Personal, höhere Gewalt, Fazit
Foto: Thorsten Hoth
Vergessen wir aber nicht den Dauerpatienten Mensch – sowohl das interne als auch das externe Personal. Unternehmen sollten zumindest darauf vorbereitet sein, dass die wichtigsten Mitarbeiter ausfallen oder das Unternehmen Richtung Konkurrenz verlassen. Eine Möglichkeit ist, andere Mitarbeiter rechtzeitig mit deren Know-how zu schulen, was allerdings zeitaufwändig ist und den laufenden Betrieb einschränken kann.
Besser ist es, auf externe Personaldienstleister zurückzugreifen. Jedoch kann auch das zum Risiko werden. Thorsten Hoth, langjähriger Unternehmer in der Sicherheitsbranche, kennt die Gefahr aufgrund des herrschenden Niedriglohn-Niveaus und einer lediglich vorausgesetzten Ein-Tages-Prüfung seitens der IHK gut: "In dem meisten Fällen bieten unsere Sicherheitsfirmen nur Statisten, die unmotiviert und oft übernächtigt sind."
Diese helfen in wirklichen Notsituationen kaum weiter. Deshalb sei es wichtig, nicht nur auf den Faktor Personalkosten zu schauen: "Statt dem billigsten Anbieter den Zuschlag zu erteilen, sollte man den günstigen wählen. Denn günstig heißt hier, das beste Preis-Leistungsverhältnis zu nehmen", rät Hoth. Nur so stellten Unternehmen wirklich sicher, dass bei Personalausfall professioneller Ersatz vorhanden sei und die Sicherheit nicht zusätzlich leide.
Vorsätzliche Handlungen
Hacker, Einbrecher, Social Engineers und auch Insider mit falschen Absichten können IT-Abteilungen enorme Kopfschmerzen bereiten. Deshalb müssen sie ebenfalls Teil einer BCM-Strategie sein. Im ISO-Standard 27001 ist im Appendix A 13 der Punkt "Umgang mit Informationssicherheitsvorfällen" aufgeführt, der derartige Risiken behandelt. Weil kaum ein Unternehmen von vorsätzlichen Handlungen unberührt bleibt, sind deren Kategorisierung und die Aufstellung geeigneter Gegenmaßnahmen so wichtig. Nehmen etwa die Hacker-Angriffe von außen zu, müssen die Mitarbeiter entsprechend darauf geschult sein. Reicht das nicht aus, lässt sich das Problem vielleicht mit einer Aufstockung des Personals beheben (siehe auch Punkt "Personal").
Höhere Gewalt
In der IT-Abteilung fällt der Strom aus. Und das Unternehmen ist nicht darauf vorbereitet. Der GAU. Nicht so, wenn Notstromaggregate oder zumindest eine Betriebsausfallversicherung vorhanden sind. Was ist bei Brand, Hochwasser oder gar Erdbeben? Hoffentlich befindet sich der Serverraum nicht im Keller. Falls doch, welche Maßnahmen wurden gegen Hochwasserschäden getroffen?
Sicherlich sind solche Szenarien eher die Ausnahme als die Regel. Und doch sollten sie in der BCM-Planung enthalten sein. Entscheidend ist die Frage nach der Risikoakzeptanz. Wie mobil ist die IT-Abteilung und sind entsprechende redundante Räumlichkeiten vorhanden? Die zeitliche Umsetzung solcher Maßnahmen gehört natürlich auch in die Planung mit hinein.
Regelmäßiges Testen des BCM
Ein BCM soll nicht nur auf Papier stehen, sondern auch in der Realität funktionieren. Regelmäßige Prüfungen sind daher ein Muss. Zu prüfen sind vor allem Funktionalität und Effektivität der Maßnahmen. Aber auch der Stand der Technik ist mit zu beachten. Schließlich dreht sich die Welt und mit ihr die Entwicklung der Sicherheitstechnik. Und gerade im IT-Bereich kann es schnell passieren, dass man den Anschluss verliert.
Foto: Stanislav Wittmann
Es ist nicht verkehrt, derartige Tests durch externe Spezialisten wie Auditoren oder Penetrationstester vornehmen zu lassen – sie werfen noch einmal einen anderen Blick auf mögliche Risiken.
Fazit
"Die Informationstechnologie hat sich in den vergangenen Jahren rasant entwickelt. In komplexen Prozessen und Strukturen, die sich heutzutage meist auf computergestützten Systemen abstützen und in ein ISMS eingebettet sein sollten, fällt es nicht immer leicht, alle Schwachstellen frühzeitig zu erkennen", erläutert Andreas Teuscher, Chief Information Security Officer bei der SICK AG, ISO 27001 Lead-Auditor und Vorstand des ISACA Germany Chapter.
Genau darum geht es beim BCM: Das Restrisiko so weit wie möglich reduzieren und mögliche Schäden transparent machen. Aber genau das ist auch das größte Hindernis im Notfallmanagement: Wer nicht ehrlich zu sich selbst ist, verliert. Teuscher stellt klar: "Ein risikoorientierteres BCM bildet eine Art zweiten Verteidigungsring und hilft die Lücken in einer ach zu optimistischen Risikoanalyse zu schließen. Grundvoraussetzung ist jedoch, dass sich eine BCM auf das Wesentliche beschränkt, Routinen etabliert und alle Wiederanlaufszenarien getestet worden sind".
Oberstes Ziel des Business-Continuity-Managements ist es, gar nicht erst greifen zu müssen. Um das zu erreichen, gilt es, alle Sicherheitsvorfälle genau zu untersuchen und auch zu protokollieren. Erst dadurch lassen sich wirksame Gegenmaßnahmen entwickeln.
BCM ist ein komplexes Thema und keine unabhängige, für sich alleinstehende Säule. Nur eingebunden in die Gesamtstrategie des Unternehmens hält es, was es verspricht. Neben einem seriösen Risiko-Management braucht es dafür vor allem eine Geschäftsleitung, die selbst hinter dem BCM steht, auch wenn dessen Nutzen nicht unbedingt direkt sichtbar ist. Dazu abschließend ein Vergleich: Jahrhunderte lang waren in Europa nur weiße Schwäne bekannt und daraus folgte die (induktive) Schlussfolgerung, dass alle Schwäne weiß seien. Die Existenz schwarzer Schwäne wurde ausgeschlossen – bis diese These mit der Entdeckung Australiens widerlegt wurde. Die Frage an Sie als Unternehmen lautet: Sind Sie auf die schwarzen Schwäne vorbereitet? (tö)
Autor: Stanislav Wittmann