Ein IT-Notfallplan beschreibt, wie ein Unternehmen bei IT-Störungen schnell und strukturiert reagiert. Das Ziel eines IT-Notfallplans ist, Datenverluste so zu minimieren, dass die wichtigsten Geschäftsprozesse so schnell wie möglich wiederhergestellt werden. Für KMU sowie Arzt- und Zahnarztpraxen ohne eigene IT-Abteilung ist ein klar definierter Notfallplan besonders wichtig.

IT-Ausfälle sind keine theoretische Gefahr: Ein Hardwareausfall, Cyberangriffe, ein Wasserschaden, Brand oder Stromausfall können Ihre Geschäftsprozesse lahmlegen und besonders im Gesundheitswesen die Patientensicherheit durch geleakte Daten gefährden. Ein strukturierter IT-Notfallplan setzt klare Prioritäten für den Fall der Fälle und schützt so die Existenz und den Ruf Ihres Betriebs oder Ihrer Praxis.

An dieser Stelle wollen wir Ihnen schon mitteilen: So einen IT-Notfallplan zu erstellen und im Ernstfall durchzuführen, erfordert die Expertise von IT-Fachleuten. Deshalb raten wir Ihnen zur Zusammenarbeit mit einem IT-Dienstleister, der sich professionell um Ihren IT-Notfallplan kümmert.

1. Inventar checken & Priorisierung festlegen

Zuerst muss Ihre gesamte IT-Infrastruktur erfasst werden: Server, Arbeitsplatz-PCs, mobile Geräte, bei Arztpraxen die Praxisverwaltungssoftware (PVS) und technische Geräte, Telefonanlage, Netzwerk-Hardware und Cloud-Dienste. Sobald das Inventar vollständig erfasst worden ist, sollten überlebenswichtige Systeme (bei Arztpraxen z. B. PVS, Patientendaten, TI-Schnittstellen) priorisiert eingestuft werden. Das bedeutet, diese Systeme müssen beim IT-Notfallplan zuerst wiederhergestellt werden.

2. Disaster Recovery vorbereiten

Ein zentraler Bestandteil eines guten IT-Notfallplans ist das Disaster Recovery. Dabei können vor allem zwei Einstellungen vorgenommen werden:

• RTO (Recovery Time Objective): Wie schnell muss ein System wieder laufen? Beispiel: Für Arzt- und Zahnarztpraxen kann ein RTO von 4 Stunden sinnvoll sein. Innerhalb dieser Zeit muss der Praxisbetrieb spätestens wieder laufen.
• RPO (Recovery Point Objective): Wie viel Datenverlust ist für Sie maximal tragbar? Ein RPO von 24 Stunden bedeutet: Backups sind so zu konfigurieren, dass höchstens ein Tag an Daten verloren gehen kann.

Die jeweilige Einstellung dieser Werte bestimmt, welche technischen Maßnahmen nötig sind, um ein Disaster Recovery umzusetzen. Natürlich möchte man die Werte so klein wie möglich halten, um eine kurzfristige Wiederherstellung zu ermöglichen. Das ist jedoch auch aufwendiger und somit teurer. Ihr IT-Dienstleister hilft Ihnen dabei, die Einstellungen gut abzuwägen und mit Ihrem Budget in Einklang zu bringen.

3. Managed-Backup-Strategie entwickeln

Nutzen Sie für Ihre Backups eine kombinierte Lösung aus betriebslokalen Sicherungen für eine besonders schnelle Wiederherstellung + externe Backups in einer Cloud oder einem Rechenzentrum außerhalb Ihrer Geschäftsräume. Mit dieser Vorgehensweise sind Sie auch gegen physische IT-Schäden an Ihrer Hardware gewappnet. 

Außerdem empfehlen wir automatisierte und verschlüsselte Offline- wie Online-Backups sowie regelmäßige Integritätsprüfungen der Backups. Dabei gelten für medizinische Daten zusätzliche Datenschutzanforderungen, die von Arzt- und Zahnarztpraxen zu beachten sind. Ein Managed Backup mit täglicher Kontrolle von Ihrem IT-Dienstleister reduziert die Risiken deutlich.

4. Konkreter Kommunikationsplan

Im Ernstfall kann eine geordnete, klare Kommunikation wertvolle Zeit sparen und somit Daten retten. Ein IT-Notfallplan funktioniert also nur wirklich effektiv, wenn sofort die richtigen Personen informiert werden. Ein konkreter Kommunikationsplan legt deshalb eindeutig fest:

→ Wer meldet den Notfall?
Eine verantwortliche Person „löst den Alarm aus” und informiert als Erstes den externen IT-Dienstleister oder die interne Leitung. Eine verantwortliche Person zu benennen ist wichtig, damit im Fall der Fälle sofort gehandelt wird.

→ Wen erreicht man wie?
Alle wichtigen Kontakte sollten in einer aktuellen Liste mit Mobilnummern, externen E-Mail-Adressen und ggf. alternativen Kommunikationswegen (z. B. Ticketsystem des IT-Dienstleisters) stehen. Diese müssen auch dann verfügbar und nutzbar sein, wenn Server oder Telefonanlage ausgefallen sind.

→ Welche Infos müssen schnell raus?
Kurze vorbereitete Texte für interne Meldungen, Nachrichten an Kunden oder Patienten und, falls nötig, an Datenschutzbehörden sorgen dafür, dass die wichtigsten Informationen schnell verfügbar sind und klar formuliert weitergegeben werden.

Ein guter IT-Notfallplan braucht einen konkreten Kommunikationsplan, damit niemand Zeit mit der Suche nach Ansprechpartnern oder Formulierungen verliert.

5. Rollen & Verantwortlichkeiten

Anschließend an Punkt 4 muss es für die gelungene Umsetzung eines IT-Notfallplans konkrete Ansprechpartner geben. Achtung: Es sollte nicht zu viele Ansprechpartner geben, damit Kommunikation schnell und reibungslos erfolgen kann. Wir empfehlen Ihnen, drei Rollen zu vergeben:

1. IT-Notfall-Koordinator: Diese Person informiert Ihren IT-Dienstleister und behält den Überblick über die gesamte Situation. Hier laufen die Fäden zusammen.
2. Technischer Kontakt: Bei Arztpraxen und KMU wird es sich hierbei vermutlich weniger um einen internen Admin, sondern eher um einen externen IT-Dienstleister handeln.
3. Kommunikation nach außen: Diese Person informiert Kunden, Patienten und ggf. Behörden. Nach Absprache könnte das auch Ihr Managed-IT-Dienstleister übernehmen.

6. Testen, Üben und Aktualisieren

Ein IT-Notfallplan ohne Tests ist nicht mehr als Papier. Führen Sie mindestens einmal jährlich eine Wiederherstellungsübung durch (ähnlich wie ein Probe-Feueralarm) und prüfen Sie Ihre Backups ganz praktisch. 

Bei Änderungen Ihrer IT-Infrastruktur oder Personalwechsel passen Sie auch den IT-Notfallplan an, um im Ernstfall bestens vorbereitet zu bleiben. Ihr IT-Dienstleister wird Sie dabei professionell unterstützen.

• Inventarliste erstellen und kritische Systeme markieren.
• RTO und RPO pro System festlegen.
• Tägliche, automatisierte Online-Backups mit Integritätscheck einrichten.
• Externen IT-Dienstleister als Notfallkontakt vertraglich benennen.
• Kommunikationsvorlagen und Telefonnummern hinterlegen.
• Mindestens jährliche Wiederherstellungsübung planen.

Nochmal, weil’s so wichtig ist:

„Backups reichen“

Backups sind nötig, aber ohne Wiederherstellungsübungen können Sie nicht wissen, ob ein Backup im Ernstfall funktioniert.

„Notfallplan ist einmalig“ 

Ihre IT-Infrastruktur, gesetzliche Vorgaben und Cyber-Bedrohungen ändern sich; Ihr IT-Notfallplan sollte ebenso dynamisch bleiben und muss gepflegt werden.

Ein IT-Notfallplan ist kein Add-on, sondern eine existenzsichernde Maßnahme.

Wenn Sie möchten, dass wir gemeinsam einen praktischen, auf Ihre Praxis oder Ihr Unternehmen zugeschnittenen IT-Notfallplan erstellen oder Ihre Backup- und Wiederherstellungsprozesse prüfen, finden Sie bei denkkontor definitiv die Unterstützung, die Sie brauchen.

Lassen Sie uns heute über Ihren IT-Notfallplan sprechen.