung essentiell. Idealerweise ist diese auch in der Lage mobile Mitarbeiter oder Mitarbeiter der Rufbereitschaft zu alarmieren, denn oft sind erforderliche Kräfte nicht vor Ort, insbesondere zu Nachtzeiten oder am Wochenende.
In der IT oder überall dort wo IT-gestützte Steuerung eingesetzt wird, läßt sich zudem auch ein hoher Grad an Automatisierung erreichen. Das bedeutet, dass die übliche Überwachung von IT-Systemen mit IT-Monitoring-Lösungen auch direkt mit einer Alarmierungslösung verknüpft ist, die im Fehlerfall vollautomatisch die richtigen Mitarbeiter alarmiert. Damit werden Latenzzeiten vermieden, die zum Beispiel entstehen, wenn ein Operator in einer Supportzentrale zunächst eine manuelle Evaluierung der Situation durchführen muss um dann gegebenenfalls (auch oft manuell) zuständige Mitarbeiter zu informieren. All dies kann eine moderne Alarmierungslösung vollautomatisch.
Zuverlässige Alarmierung für kritische Infrastrukturen
Bei der Alarmierung zur Aufrechterhaltung kritischen Infrastrukturen spielt die Zuverlässigkeit der Alarmierung natürlich eine enorme Rolle, denn sie darf in keinem Fall das schwächste Glied der Kette sein. Dafür bieten entsprechende Systeme mehrere Lösungen an. Ein wichtiger Faktor ist die Fähigkeit über mehrere Kommunikationskanäle zu alarmieren, angefangen von SMS über Telefonie (Sprachanrufe) bis hin zu Instant Messaging und Push.
Allerdings reicht es nicht nur Meldungen zu versenden. Es ist essentiell auch die Auslieferung zu verfolgen und Quittierungen zu unterstützen, um eben im Fall der Nichtsauslieferung oder Nicht-Quitterung zeitnah den Kommunikationskanal zu wechseln oder sogar an eine nächste Person zu eskalieren. Flexible Eskalationspfade sollten dabei möglich sein. Die Rufbereitschaftsverwaltung muss mehrere Ebenen unterstützen und auch eine hierarchische Eskalation muss unterstützt werden.
Alle Alarmierungsvorgänge inklusive der Eskalationsstufen und Quittierungen müssen protokolliert werden und sollten in Echtzeit – auch mobil – einsehbar und nachverfolgbar sein. Dies garantiert ein einheitliches Briefing aller beteiligten Kräfte, die bei der Behebung der Störung involiert sind und über den Fortschritt informiert werden müssen.
Fazit
Das IT-Sicherheitsgesetz ist eine zusätzliche gesetzliche Anforderung an Betreiber kritischer Infrastrukturen. Die Verfügbarkeit von IT-Systemen und anderen kritischen Anlagen stellt für die meisten Unternehmen seit jeher die Grundlage ihres Geschäftes dar, man denke nur an die Kontinuität der Produktionsprozesse im Automobilbau.
Insofern können Betreiber kritischer Infrastrukturen auf zahlreiche “Best Practice”-Beispiele zurückgreifen. Auch spielt der hohe Reifegrad von Alarmierungslösungen den Betreibern in die Hände, die auf Anbieter für operative Alarmierungssysteme wie Derdack zurückgreifen können. Ein Produkt wie Derdack’s Enterprise Alert ist dabei prädestiniert und in zahlreich hochkritischen Szenarien erprobt. Es bietet zahlreiche flexible Schnittstellen um sowohl in IT-Systeme als auch industrielle Steuerungssysteme integriert zu werden und die zuverlässige mobile Alarmierung von Einsatzkräften zu automatisieren.
Mehr über Derdack’s operative Alarmierungssoftware Enterprise Alert finden Sie hier.