Fachhochschulen, Universitäten und Schulen auf allen Ebenen sind tief in das digitale Zeitalter eingebunden. Die COVID-19-Pandemie hat eine weitere Ebene an Komplexität und Herausforderungen hinzugefügt. Wir haben gesehen, wie Schulen plötzlich dazu gezwungen waren, Semester zu unterbrechen und auf Fernunterricht umzustellen. Somit hat die Pandemie zu einer erhöhten Abhängigkeit von der IT geführt.
Die verstärkte Nutzung und Abhängigkeit hat wiederum zu einer neuen Verwundbarkeit geführt. Die Hochschulbildung und ihre Studenten sind einer Vielzahl von Gefahren und Bedrohungen ausgesetzt. Diese Bedrohungen gelten für alle Bildungseinrichtungen und Regierungsbehörden, und Verstöße haben bereits zu Betriebsunterbrechungen und Erpressungszahlungen an Cyberkriminelle geführt.
Geschäftskontinuität im Hochschulbereich erfordert heute eine Anerkennung dieser Gefahren, um sicherzustellen, dass die Schulen nach einer unerwarteten Katastrophe weiterarbeiten können. Ebenso beruht die Notfallwiederherstellungs-Planung auf einer realistischen Risikobewertung, einem Verständnis der Auswirkungen der Dienstunterbrechung und der entscheidenden Rolle der Datensicherung als letzte Verteidigungslinie gegen IT-Störungen – z. B. Viren und Ransomware.
Die folgende Vorlage für einen Geschäftskontinuitätplan für Hochschulen bietet einen grundlegenden Leitfaden für Administratoren, um ihre Kontinuität-Strategie und -Systeme zu skizzieren.
Muster für einen Geschäftskontinuitätsplan für den Hochschulbereich
I. Ziele des Geschäftskontinuitätsplans
Zweck: Umreißen der Ziele und des Umfangs des Plans.
Verwenden Sie diesen Abschnitt, um die allgemeinen Ziele des Plans zu beschreiben. Legen Sie den Umfang der Planung dar, was sie erreichen soll und warum die Planung notwendig ist. Dieser Abschnitt stellt sicher, dass alle Beteiligten verstehen, was durch den Plan abgedeckt wird (und was nicht), und er hilft auch, die Planung auf Kurs zu halten.
Wenn sich der Plan z. B. nur auf Katastrophen im Zusammenhang mit der Informationstechnologie konzentriert, die sich auf den Schulbetrieb beziehen, und nicht auf das menschliche Element des Krisenmanagements (d. h. Schutz von Mitarbeitern und Schülern vor Naturkatastrophen, usw.), dann sollte dies in den Zielsetzungen angegeben werden.
II. Interessenvertreter (Stakeholder)-Kontakte
Zweck: Um herauszufinden, wer für den Geschäftskontinuitätsplan verantwortlich ist, welche Schulverwalter oder Interessenvertreter bei einer Katastrophe kontaktiert werden müssen und/oder welche Priorität diese Kommunikation hat.
In diesem Abschnitt des Schulkontinuitätsplans werden die wichtigsten Interessenvertreter, Schulleiter, Notfallwiederherstellungs-Teams oder diejenigen, die die Planung beaufsichtigen, genannt. Normalerweise ist diese Liste relativ kurz, da sie nur diejenigen identifizieren soll, die für die Kontinuitätsplanung, Reaktion und Wiederherstellung entscheidend sind. Im Abschnitt „Kommunikation“ dieser Vorlage legen Sie dar, wie Sie während eines aktiven Vorfalls kritische Nachrichten an andere Mitarbeiter weitergeben können.
Hier finden Sie ein Beispiel dafür, was Sie für jeden Kontakt auf dieser ersten Liste angeben sollten:
- Name der Person
- Berufsbezeichnung oder Funktion an der Hochschule
- Standorte (Büro- und Privatadressen)
- Telefonnummern (Arbeit, Mobiltelefon, zu Hause & alternativ)
- E-Mail (Arbeit, privat & alternativ)
- Messaging-Handles (z.B. Slack, Skype, etc.)
III. Umfassende Risikobewertung
Zweck: Identifizierung und Beschreibung der Arten von Vorfällen, die den Betrieb der Universität oder die Fähigkeit zur Aufrechterhaltung der Kontinuität am wahrscheinlichsten stören.
Dieser wichtige Abschnitt sollte die unzähligen Katastrophenszenarien (große und kleine) aufzeigen, die eine Bedrohung für Ihre Schule und/oder Ihre kritischen IT-Systeme darstellen. Manche Schulen entscheiden sich dafür, diesen Abschnitt in einer Matrix mit Informationen aus dem folgenden Abschnitt, IV. Analyse der geschäftlichen Auswirkungen, zu kombinieren. Unabhängig davon, welches Format für die Vorlage verwendet wird, ist es am wichtigsten, dass jedes Risiko klar definiert ist.
Zum Beispiel:
- Identifizierung des Risiko-/Unterbrechungstyps (z.B. ein Ransomware-Angriff auf die Computersysteme der Hochschule)
- Beschreibung des Ereignisses (Datenverschlüsselung auf Geräten und/oder Servern)
- Auswirkung des Ereignisses (Verlust des Zugriffs auf Daten und Computersysteme; Unmöglichkeit, auf E-Mails oder Netzwerkdateien zuzugreifen; Unterbrechung aller webbasierten Dienste sowie des Unterrichts)
IV. Analyse der geschäftlichen Auswirkungen
Zweck: Abschätzung der spezifischen Auswirkungen jeder Katastrophe in Bezug auf Kosten und Folgen auf kurze und lange Sicht. Dies könnte Kosten aufgrund von Datenverlusten, Hardware-Austausch, Einnahmeverlusten der Schule usw. umfassen.
In vielen Geschäftskontinuitätsplänen für den Hochschulbereich (wie auch für andere Organisationen) ist es sinnvoll, den Schweregrad jedes möglichen Vorfalls auf einer Skala von 1 bis 5 zu bewerten, basierend auf der Wahrscheinlichkeit seines Eintretens. Auf diese Weise erhalten die Planer ein schnelles und leicht verständliches Format, das sie bei der Festlegung der Prioritäten für die Notfallwiederherstellungs-Ressourcen auswerten können.
Beispielstruktur:
Risiko | Wahrscheinlichkeitsbewertung | Auswirkungsbewertung | Auswirkung / Folgen |
Ransomware (IT):Verlust von Daten, die durch den Ransomware-Virus verschlüsselt wurden, auf den Geräten, Servern und Rechenzentren der Universität | 4 | 5 |
|
V. Vorbeugung
Zweck: Aufzeigen von Schritten und Systemen, die implementiert wurden (oder werden), um das Auftreten der identifizierten Vorfälle zu verhindern (oder deren Auswirkungen zu minimieren).
Dieser Abschnitt zielt darauf ab, die vorhandenen Lösungen zu definieren, die dazu beitragen, eine Betriebsstörung an der Hochschule zu verhindern oder abzuschwächen. Dieser Abschnitt ist von entscheidender Bedeutung, da die Schulverwaltung und die Beteiligten wissen müssen, was getan wird, um das Auftreten von Störungen zu verhindern. In diesem Abschnitt sollte daher jedes Präventionssystem detailliert beschrieben werden, und alle neuen Maßnahmen sollten im Laufe der Zeit zum Geschäftskontinuitätsplan hinzugefügt werden.
Gliedern Sie diesen Abschnitt gegebenenfalls in Kategorien. Zum Beispiel:
- Informationssysteme, wie z. B. Datensicherungs- und Notfallwiederherstellungs-Lösungen, Anti-Malware-Software, Netzwerk-Firewalls usw.
- Vorbeugende Alarme und Geräte, z. B. Rauchmelder, Brandunterdrückungssysteme in Serverräumen usw.
- Physische Sicherheits- und Überwachungsmaßnahmen – z. B. Streifengänge und Stichproben der Campus-Sicherheit
VI. Sofortige Reaktion
Zweck: Anweisung an das Personal, wie auf die verschiedenen Katastrophenereignisse Schritt für Schritt reagiert werden soll.
Dieser Abschnitt definiert die entscheidenden ersten Schritte, die auf ein Störungsereignis folgen sollten, wie sie für jede der oben beschriebenen Arten von Ereignissen gelten. Denken Sie daran, dass diese entscheidenden Momente nach einer Katastrophe einen großen Einfluss darauf haben, wie effektiv die gesamte Wiederherstellung sein wird.
Je nach Zielsetzung des Plans kann dieser Abschnitt für das gesamte Schulpersonal gelten oder auf die Reaktion des von der Schule bestimmten Wiederherstellungsteams beschränkt sein. Fügen Sie die spezifischen Protokolle für jede Art von Vorfall ein, die Sie in den Abschnitt zur Risikobewertung aufgenommen haben:
Geben Sie die spezifischen Szenarien an, die eintreten müssen, damit diese Reaktionsprotokolle aktiviert werden können.
Bleiben Sie nicht vage. Skizzieren Sie die Parameter für jede Katastrophe, zusammen mit der gewünschten Reaktion. Wenn beispielsweise ein Mitarbeiter einen Stapel von Studentendaten kompromittiert, ist offensichtlich nicht dieselbe Reaktion erforderlich wie bei einer campusweiten Ransomware-Infektion.
VII. Vollständige Wiederherstellung
Zweck: Die zusätzlichen Schritt-für-Schritt-Verfahren für die vollständige Wiederherstellung von IT-Systemen und/oder des Betriebs, die durch den Vorfall gestört wurden, zu skizzieren.
Wiederherstellungsprotokolle unterscheiden sich von der unmittelbaren Reaktion. Diese Protokolle helfen, die Schritte zur vollständigen Wiederherstellung des betroffenen Betriebs zu umreißen, was je nach Schwere des Vorfalls Tage, Wochen, Monate oder sogar Jahre dauern kann.
Legen Sie die Schritte für jede Art von Katastrophenszenario fest. Zum Beispiel:
- Geben Sie klare Prozeduren für die Wiederherstellung an, die den spezifischen Teams oder Mitarbeitern zugewiesen werden, die sie befolgen müssen.
- Legen Sie für IT-Systeme Ziele fest, wie und wann diese Systeme wiederhergestellt werden müssen, um weitere Schäden zu vermeiden, d. h. ein Ziel der Wiederherstellungszeit (Recovery Time Objective – RTO) für die Wiederherstellung eines ausgefallenen Servers oder ein Ziel des Wiederherstellungspunkts (Recovery Point Objective – RPO) für die Wiederherstellung der letzten Datensicherung.
VIII. Sekundäre Anlagen, Geräte, Standorte
Zweck: Identifizierung kritischer Ersatzanlagen, die zur Aufrechterhaltung des Betriebs verwendet werden können, wenn die primären Anlagen zerstört oder unzugänglich sind.
Dieser Abschnitt ist der wesentliche „Plan B“ für die kritischsten Abläufe in Ihrer Schule. Er umreißt die sekundären Anlagen und Prozesse, die vorhanden sein müssen, damit die Schule ihren Betrieb fortsetzen kann, falls die primären Anlagen nicht mehr zur Verfügung stehen.
Beispiele hierfür sind:
- Sekundäre Standorte für kritische Kurse oder Klassen
- Fernlernsysteme, die genutzt werden können, wenn kein Präsenzunterricht möglich ist
- Verfügbarkeit von Ersatz oder Mobilität von aktuellen Computern, Geräten und anderer Ausrüstung
- Versorgungsredundanz, z. B. Ersatzstromgeneratoren oder Telekommunikations- /ISP-Leitungen
IX. Kommunikation
Zweck: Sicherstellen, dass die Kommunikation während eines störenden Ereignisses fortgesetzt werden kann.
Dieser Abschnitt beschreibt die Systeme und Methoden, die die Schule verwenden wird, um die Kommunikation mit allen betroffenen Parteien fortzusetzen, ob es sich um Mitarbeiter, die Schülerschaft oder den gesamten Campus handelt. Wie werden die Wiederherstellungsteams miteinander kommunizieren? Wie werden die Studenten über Updates informiert, wenn der Unterricht verlegt oder verschoben wird? Wie werden Professoren Updates an Studenten kommunizieren, wenn primäre Systeme wie E-Mail ausgefallen sind?
Identifizieren Sie alle relevanten Kommunikationssysteme, -methoden und -protokolle:
- Notfallwarnsysteme, d. h. SMS, Schulwebsite, E-Mail-Netzwerk usw.
- Verfahren für die Kommunikation zwischen dem Wiederherstellungspersonal
- Verfahren für die Kommunikation mit externen Parteien, z. B. Behörden, Vorstandsmitgliedern, Anbietern, Medien usw.
X. Laufende Überprüfung
Zweck: Festlegen, wie und wann der Geschäftskontinuitätsplan der Hochschule im Laufe der Zeit überprüft und aktualisiert werden sollte.
In unserer Geschäftskontinuitätsplan-Vorlage für Hochschulen haben wir diesen Abschnitt am Ende eingefügt – er kann aber auch am Anfang in die Ziele aufgenommen werden. Das Hauptziel dieses Abschnitts ist es, sicherzustellen, dass das Dokument nicht veraltet. Er stellt sicher, dass der Plan immer auf dem neuesten Stand ist und dass alle neuen oder noch offenen Schwachstellen zeitnah angegangen werden.
Stärkere Datensicherheit für Hochschulen und Universitäten
Erhalten Sie weitere Anleitungen für die Implementierung einer stärkeren Kontinuitätsplanung und -systeme für Ihre Fachhochschule, Ihre Universität oder Ihre Privatschule. Sprechen Sie mit uns über eine professionelle Datensicherungslösung, die vor Datenverlust, Ransomware und Ausfallzeiten schützen können. Wenden Sie sich für weitere Informationen an unsere Business Continuity-Experten. Gerne sind wir Ihnen behilflich.
Gründer und Inhaber der hagel IT-Services GmbH. Technikfan mit Leidenschaft – stets auf der Suche nach neuen Möglichkeiten zur Verbesserung.
Kommentarbereich geschlossen.