Management Skill - Incident Management

Incident Management ist daher nicht nur eine reaktive Maßnahme, sondern auch ein proaktiver Ansatz zur kontinuierlichen Verbesserung der IT-Services und zur Steigerung der Serviceverfügbarkeit. Durch die Implementierung effektiver Incident Management Prozesse können Unternehmen ihre Betriebsabläufe optimieren und das Vertrauen der Kunden in ihre IT-Infrastruktur stärken.

Das Incident Management, ein wesentlicher Bestandteil des IT-Service-Managements, zielt darauf ab, die Funktionalität von IT-Services oder -Produkten bei Störungen schnellstmöglich wiederherzustellen und die negativen Auswirkungen auf das Geschäft zu minimieren. Dabei wird ein hoher Qualitätsstandard bei der Wiederherstellung der Services angestrebt, um die Verfügbarkeit und die Servicequalität auf hohem Niveau zu halten.

Ein Incident wird definiert als jedes Ereignis, das nicht Teil des normalen Betriebs eines IT-Service ist und das zu einer Unterbrechung oder einer Qualitätsminderung dieses Service führt. Dies umfasst auch sicherheitskritische Vorfälle, die potenziell den Geschäftsbetrieb unterbrechen, einschränken oder gefährden könnten, selbst wenn im ersten Moment keine direkten Auswirkungen sichtbar sind.

Zu den Aufgaben des Incident Managements gehören die Annahme, Bearbeitung, Verwaltung und Überwachung aller Incidents über den gesamten Prozess hinweg. Der Prozess wird ausgelöst durch den Nutzer, das Event Management oder durch andere Prozesse und ist in fünf Phasen gegliedert:

1. Annahme: Erfassung und Registrierung des Incidents im System.
   
   
2. Klassifizierung & Priorisierung: Bestimmung der Art des Incidents und Festlegung seiner Dringlichkeit und seines Einflusses, um die Reihenfolge der Bearbeitung zu bestimmen.
   
   
3. Diagnose: Untersuchung des Incidents, um die Ursache zu ermitteln und mögliche Lösungen zu identifizieren.
   
   
4. Behebung: Umsetzung einer Lösung, um den Incident zu beheben und den Service wiederherzustellen.
   
   
5. Lösung & Abschluss: Bestätigung, dass der Incident gelöst ist, und Dokumentation der Lösung im Incident-Management-System.

Ein entscheidender Faktor für die Effektivität des Incident Managements ist die Fähigkeit, Incidents innerhalb der vereinbarten Zeiten zu lösen. Diese Zeiten werden individuell mit den Service Managern abgestimmt. Durch eine umfassende Erfassung und Kontrolle der Incidents kann die Einhaltung der Service Level Agreements (SLAs) gewährleistet und aussagekräftige Berichte für das Management sowie für andere IT Service Management Prozesse bereitgestellt werden.

Die Hauptaufgabe des Incident Managements im IT-Service Management ist es, IT-Services oder Produkte bei auftretenden Störungen so schnell wie möglich, entsprechend den festgelegten Serviceklassendefinitionen, wiederherzustellen. Das oberste Ziel dabei ist, negative Auswirkungen auf den Geschäftsbetrieb zu minimieren und die Verfügbarkeit sowie die Qualität der Services auf einem möglichst hohen Niveau zu halten.

• Aufnahme: Erfassung und Dokumentation aller gemeldeten Incidents.
• Bearbeitung: Analyse und Diagnose der Störungen zur Identifizierung der Ursachen.
• Verwaltung: Koordination der Bearbeitungsschritte und Überwachung des Fortschritts.
• Überwachung: Kontinuierliche Beobachtung aller Incidents bis zu ihrer Behebung.

Definition einer Störung

Eine Störung im Kontext des Incident Managements wird definiert als jedes Ereignis, das nicht zum standardmäßigen Betrieb eines IT-Service gehört und eine Unterbrechung oder Qualitätseinbuße des Services bewirkt oder potenziell bewirken könnte.

Qualität der Service-Wiederherstellung

Im Mittelpunkt des Incident Managements steht die qualitativ hochwertige Wiederherstellung des Services. Das primäre Ziel ist dabei, die akuten Auswirkungen einer Störung so schnell wie möglich zu beheben. Sollte die Behebung nicht nachhaltig sein, wird eine dauerhafte Lösung über den Prozess des Problemmanagements angestrebt.

Diese Phase beinhaltet die Bereitstellung von Richtlinien, Werkzeugen und Unterstützung für die effektive Handhabung von Incidents durch das IT-Service-Management-Team.

Incident-Erfassung und –Klassifizierung
Alle Incidents werden systematisch erfasst und basierend auf ihrer Natur und Dringlichkeit klassifiziert. Diese Klassifizierung hilft, die Priorität festzulegen und eine angemessene Antwortstrategie zu entwickeln.

Behebung von Incidents und Major, Security und Privacy Incidents
Die direkte Behebung von Incidents, insbesondere von solchen, die als Major (groß), Security (Sicherheit) oder Privacy (Datenschutz) klassifiziert werden, durch Implementierung von Sofortmaßnahmen oder längerfristigen Lösungen.

Qualitätsgesicherte Kommunikation bei Major Incidents
Die Kommunikation während eines Major Incidents muss klar, präzise und zeitnah sein, um alle Beteiligten und Stakeholder angemessen zu informieren.

Qualitätsgesicherte Abwicklung bei Security Incidents
Security Incidents erfordern spezielle Aufmerksamkeit und ein strukturiertes Vorgehen, um Sicherheitsrisiken zu minimieren und die normale Betriebssicherheit wiederherzustellen.

Qualitätsgesicherte Abwicklung bei Privacy Incidents
Privacy Incidents, die personenbezogene Daten betreffen, müssen unter Einhaltung gesetzlicher Vorgaben und Datenschutzbestimmungen behandelt werden.

Behebung durch den Bearbeiter
Direkte Behebung der Incidents durch den zuständigen Bearbeiter, wobei versucht wird, die Störung möglichst schnell zu beseitigen.

Incident-Überwachung und –Eskalation
Kontinuierliche Überwachung der Incident-Bearbeitung und, falls notwendig, Eskalation an höhere Managementebenen oder spezialisierte Teams zur schnelleren Lösung.

Incident-Abschluss und –Auswertung
Nach der Behebung eines Incidents wird dieser formal abgeschlossen und ausgewertet, um Lehren für zukünftige Verbesserungen im Incident Management Prozess zu ziehen.

Proaktive Anwender-Information
Proaktive Information der Anwender über bekannte Probleme, Workarounds und geplante Maßnahmen zur Behebung, um Transparenz zu schaffen und das Anwendererlebnis zu verbessern.

• Zentraler Kontakt zum Support, bessere Kommunikation
  Ein einheitlicher Anlaufpunkt für alle Supportanfragen erleichtert die Kommunikation und stellt sicher, dass alle Störungen effizient erfasst und bearbeitet werden.
  
  
• Erfassung aller Störungen und Weiterleitung bei Bedarf
  Die systematische Erfassung aller Vorfälle ermöglicht eine zielgerichtete Analyse und Weiterleitung an die zuständigen Stellen für eine schnelle Behebung.
  
  
• Klare Verantwortlichkeiten während einer Störung
  Durch definierte Prozesse und Zuständigkeiten wird sichergestellt, dass jeder Incident zügig und effektiv behandelt wird.
  
  
• Problemerkennung durch Auswertung der Störungen
  Die systematische Analyse von Incidents fördert die Erkennung von tiefer liegenden Problemen und trägt zur kontinuierlichen Verbesserung der IT-Services bei.
  
  
• Nachhaltige Dokumentation von Störungen
  Die Dokumentation aller Incidents ermöglicht eine schnelle Identifikation und Behebung wiederkehrender Störungen und bildet eine Wissensbasis für zukünftige Incident-Bearbeitungen.

Erhöhung der Servicequalität durch Transparenz: Die transparente Darstellung von Störungen und deren Bearbeitungsstatus verbessert die Servicequalität und steigert das Vertrauen der Anwender in die IT-Services.

Der Incident-Management-Prozess beinhaltet typischerweise folgende Schritte:

1. Ticket-Eröffnung
   Der Kunde meldet eine Störung durch Erstellung eines Tickets.
   
   
2. Annahme
   Das Ticket wird von einem Bearbeiter angenommen und qualifiziert.
   
   
3. Workaround oder Lösung
   Es wird eine vorübergehende Lösung (Workaround) oder eine dauerhafte Lösung für den Incident gesucht.
   
   
4. Review und Abschluss
   Nach der Umsetzung der Lösung wird der Incident überprüft und das Ticket geschlossen.

• Annehmen von Störungsmeldungen
  Die qualifizierte Aufnahme von Incidents und deren Dokumentation im System.
  
  
• Klassifizierung und Priorisierung von Incidents
  Incidents werden nach ihrer Dringlichkeit und Auswirkung eingestuft und entsprechend behandelt.
  
  
• Ergänzung von fehlenden Angaben
  Durch Rückfragen werden notwendige Informationen für eine effiziente Bearbeitung eingeholt.
  
  
• Initiierung von Maßnahmen
  Basierend auf der Priorität werden Maßnahmen zur Incident-Behebung ergriffen und gesteuer

Die Einteilung der Incidents erfolgt in verschiedene Prioritätsstufen, wobei die maximale Bearbeitungszeit je nach Priorität variiert, von wenigen Stunden für hochpriorisierte Incidents bis zu mehreren Tagen für weniger kritische Fälle.

Die Auswirkung ("Impact") eines Incidents wird anhand des potenziellen oder tatsächlichen Schadens bewertet. Diese Bewertung umfasst finanzielle Verluste, Imageschäden, Beeinträchtigungen des Betriebsablaufs und mögliche Verstöße gegen regulatorische Anforderungen. Die Auswirkung ist ein zentraler Faktor zur Bestimmung der Priorität eines Incidents und muss sorgfältig im Incident Record dokumentiert werden.

High (Hoch)

• Betroffene: Alle Kunden oder Mitarbeiter sind von der Störung betroffen.
• Finanzieller Schaden: Übersteigt einen festgelegten Betrag, z.B. mehr als 900.000€.
• Imageschaden: Bedeutender Schaden mit Außenwirkung, einschließlich Social Media und anderen Medien.
• Regulatorische Auswirkungen: Mögliche Verstöße gegen Gesetze oder Vorschriften, die erhebliche Konsequenzen nach sich ziehen können.

Medium (Mittel)

• Betroffene: Größere Gruppen von Kunden oder Mitarbeitern sind betroffen.
• Finanzieller Schaden: Liegt zwischen definierten Beträgen, z.B. mehr als 100.000€, aber weniger als 900.000€.
• Imageschaden: Geringerer Schaden mit potenzieller Außenwirkung.
• Regulatorische Auswirkungen: Geringfügige rechtliche oder sicherheitsrelevante Auswirkungen, die mittlere Strafzahlungen oder Konsequenzen nach sich ziehen könnten.

Low (Niedrig)

• Betroffene: Nur wenige einzelne Kunden oder Mitarbeiter sind betroffen.
• Finanzieller Schaden: Unter einem definierten Betrag, z.B. weniger als 100.000€.
• Imageschaden: Kein Schaden mit Außenwirkung feststellbar.
• Regulatorische Auswirkungen: Keine vermuteten Auswirkungen auf rechtliche, sicherheits- oder behördenrelevante Aspekte.

Die Dringlichkeit ("Urgency") eines Incidents gibt an, wie schnell eine Lösung erforderlich ist, um den normalen Servicebetrieb wiederherzustellen oder um negative Auswirkungen auf den Geschäftsbetrieb zu minimieren. Sie ist ein entscheidender Faktor bei der Festlegung der Priorität eines Incidents und sollte präzise im Incident Record festgehalten werden.

High (Hoch)

• Servicebeeinträchtigung: Vollständige Störung des Service oder Produkts.
• Workarounds: Keine verfügbar.
• Betriebsfähigkeit: Der Geschäftsprozess ist nicht durchführbar; kein Arbeiten möglich.
• Schadensentwicklung: Der Schaden wächst schnell und kontinuierlich.

Medium (Mittel)

• Servicebeeinträchtigung: Wesentliche Einschränkung des Service oder Produkts.
• Workarounds: Vorhanden, aber nur temporär wirksam.
• Betriebsfähigkeit: Eingeschränkte oder erschwerte Arbeitsmöglichkeit; Prozesse können nur mit reduzierter Leistung oder erhöhtem Aufwand fortgesetzt werden.
• Schadensentwicklung: Der Schaden nimmt mit der Zeit signifikant zu.

Low (Niedrig)

• Servicebeeinträchtigung: Geringfügige Störung des Service oder Produkts.
• Workarounds: Dauerhafte Lösungen vorhanden.
• Betriebsfähigkeit: Normale Arbeitsfähigkeit weitgehend gewährleistet; Prozesse können mit minimal erhöhtem Aufwand durchgeführt werden.
• Schadensentwicklung: Geringe oder keine Zunahme des Schadens über die Zeit.

In der Priorisierungsmatrix für Standard-Incidents werden die Dringlichkeit und die Auswirkung eines Vorfalls bewertet, um eine entsprechende Prioritätsstufe zuzuweisen. Wenn beispielsweise ein Incident sowohl eine hohe Dringlichkeit als auch eine hohe Auswirkung hat, wird ihm die höchste Prioritätsstufe 1 zugeordnet. Dies würde bedeuten, dass ein sofortiges Handeln erforderlich ist, da sowohl der potenzielle Schaden als auch die Notwendigkeit einer schnellen Lösung groß sind.

Bei einer mittleren Dringlichkeit und einer hohen Auswirkung wird der Vorfall mit der hohen Priorität 2 eingeordnet, was eine schnelle, aber nicht unmittelbare Reaktion erfordert. Eine niedrige Dringlichkeit bei gleichzeitig hoher Auswirkung resultiert in einer mittleren Priorität 3.

Auf der anderen Seite bedeutet eine hohe Dringlichkeit bei mittlerer Auswirkung, dass der Incident immer noch eine hohe Priorität 2 hat. Wenn die Dringlichkeit und Auswirkung beide mittel sind, wird die Priorität als mittel (3) eingeordnet, und bei niedriger Dringlichkeit und mittlerer Auswirkung als niedrig (4). Sollten sowohl die Dringlichkeit als auch die Auswirkung niedrig sein, wird die Priorität ebenfalls als niedrig (4) klassifiziert.

Die Dauer, innerhalb derer eine Störung behoben werden muss, hängt von ihrer zugewiesenen Prioritätsstufe ab:

• Highest (Höchste Priorität)
  Es müssen sofortige Maßnahmen innerhalb der festgelegten Servicezeiten ergriffen werden, um die Störung unverzüglich zu beheben.
  
  
• High (Hohe Priorität)
  Maßnahmen müssen so schnell wie möglich eingeleitet werden, um sicherzustellen, dass die Störung innerhalb von 24 Stunden Servicezeit behoben wird.
  
  
• Medium (Mittlere Priorität)
  Maßnahmen müssen so geplant werden, dass die Störung innerhalb von 72 Stunden Servicezeit behoben wird.
  
  
• Low (Niedrige Priorität)
  Es müssen keine unmittelbaren Maßnahmen eingeleitet werden. Die Lösung kann zu einem späteren Zeitpunkt erfolgen, der außerhalb der unmittelbaren Servicezeiten liegt.

Die Abgrenzung zwischen einem Standard-Incident und einem Major-Incident ergibt sich aus dem Grad der Dringlichkeit, die Geschäftskritikalität des Vorfalls schnellstmöglich zu beheben. Ein Major-Incident liegt vor, wenn der Incident neben einer hohen Priorität auch erhebliche geschäftskritische Auswirkungen hat, die folgende Bereiche betreffen können:

• Monetäre Relevanz
  Der Incident führt zu erheblichen finanziellen Verlusten oder Kosten.
  
  
• Endkundeneinschränkungen
  Der Incident schränkt eine große Anzahl von Endkunden in der Nutzung der Services stark ein.
  
  
• Reputationsrelevanz
  Der Incident könnte den Ruf des Unternehmens negativ beeinflussen und zu einem Vertrauensverlust bei Kunden oder der Öffentlichkeit führen.
  
  
• Sicherheitsrelevanz
  Der Incident birgt ein hohes Sicherheitsrisiko, beispielsweise durch den Verlust von schützenswerten Daten oder durch unautorisierten Zugriff auf Systeme.
  
  
• Juristische Relevanz
  Der Incident hat potenzielle juristische Konsequenzen, wie zum Beispiel Verletzungen von gesetzlichen Vorgaben oder Vertragsverpflichtungen.

Sicherheitsvorfälle sind Ereignisse, die eine Gefährdung für die Informationssicherheit darstellen und die Vertraulichkeit, Verfügbarkeit oder Integrität von Daten oder IT-Dienstleistungen beeinträchtigen können. Solche Vorfälle können nicht nur zu erheblichen materiellen Schäden führen, sondern auch die Sicherheit von Personen gefährden und das Vertrauen in Unternehmen oder Organisationen untergraben.

Zu den typischen Sicherheitsvorfällen zählen:

• Malwarebefall
  Infektion von Endgeräten, Servern oder Netzwerken mit Schadsoftware.
  
  
• Datenschutzvorfall
  Unbefugte Manipulation, Löschung oder Offenlegung von Daten.
  
  
• Verlustmeldung
  Verlust von vertraulichen Informationen, Geschäfts-Laptops, Smartphones oder Privileged Admin Workstations (PAWs).
  
  
• Social Engineering
  Betrugsversuche durch Phishing, Spear-Phishing, CEO-Fraud oder allgemeine Erpressungsversuche.
  
  
• Verfügbarkeitsattacken (Denial-of-Service)
  Angriffe, die dazu führen, dass Dienste nicht oder nur eingeschränkt verfügbar sind.
  
  
• Nicht autorisierter Zugriff
  Zugriffe auf IT-Systeme durch unbefugte Personen.
  
  
• Vorfall bei einem Dienstleister
  Sicherheitsvorfälle, die bei Dienstleistern auftreten und Einfluss auf das eigene Unternehmen haben könnten.

Datenschutzvorfälle umfassen jegliche Situationen, in denen die Vertraulichkeit personenbezogener Daten beeinträchtigt wurde. Diese können sowohl durch absichtliche Handlungen als auch durch Versehen, sowohl von Personen innerhalb als auch außerhalb des Unternehmens, verursacht werden. Einige beispielhafte Szenarien sind:

• Unrechtmäßige Übermittlung
  Wenn beispielsweise eine E-Mail mit sensiblen Daten an den falschen Empfänger gesendet wird.
  
  
• Verlust oder Diebstahl von Datenträgern
  Hierzu zählen auch physische Dokumente, die personenbezogene Informationen enthalten.
  
  
• Datenpannen oder -lecks
  Diese können durch Softwarefehler oder Angriffe auf die IT-Infrastruktur, wie Hacking, entstehen.
  
  
• Unbeabsichtigte Datenmanipulation
  Dazu gehören versehentliche Änderungen oder das ungewollte Löschen von personenbezogenen Daten.

Change Management ist ein kritischer Prozess im IT-Service Management, der Veränderungen in der IT-Infrastruktur strukturiert und kontrolliert umsetzt, um Serviceunterbrechungen zu minimieren und die Effizienz der durchgeführten Änderungen zu maximieren. Hierbei sind zwei Schlüsselaktivitäten hervorzuheben:

1. Stellen eines Requests for Change (RfC)
   Wenn das Incident Management eine Störung oder einen Fehler identifiziert hat und die Ursache ermittelt wurde, schlägt es einen Lösungsvorschlag vor. Ist die Lösung komplex und könnte weitere Auswirkungen haben, wird ein formaler RfC an das Change Management gestellt. Dieser Antrag beinhaltet eine detaillierte Beschreibung des Problems, des vorgeschlagenen Lösungswegs, der betroffenen Systeme sowie eine Risikoabschätzung und -bewertung. Die Einreichung des RfC ist der erste Schritt, um eine Genehmigung für die Implementierung der vorgeschlagenen Änderung zu erhalten.
   
   
2. Post Implementation Review (PIR)
   Nach der Umsetzung des Changes wird eine Nachprüfung durchgeführt. Dieser Review wird vom Change Management in Auftrag gegeben und dient dazu, die Effektivität des Changes zu bewerten und sicherzustellen, dass die gewünschten Ergebnisse erreicht wurden, ohne unvorhergesehene negative Auswirkungen zu verursachen. Der PIR beinhaltet normalerweise eine Zusammenarbeit zwischen den Supportgruppen, die den Change umgesetzt haben, und dem Change Manager. Ziel ist es, zu lernen und künftige Changes noch besser zu planen und durchzuführen. Wichtige Fragen, die im PIR gestellt werden, sind unter anderem, ob der Change wie geplant umgesetzt wurde, ob er innerhalb des geplanten Zeitrahmens und Budgets abgeschlossen wurde und wie der Change die Servicequalität verbessert hat.

Das Configuration Management spielt eine fundamentale Rolle im IT-Service Management, indem es als Informationszentrum für alle Konfigurationselemente (Configuration Items, CIs) fungiert, die im IT-Bereich eines Unternehmens genutzt werden. Hier die Hauptfunktionen und -aktivitäten:

• Erfassung und Verwaltung der Konfigurationselemente (CIs)
  Im Configuration Management werden detaillierte Informationen über einzelne CIs erfasst, von Servern und Softwareanwendungen bis hin zu Netzwerkkomponenten und Datenbanken.
  
  
• Beziehungen zwischen CIs darstellen
  Die CMDB bildet nicht nur die CIs selbst ab, sondern auch die komplexen Beziehungen zwischen ihnen, was für das Verständnis von Abhängigkeiten und für das Risikomanagement bei Änderungen unerlässlich ist.
  
  
• Unterstützung für das Incident Management
  Wenn ein Incident gemeldet wird, hilft die CMDB dem Incident Management, die betroffenen CIs zu identifizieren. Dies ermöglicht eine schnelle Analyse der Auswirkungen eines Incidents auf Services und Prozesse.
  
  
• Aktualisierung von CIs
  Nachdem Änderungen durchgeführt wurden, ist das Configuration Management dafür verantwortlich, die CMDB zu aktualisieren, um den aktuellen Stand der IT-Infrastruktur widerzuspiegeln. Dies sichert die Integrität der Daten in der CMDB.
  
  
• Überwachung und Reporting
  Das Configuration Management überwacht den Zustand der CIs und stellt sicher, dass sie ordnungsgemäß funktionieren. Es liefert auch Berichte über die Konfiguration und den Status der CIs, die für Audits und Compliance-Überprüfungen wichtig sind.

Das Problem Management ist eine Kernkomponente im IT-Service Management. Es zielt darauf ab, die Ursachen von Incidents zu diagnostizieren und zu beheben, um Wiederholungen zu verhindern und die Servicequalität zu verbessern. Hier sind einige zentrale Aspekte des Prozesses:

• Identifizierung von Problemkandidaten
  Incidents, die häufig auftreten oder eine hohe Ähnlichkeit mit bereits bekannten Störungen aufweisen, werden vom Incident Management als potenzielle Probleme an das Problem Management übermittelt.
  
  
• Root-Cause-Analyse (Ursachenanalyse)
  Das Problem Management untersucht die zugrunde liegenden Ursachen von Incidents, um strukturelle Lösungen zu entwickeln und nicht nur Symptome kurzfristig zu beheben.
  
  
• Initiierung von Lösungen
  Nach der Identifizierung der Ursachen werden Änderungen oder Projekte initiiert, die langfristige Korrekturen ermöglichen und die Zuverlässigkeit der IT-Services steigern.
  
  
• Informationsaustausch
  Das Problem Management arbeitet eng mit anderen ITSM-Prozessen zusammen und stellt sicher, dass alle relevanten Informationen zur Problemlösung verfügbar sind und dass geeignete Korrekturmaßnahmen eingeleitet werden.
  
  
• Vermeidung zukünftiger Incidents
  Ein zentraler Nutzen des Problem Managements ist die Reduzierung der Anzahl und Auswirkung von Incidents, was zu einer gesteigerten Stabilität und Verfügbarkeit der IT-Services führt.
  
  
• Kommunikation und Dokumentation
  Alle Schritte und Entscheidungen innerhalb des Problem Managements werden dokumentiert und kommuniziert, um Transparenz und Lernmöglichkeiten für die Organisation zu schaffen.

Das IT-Notfallmanagement ist eine entscheidende Disziplin innerhalb des IT Service Managements und fokussiert auf die Aufrechterhaltung der Betriebsfähigkeit und das Management von Risiken, die IT-Systeme und Geschäftsprozesse gefährden könnten. Hier die zentralen Aufgaben im Überblick:

• Risikoerkennung
  Frühzeitiges Erkennen von potenziellen Risiken, die IT-Services und -Produkte beeinträchtigen könnten.
  
  
• Risikoanalyse
  Detaillierte Untersuchung identifizierter Risiken, um deren mögliche Auswirkungen auf die Geschäftstätigkeit zu verstehen.
  
  
• Maßnahmenableitung
  Entwicklung von Strategien und Maßnahmen zur Risikominderung und zur Vermeidung von IT-Notfällen.
  
  
• Notfallvorsorge
  Erstellung und Implementierung von Notfallplänen, die festlegen, wie im Falle eines IT-Notfalls vorgegangen wird.
  
  
• Reaktion auf Notfälle
  Schnelle und zielgerichtete Reaktion bei eingetretenen Notfällen, um die Kontinuität der kritischen IT-Services und -Produkte sicherzustellen.
  
  
• Wiederherstellung
  Planung und Durchführung der erforderlichen Schritte, um nach einem Notfall zum Normalbetrieb zurückzukehren.
  
  
• Kontinuierliche Verbesserung
  Regelmäßige Überprüfung und Aktualisierung der Notfallpläne und Risikomanagementverfahren, um aus vergangenen Notfällen zu lernen und die Vorbereitung auf zukünftige Notfälle zu verbessern.

Das Information Security Management ist ein fundamentaler Bestandteil des IT Service Managements und zielt darauf ab, die Informationssicherheit innerhalb der Organisation zu gewährleisten und kontinuierlich zu verbessern. In Bezug auf das Incident Management erfüllt es folgende zentrale Aufgaben:

• Festlegung von Sicherheitsanforderungen
  Das ISM definiert, welche Sicherheitsstandards und -richtlinien für die Verarbeitung und Verwaltung von Incidents einzuhalten sind. Diese Anforderungen sind in allen Phasen des Incident Managements zu berücksichtigen.
  
  
• Risikobewertung und -management
  Identifizierung und Bewertung von sicherheitsrelevanten Risiken, die im Zusammenhang mit Incidents auftreten können. Das ISM stellt sicher, dass diese Risiken angemessen gehandhabt werden.
  
  
• Sicherheitsberatung
  Bereitstellung von Fachwissen und Unterstützung für das Incident Management Team, um sicherzustellen, dass Incidents unter Berücksichtigung der Informationssicherheit effektiv bearbeitet werden.
  
  
• Überwachung und Compliance
  Überprüfung, ob die Bearbeitung von Incidents den festgelegten Sicherheitsrichtlinien und -verfahren entspricht. Das ISM überwacht die Einhaltung dieser Vorgaben und leitet gegebenenfalls Korrekturmaßnahmen ein.
  
  
• Sensibilisierung und Schulung
  Organisation von Schulungen und Sensibilisierungsmaßnahmen für das Incident Management Team und andere relevante Stakeholder, um das Bewusstsein für Informationssicherheit zu schärfen und sicherheitsrelevante Kenntnisse zu vermitteln.
  
  
• Kontinuierliche Verbesserung
  Analyse der im Rahmen des Incident Managements gesammelten Sicherheitsvorfälle, um Schwachstellen und Verbesserungspotenziale zu identifizieren. Das ISM initiiert Maßnahmen zur Stärkung der Informationssicherheit und zur Prävention zukünftiger Sicherheitsvorfälle.