Antizipation und Bewältigung von IT-Notfällen und -Krisen im Informationstechnikzentrum Bund - IT-Dienstleister der Bundesverwaltung
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Antizipation und Bewältigung von IT-Notfällen und -Krisen im Informationstechnikzentrum Bund IT-Dienstleister der Bundesverwaltung
Das ITZBund im Porträt
Impulsgeber für die IT
des Bundes
© crossrelations brandworks GmbH
30.06.21 www.itzbund.de 2
Zahlen und Fakten
3.600 12
Beschäftigte Dienstsitze
1.000.000 849 Mio. €
Nutzer:innen Haushaltsvolumen
(Jahr 2021)
Stand der Kennzahlen: April 2021 © ITZBund
30.06.21 www.itzbund.de 3
Zahlen und Fakten
98.000 33.400
Betreute Logische
Endgeräte Serversysteme
41,5 7.600
Petabytes qm Nettofläche
Speicherkapazität Rechenzentren
© Adobe Stock / Gorodenkoff
Stand der Kennzahlen: April 2021
30.06.21 www.itzbund.de 4
Kennzahlen im Vergleich
Beschäftigte Haushaltsvolumen Speicherkapazität Serversysteme
(in Mio. Euro) (in Petabyte) in Betrieb
2.300 3.600 455 849 7,5 41,5 13.00 33.40
0 0
2016 2021 2016 2021 2016 2021 2016 2021
+57% +62% +453% +257%
Stand der Kennzahlen: April 2021
30.06.21 www.itzbund.de 5
Unser Leistungs-
portfolio
IT-Dienstleister für die
Bundesverwaltung
© Getty Images Germany GmbH / Vertigo3d
30.06.21 www.itzbund.de 6
IT-Lösungen
© Getty Images Deutschland GmbH /
© Getty Images Deutschland GmbH /
© Getty Images Deutschland GmbH /
© Bildkraftwerk / Peter-Paul Weiler
Murat Mizrak
Mattjeacock
gorodenkoff
Datenschutz und IT- Entwicklung sicherer,
Digitale Souveränität Sicherer Betrieb
Sicherheit effizienter Lösungen
» Bundescloud » Bundescloud » Automatisierte Tarif- und » Hochverfügbare Lösungen für
» Bundesclient » Bundesclient Lokales Zollabwicklungs-system den Bundeshaushalt und
(ATLAS) Verfahren der Inneren Sicherheit
» Verwaltungsportal / » E-Akte
Nutzerkonto » Government Site Builder (GSB)
» PVSplus
» Betrieb eigener Rechenzentren » E-Rechnung
» Verfahren der Inneren Sicherheit
» Formular-Management-System
(FSM)
» Zollauktion
» Verfahren für Verbrauchs- und
Verkehrssteuern
30.06.21 www.itzbund.de 7
Zielgruppen des ITZBund
© Getty Images Deutschland GmbH /
© Getty Images Deutschland GmbH /
© Getty Images Deutschland GmbH /
Pakorn Khantiyaporn / EyeEm
Uwe Umstaetter
Westend61
Verwaltung Bürger:innen Wirtschaft
» IT-Unterstützung inkl. Schnittstellen zu » Statistik (Genesis) » Außenhandelsstatistik
EU und Ländern » BaföG » ELStAM (elektr. Lohnsteuerkarte)
» IT-Unterstützung für die Erhebung von » Steuer ID-Merkmal » KiStA (Kirchensteuerabzug auf
Verbrauchs- und Verkehrssteuern Kapitalerträge)
» Auktionsplattform zoll.de
» IT-Unterstützung für die Zollabgaben » NSW (Gefahrengutmeldung See)
» Formularserver
und Einfuhrumsatzsteuer
» Informationsportale zu den Themen » PEGELONLINE
Steuern, Reiseverkehr, Artenschutz » ELWIS (Elektronisches Wasserstraßen
Infosystem)
30.06.21 www.itzbund.de 8
Ausgewählte Kunden
» Generalzolldirektion » Bundesamt für Migration » Generaldirektion
» Bundeszentralamt für und Flüchtlinge Wasserstraßen und
Steuern » Bundesamt für Schifffahrt
» Bundesanstalt für Kartographie und » Geschäftsbereichs-
Immobilienaufgaben Geodäsie behörden
» Bundesverwaltungsamt
» Statistisches Bundesamt
» Beschaffungsamt
» Bundeszentrale für
politische Bildung
30.06.21 www.itzbund.de 9
Unser
Notfallmanagement
© 123RF / kenishirotie
IT-Dienstleister für die
Bundesverwaltung
© 123RF / saicle
30.06.21 www.itzbund.de 10Antizipation und Bewältigung von IT-Notfällen + -Krisen
© Getty Images Deutschland GmbH /
Pakorn Khantiyaporn / EyeEm
© 123RF / kenishirotie
© 123RF / saicle
Notfallvorsorge Notfallbewältigung Analyse + Verbesserung
» Übergreifende Notfallkonzeption » Ziel 1: » Analyse Schadensentstehung
» Durchführung Business Impact- Schnellstmögliche Reduktion des » Analyse Schadensbewältigung
Analysen der ITZBund-Prozesse Schadens auf ein unterkritisches Maß
» SWOT-Analyse
» Schnittstelle zu Kunden-BIAs » Ziel 2:
Die Deutungshoheit sichern - à Major Incident-Review
» Notfallkonzepte aller IT-Services und
regelmäßige Information von Kunden,
Fachverfahren
ITZBund-Leitung, Fachaufsicht, des » Nachhalten über Problem
» Notfallübungen, z. B. Beteiligung an BSI-Lagezentrums und weiterer Management, Risikomanagement,
LÜKEX Stakeholder über Status + Informationssicherheit und KVP
Maßnahmen
30.06.21 www.itzbund.de 11Zentrales Notfallmanagement des ITZBund
Zielsetzung
» Gewährleistung des Schutzes von Leben und Unversehrtheit der
internen und externen Mitarbeiter:innen sowie von Besucher:innen
» Erhöhung der Widerstandsfähigkeit von Geschäftsprozessen,
Verfahren und Services gegen störende Einflüsse
» Gewährleistung der Fortführung von kritischen Geschäftsprozessen,
Verfahren und Services im Notbetrieb
» Gewährleistung der vertraglichen definierten
Mindestanforderungen an die Verfügbarkeit auch bei Eintreten
© 123RF / kenishirotie
eines Notfalls
» Vermeidung eines Reputationsverlustes des ITZBund gegenüber
Kunden, Partnern und der Öffentlichkeit
30.06.21 www.itzbund.de 12Aufbauphasen des Notfallmanagements
fe 3 2023+
Stu
2022
Fähigkeit Notfallmanagement ITZBund
2
e
uf
St
Optimierung
2021
MajoreIncident-
1
u f
SProzess
t Vollständig & Gesteuert
2017
• Optimierung der Prozesse und der
Umfassend Gesamtkonzeption des
• Ganzheitlich und Verzahnt mit ISMS Notfallmanagements
• Gesteuert und kontinuierlich verbessert • Zielgerichtete Durchführung von
• Vollständige Konzeption gemäß BSI- Tests und Übungen
• Fokus auf die BIA und RA sowie die
Geregelt, Einbeziehung weiterer GP
Standard 100-4 und Anpassung gemäß • Vollständige fachspezifische
Wiederholbar • Ausbau des Notfallmanagements für
BSI-Standard 200-4 Notfallkonzeption
Personal und Liegenschaft • Umfassende Notfallkonzeption für
• Beginn des 1. umfassenden
• Unterstützung bei der fachspezifischen Fachverfahren und IKT-Services Überprüfungszyklus für die
• Sicherstellung der Notfallkonzeption fachspezifische Notfallkonzeption
vollumfänglichen reaktiven
Notfallbewältigung Zeit
30.06.21 www.itzbund.de 13Major Incident-Prozess
Auslöser und Ziele des Major Incident-Prozesses
» Auslöser über Incident-Prozess – „Major Incident-Verdacht“
» Entscheidung + Vorfallsleitung durch Major Incident-Manager:in
» Zentrales Kriterium: eingetretener oder drohender Schaden
Ø Qualität der Einschätzung abhängig von Notfallvorsorge – auch durch Kunden
» Ziel 1: schnellstmögliche Reduktion des Schadens auf ein unterkritisches
Maß
» Ziel 2: Die Deutungshoheit sichern - regelmäßige Information von
betroffenen Kunden, ITZBund-Leitung, Fachaufsicht, BSI-Lagezentrum und
weiteren Stakeholdern über Sachstand, Ursachen und Maßnahmen
Ø Erreichbarkeit einer entscheidungsbefugten Kundenschnittstelle – auch für
© Getty Images Deutschland GmbH / gorodenkoff
Abstimmungen zum weiteren Vorgehen – ist ein wichtiger Faktor
30.06.21 www.itzbund.de 14Major Incident-Prozess
Rollen und Rahmenbedingungen
» Major Incident-Manager:in („MIM“, hDs oder erfahrene gDs)
- mehrere parallel in Rufbereitschaft, 365 x 24 Std. reaktionsbereit
- Alarmierung durch Service Desk, Beschränkung auf IT-Notfälle
- Zusammenstellung und Leitung einer BAO, Entscheidungshoheit
- Notfall-Budget zur Gefahrenabwehr
- Dienstanweisung regelt Kompetenzen, Rechte und Pflichten inkl. der
maßgeblichen Eskalationsgründe
» Krisenmanager:in (AL oder RGL)
- Eskalationsinstanz für MIM, Details in Dienstanweisung
- eine Rufbereitschaft, 365 x 24 Std. reaktionsbereit
- Alarmierung durch MIM
© Getty Images Deutschland GmbH / gorodenkoff
- auch Behandlung „roter“ BSI-Warnmeldungen und Nicht-IT-Krisensituationen
- Unterstützung durch Krisenstab, ggf. Steuerung mehrerer MIMs
30.06.21 www.itzbund.de 15Analyse und Verbesserung: Major Incident-Review
Eigenschaften
» Durchführung durch Major Incident-Prozessverantwortliche:n
» Ziel: Identifikation von Organisationsversagen und Verbesserungsbedarf
» methodisches Vorbild: Flugunfall-Untersuchung
- Genaue Ermittlung der Ereignisabfolge
- Ermittlung von Chancen und Risiken in der Abfolge
- Beteiligte Personen, durchgeführte Maßnahmen
- Ermittlung von Stärken und Schwächen ohne eine „Suche nach den Schuldigen“ (geregelt
über die o. g. Dienstanweisung)
» Wichtigste Voraussetzung: konstruktiver und offener Umgang mit Fehlern
» Interner Bericht an AL und beteiligte Org.-Einheiten enthält konkrete, mit den
beteiligten Fachleuten abgestimmte Verbesserungsvorschläge
- Auf Anfrage darauf aufbauend Bericht an betroffene Kunden
» Nachverfolgung über Problem-, Risikomanagement, ISM und den KVP,
liefert Beitrag zum Wissensmanagement und stärkt zukünftige Antizipation
30.06.21 www.itzbund.de 16Aufbauphasen des Notfallmanagements
Stu
fe 3 2023+
Notfallvorsorge
2022
Fähigkeit Notfallmanagement ITZBund
2
e
uf
St
Optimierung
2021
1
u fe
St Vollständig & Gesteuert
2017
• Optimierung der Prozesse und der
Umfassend Gesamtkonzeption des
• Ganzheitlich und Verzahnt mit ISMS Notfallmanagements
• Gesteuert und kontinuierlich verbessert • Zielgerichtete Durchführung von
• Vollständige Konzeption gemäß BSI- Tests und Übungen
• Fokus auf die BIA und RA sowie die
Geregelt, Einbeziehung weiterer GP
Standard 100-4 und Anpassung gemäß • Vollständige fachspezifische
Wiederholbar • Ausbau des Notfallmanagements für
BSI-Standard 200-4 Notfallkonzeption
Personal und Liegenschaft • Umfassende Notfallkonzeption für
• Beginn des 1. umfassenden
• Unterstützung bei der fachspezifischen Fachverfahren und IKT-Services Überprüfungszyklus für die
• Sicherstellung der Notfallkonzeption fachspezifische Notfallkonzeption
vollumfänglichen reaktiven
Notfallbewältigung
30.06.21
a www.itzbund.de 17
ZeitKernaufgaben von Notfallvorsorge und -bewältigung
Notfallvorsorge
Definition von Strategie und Durchführung von Schulungen
Vorgaben Planung der Notfallvorsorge Planung der Notfallbewältigung Umsetzung von Maßnahmen und Übungen
1. Festlegung der Strategie 1. Konzeption der Impact Analyse 1. Konzeption der Bewältigungs- 1. Koordinierung und Steuerung 1. Durchführung von
- Aktivitäten -
2. Konzeption der Methodik und 2. Konzeption der Risikoanalyse maßnahmen 2. Umsetzung der Schulungen
Vorgaben 3. Kontinuitätsplanung 2. Entwicklung von Vorsorgemaßnahmen 2. Testen, Üben und Verbessern
4. Konsolidierung der FV- übergreifenden Notfallplänen
Vorsorgeplanung 3. Konsolidierung der FV-
5. Konzeption von Bewältigungsplanung
Vorsorgemaßnahmen 4. Planung der
6. Investitions-entscheidung Notfallnachbereitung
Notfallbewältigung = Major Incident-Prozess Problem Mgmt.
Durchführung Erstreaktion und Wiederherstellung der Wiederherstellung des Bewertung der
Sofortmaßnahmen Aktivierung von Notfallplänen Geschäftsfortführung Regelbetriebs Notfallbewältigung
- Aktivitäten -
1. Erstreaktion 1. Analyse und Bewertung 1. Durchführung von 1. Steuerung der Rückführungs- 1. Sammlung und Konsolidierung
2. Ausführung von 2. Aktivierung passender Ad-hoc Maßnahmen und Wiederherstellungs- relevanter Informationen
Sofortmaßnahmen Notfallpläne 2. Wiederherstellung relevanter maßnahmen 2. Sichtung und Prüfung
3. Sicherstellung des Notbetriebs Services 2. Koordinierung und 3. Ableitung von Verbesserungs-
Durchführung von maßnahmen
Nacharbeiten 4. Ggf. Einsteuerung in KVP,
3. Beendigung Notbetrieb Risikomanagement und
Problem Management
Notfall- und Krisenkommunikation
30.06.21 www.itzbund.de 18Integrierte Notfallkonzeption
Zentrales Notfallmanagement
» Ansprechpartner: Notfallbeauftragte
» Regelungen, Vorgaben
» Rahmenbedingungen und Vorlagen/Methoden
» Steuerung und Koordination
Fachspezifische Notfallkonzeption
» Ansprechpartner: Fachverfahrens-/IKT-
Serviceverantwortliche
» Einhaltung der Vorgaben des zentralen
Notfallmanagements
» Ausarbeitung des fachspezifischen-
Notfallkonzepts im eigenen
Legende:
Verantwortungsbereich
30.06.21 www.itzbund.de 19Einordnung des fachspezifischen Notfallkonzepts
» Modularer Aufbau
» Pragmatischer Ansatz
Berücksichtigung und
Übergreifendes
Notfallvorsorgekonzept
ITZBund
» Fachspezifische Ergänzungen von Referenzierung jedes
» Geltungsbereich fachspezifischen
Fachspezifisches Notfallkonzepts in der
» Business Impact und Notfallkonzept
übergreifenden
Risikoanalysen Notfallkonzeption
» Vorsorgemaßnahmen e » Übergreifendes
b
» Notfallszenarien e iga Übergreifendes Notfallhandbuch
Notfallvorsorgekonzept
Fr
ITZBund
» Wiederanlauf- » Übergreifendes
/Wiederherstellungs- Notfallhandbuch
/Geschäftsfortführungsplänen
30.06.21 www.itzbund.de 20Fachspezifisches Notfallvorsorgekonzept
» dient der Notfallvorsorge
Fachspezifisches
Notfallvorsorgekonzept
Ziele sind, …
» das Fachverfahren/den IKT-Service nach Schwachstellen und e
Problemen systematisch zu analysieren, a b
i g
e
» Maßnahmen zu planen und umzusetzen, um die Fr
Eintrittswahrscheinlichkeiten und/oder Schadenshöhen von
Risiken zu senken und
» die Notfallvorsorge und damit auch -bewältigung im ITZBund
iterativ zu verbessern.
30.06.21 www.itzbund.de 21Fachspezifisches Notfallhandbuch
» dient der Notfallbewältigung
Fachspezifisches
Notfallhandbuch
Ziele sind, …
» die Dokumentation der für die Notfallbewältigung benötigten e
Informationen, a b
i g
e
» die schnelle Reaktion auf eingetretene Notfälle vorzubereiten, Fr
» die Bewältigung eingetretener Notfälle schnell und effektiv
steuern zu können und
» die Auswirkungen auf den Betrieb für die Kunden des ITZBund zu
minimieren.
30.06.21 www.itzbund.de 22Vielen Dank für Ihre Aufmerksamkeit!
Kontakt:
Raphaela Hiestermann Notfallbeauftragte notfallmanagement@itzbund.de
Martin Kuboschek Prozessverantwortlicher Major Incident-Prozess mip@itzbund.deDisclaimer Die Rechte dieser Präsentation liegen beim ITZBund. Eine Nutzung dieser Präsentation ist nur für den Kreis der Teilnehmerinnen und Teilnehmer bestimmt. Eine Veröffentlichung oder eine sonstige Verwertungshandlung im Sinne des §15 UrhG darf nicht erfolgen. Darüber hinausgehende Nutzungen bzw. Weiterverwendungen der Präsentation bedürfen der schriftlichen Genehmigung des ITZBund. Jegliche Form der Nutzung, Vervielfältigung, Modifizierung, Speicherung, Veröffentlichung und Darstellung des dargestellten Bild- und Iconmaterials außerhalb dieser Präsentation ist nicht gestattet. Der überwiegende Teil des zur Verfügung gestellten Bildmaterials stammt aus Rahmenvereinbarung mit Getty Images Deutschland GmbH und 123RF Limited. Für die Bereitstellung von Bild- und Iconmaterial steht Ihnen das Team der Presse- und Öffentlichkeitsarbeit im ITZBund zur Verfügung (pressestelle@itzbund.de). 30.06.21 www.itzbund.de 24
Sie können auch lesen
