Startseite » Blog » Digital Business Continuity: Die wichtigsten Schritte für eine wirksame Notfallplanung
Apr 06 2024
Aus

Digital Business Continuity: Die wichtigsten Schritte fĂĽr eine wirksame Notfallplanung

Von Rene Reinisch

Nur, wer sich auf den Ernstfall vorbereitet, bleibt dann, falls er eintreten sollte, souverän und kann gezielt vorgehen. In der heutigen Zeit, in der praktisch kein Unternehmen mehr ohne einen mehr oder weniger hohen Grad von Digitalisierung operieren kann, können nicht nur Cyberkriminelle für Situationen sorgen, in denen es buchstäblich um Leben und Tod des Betriebs geht.

 

Angesichts dessen lässt sich insbesondere in den kleinen und kleinsten Unternehmen eine ähnlich schlechte Vorbereitung betrachten, wie es auch beim Schutz gegen Cyberattacken der Fall ist. Dabei lässt sich eine sehr wirksame Business Continuity der digitalen Firmenbestandteile bereits mit einigen wenigen Schritten vorbereiten. Selbst, wenn sie danach noch ausbaufähig bleibt und mitunter Feinarbeit benötigt, wurde wenigstens etwas getan – anstatt im betrieblichen „V-Fall“ völlig plan- und kopflos dazustehen.

 

Die Notwendigkeit begreifen

„Selbsterkenntnis ist der erste Schritt zur Besserung“ – weiß zumindest der Volksmund. Was einen Business Continuity Plan (kurz BCP) anbelangt, so stimmt dieses Sprichwort bemerkenswert. Denn zu viele kleine Unternehmen operieren diesbezüglich auf Sicht und ohne eine stringente Planung für Ernstfälle – wenigstens nicht solche der digitalen Natur.

 

Wie schlimm sich dieses Versagen auswirken kann, erlebten zahlreichen Betriebe zu Beginn der Pandemie. Selbst dort, wo die reine Arbeit durchaus remote durchgeführt werden konnte, gab es meist eine sehr lange, holprige Übergangsphase, bis trotz Lockdowns und Co. wieder ein geregeltes Agieren möglich war. Hauptgrund dafür war, dass solche Firmen schlichtweg keinen BCP besaßen, der diesen Teil der Arbeit abdeckte.

Heißt: Der erste und vielleicht wichtigste Schritt zum Aufbau einer digitalen Geschäftskontinuität lautet, überhaupt die Notwendigkeit anzuerkennen – einfach, weil zwischen urplötzlich funktionsunfähiger Hardware, unvorhersehbaren Ausfällen von digitalen Dienstleistern (Stichwort Cloud) und globalen Katastrophen jederzeit eine Notwendigkeit dafür entstehen kann und nur vorbereitete Firmen eine Chance zum Überstehen haben.

 

Die digitalen Gefahren auflisten

Praktisch jedes Unternehmen mag digitale Techniken und Arbeitsweisen einsetzen. Jedoch ist längst nicht jedes davon von allen potenziellen Risiken gleichermaßen betroffen. Wer beispielsweise keinerlei Cloud-Dienste nutzt, dem können sämtliche damit einhergehenden Ausfälle schlicht gleichgültig sein.

Daraus ergeht also die Notwendigkeit, erst einmal zu eruieren, welche digitalen Gefahren dem Unternehmen wirklich drohen. Diese beziehen sich auf:

 

  • Cybercrime im Allgemeinen,
  • Verbindungsprobleme (lokal und ĂĽberregional),
  • Ausfall von Hardware,
  • Ausfall von Software, sowie
  • lokale und ĂĽberregionale GrĂĽnde, die ein Ă„ndern der digitalen Arbeitsweise benötigen – wie etwa zu Pandemiebeginn gesehen

 

Ziel muss sein, jedes potenzielle Risiko des Unternehmens hinter diesen Oberbegriffen zu identifizieren – ganz gleich, wie unwahrscheinlich sein Eintreten erscheinen mag!

 

Die wichtigsten Funktionen im Haus identifizieren

Wenn der Computer des CEO kaputtgeht, dann wiegt dies zwar schwer. Was jedoch die allgemeine Arbeitsfähigkeit des Unternehmens anbelangt, dürfte – beispielsweise – ein Ausfall der firmeninternen Server durch ein Feuer deutlich gefahrenträchtiger sein.

Das heißt, wenn sämtliche generellen Risiken für das Unternehmen aufgelistet wurden, dann wird es im nächsten Schritt erforderlich

 

  1. zu evaluieren, in welcher Art diese sich auf den Betrieb auswirken könnten und
  2. zu definieren, was in welcher Reihenfolge zuerst wiederhergestellt werden muss.

In absteigender Wertigkeit stellt sich dies folgendermaĂźen dar:

 

  • Mit Abstand am wichtigsten ist das, was eine Firma von ihren Konkurrenten abhebt. Damit sind vor allem Firmengeheimnisse unterschiedlichster Art gemeint.
  • Danach kommen alle Funktionen, die es dem Unternehmen ermöglichen, sein Produkt oder seine Dienstleistungen weiterhin anbieten zu können.
  • Es folgen die MaĂźnahmen, die eventuell nötig werden können, um Kunden, Partner, Shareholder etc. ĂĽberhaupt von einer Notlage in Kenntnis setzen zu können.

 

Ein simples Beispiel ist dasjenige eines größeren, länger andauernden Stromausfalls. Egal, wie chaotisch die Situation sein mag, zunächst muss sichergestellt werden, dass dennoch die wichtigsten Firmendaten nicht in fremde Hände geraten oder verlorengehen. Dann muss es eine Möglichkeit geben, damit wenigstens rudimentäre Funktionen aufrechterhalten werden können. Schließlich sind Optionen nötig, um die wichtigsten Beteiligten von der Sachlage zu informieren.

 

Tipp: Zumindest für die wichtigsten Firmendaten ist es niemals falsch, wenn diese (natürlich stets aktualisiert), auf vom restlichen Netzwerk dauernd getrennten Datenspeichern dupliziert vorhanden sind. Idealerweise sogar räumlich vom Unternehmen getrennt.

 

Funktionspersonen und Notfallsysteme identifizieren

Schnelle Frage: Wenn Hacker via Ransomware die Systeme der Firma blockieren und ein Lösegeld fordern, sollte dann zunächst die Polizei, der CEO oder ein IT-Dienstleister kontaktiert werden? Wer hierauf spontan keine richtige Antwort weiß, der erkennt vielleicht den Grund, warum es für einen effektiven digitalen BCP nötig ist, zuvor schon die richtigen Personen und Notfallsysteme zu identifizieren.

Nötig ist hierbei selbst in kleinsten Unternehmen:

 

  1. Eine Person, die in jeder Art von Notfall als Koordinator auftritt. Mitunter können etwas größere Betriebe weitere Unter-Koordinatoren für verschiedene Bereiche benennen. Wichtig: Unbedingt muss jede Person eine Vertretung haben und es darf bei Urlauben keine Überscheidungen geben.
  2. Ein (externer) Spezialist, der sich nur mit dem Thema Datenrettung bzw. Datenwiederherstellung befasst – idealerweise in Kombination mit weiteren Dienstleistungen wie Digitalforensik. Hierfür kommen ausschließlich 24/7 verfügbare Profis Und stets sollte deren Kooperation bereits im Vorfeld sichergestellt werden.
  3. Ein Lieferant, der ausgefallene Hardware-Bausteine jederzeit schnellstens liefern kann. Idealerweise hat jedoch jedes Unternehmen wenigstens einen kleinen Vorrat zur Hand.
  4. Ein Kommunikationskanal, der selbst bei größeren Schwierigkeiten noch funktioniert. Dies kann beispielsweise ein SIM-fähiger Router in Verbindung mit einem digitaltauglichen (= mit Inverter versehenen) Notstromaggregat sein – idealerweise jedoch nicht vom üblichen Provider. Nur dann besteht selbst dann Sicherheit, wenn bei dessen Systemen etwas schiefgeht (etwa Serverausfälle).
  5. Eine unbedingt analog vorhandene Anleitung für Meldeketten. Dazu die Kontaktdaten aller Mitarbeiter, Passwörter, Vertragsinformationen, Listen mit digitalem Inventar etc. Tipp: Passwörter sollten unbedingt in versiegelten Umschlägen aufbewahrt werden und generell gehört dieses gesamte „Notfallhandbuch“ in einen Tresor.

 

Wird dieser Schritt sorgfältig abgearbeitet, dann ist in jedem Unternehmen bekannt, wer im Fall der Fälle für was zu ständig ist. Man weiß, wer im Notfall zu rufen ist und welche Schritte in welcher Reihenfolge zu tun sind. Zudem gibt es selbst bei größeren Katastrophen stets eine Möglichkeit, mit der Außenwelt zu kommunizieren.

 

 

Immer wieder ĂĽben

Die beste Vorbereitung ist nur so viel wert wie das Wissen um den gesamten Inhalt und darüber, wie man sich zu verhalten hat. Mindestens einmal jährlich, besser jedoch im halbjährigen Turnus, sollte jede Firma diese Notfallpläne im Rahmen einer Übung auf ihre Tauglichkeit hin überprüfen.

Beispielsweise kann der Notfallkoordinator damit beauftragt werden, verschiedene „Katastrophenszenarien“ aufzubauen, die während der Übung thematisiert werden. Beispielsweise:

 

  • Ausfall der Stromversorgung selbst jenseits des Firmengebäudes.
  • Brand oder Vandalismus im Serverraum.
  • Ransomware-Attacke auf das Firmennetzwerk.
  • Längerdauernder Ausfall des Internetproviders.
  • Diebstahl eines Firmenrechners mit gespeicherten Daten und Zugängen.

 

Wichtig ist, dass diese Szenarien a) lebensnah sind und b) den für das Unternehmen tatsächlich zu erwartenden digitalen Risiken entsprechen. Die hier aufgezeigte Liste kann daher deutlich erweitert oder variiert werden.

 

Wenn es bei der Übung tatsächlich um maximalen Realismus geht, sollte zudem erst im weiteren Verlauf aufgedeckt werden, dass es tatsächlich nur eine Übung ist. Wenigstens sollte jedoch niemals der Termin schon im Vorfeld bekannt sein – der digitale V-Fall pflegt schließlich auch nicht, sich zuvor anzukündigen.

Weiterlesen:

Gefällt dir dieser Beitrag?
+1
0
+1
0
+1
0
Veröffentlicht inAlle Beiträge Lifestyle Ratgeber

Ăśber den Autor

Autor & Inhaber Besuche mich auf LinkedIn Infos ĂĽber mich