Ein Stromausfall und die Folgen für das BCM

Konzepte, was in einem Krisenfall alles getan werden muss, sind in den meisten Unternehmen vorhanden. Getestet werden sie auch. Tritt dann doch einmal ein Ernstfall ein, sieht es schon wieder ganz anders aus.

Diese Weisheit widerspiegelt sich auch in den Ergebnissen des "ISPIN SecurityRadar 2011": Dort gaben rund 80 Prozent der befragten Unternehmen an, dass BCM (Business Continuity Management) eine Geschäftsleitungsaufgabe sei und eine entsprechende Priorität habe.

Notfallpläne oft wenig effektiv

Dagegen glaubten nur 32 Prozent der Befragten, dass die Notfallpläne ihres Unternehmens effektiv sind. Der meistgenannte Grund für die nicht genügende Effizienz bestehender Notfallpläne ist deren Unvollständigkeit (26 Prozent). Auch die verzögerte Umsetzung (16 Prozent) oder die fehlende Unterstützung des Managements (13 Prozent) werden häufig als Grund für eine eingeschränkte Funktion der Notfallpläne genannt.

"Es muss klar sein, was im Krisenfall noch funktionieren muss", sagt Ruedi W. Döbeli, Informations- und IT-Sicherheitsbeauftragter bei der Ringier AG, mit Blick auf die Studienresultate.

"Blick am Abend" erschien nicht

Das Medienunternehmen Ringier hatte Anfang dieses Jahres einen Ernstfall zu bewältigen. Ein Stromausfall legte am 26. Januar weite Teile der Zürcher Innenstadt rund zweieinhalb Stunden lahm, auch das Seefeld-Quartier, wo das Unternehmen seinen Hauptsitz hat. Eine Konsequenz dieses Ausfalls: Die Gratiszeitung "Blick am Abend" erschien an diesem Tag nicht.

Döbeli blickt auf diesen Vorfall zurück: Der Ausfall einer Ausgabe führte zu einem veritablen Verlust. Deshalb seien Szenarien, die den Geschäftsbetrieb stören können, laufend zu verifizieren. Daraus seien dann Massnahmen abzuleiten, die den Betrieb der zumindest geschäftskritischen Prozesse und Systeme sicherstellen, so Döbeli.

Risiken nehmen tendenziell zu

Eine nicht zu unterschätzende Herausforderung sei es hierbei, das Verständnis der Geschäftsleitung für solche Massnahmen zu gewinnen. Denn diese Massnahmen generierten Kosten, die in einem gesunden Verhältnis zu einem möglichen Schaden stehen müssen.

Für die Zukunft sieht er tendenziell mehr Risiken auf Unternehmen zukommen. Sei dies nun aufgrund stetig steigenden Ressourcenbedarfs, des Einsatzes sogenannter neuer Technologien oder schlicht des fehlenden Sicherheitsbewusstseins auf Anwenderseite. "In Zukunft wird sich die Gefahr einer Betriebsunterbrechung kaum entschärfen. Das Thema BCM ist auch im KMU-Bereich von enormer Wichtigkeit", so Döbeli.

Interne Veranstaltungen und Infoportal

Auch Gefahren aus dem Web sind für Ringier nicht zu unterschätzen. So seien etwa Phishing-Attacken keine Seltenheit, sagt Döbeli. "Das Bewusstsein auf Anwenderseite für mögliche Gefahren aus dem Internet ist laufend zu sensibilisieren", so Döbeli.

Das Medienunternehmen hat zuletzt einiges unternommen, um die Sicherheitsbewusstsein seiner Mitarbeiter zu erhöhen. Interne Veranstaltungen, periodische Aufklärungskampagnen sowie ein Informationsportal über bestehende Gefahren sind Beispiele für die Awareness-Massnahmen.

Konkret, sachlich und einfach informieren

Die Prioritäten sind für Döbeli klar: "Die Botschaften müssen konkret, sachlich, einfach und kurz sein, damit diese auch bei den Mitarbeitern ankommen."

Geht es um Einschränkungen beim Benutzen privater Geräte im geschäftlichen Alltag (Bring your own Device) oder die Nutzung vorhandener Internet-Services, bleibt Döbeli indes Realist. "Sicherheitsrichtlinien und Nutzungsreglemente regeln zwar den Umgang mit IT-Systemen und Daten, bestehen jedoch keine technische Massnahmen, werden diese nur bedingt eingehalten", hält er fest.

Anmerkung der Redaktion: Dieser Artikel ist der sechste und letzte Teil einer Serie über das Sicherheitsbefinden in Unternehmen und erschien in der Netzwoche 10/12. Die Netzwoche hat dafür sechs IT-Sicherheitsverantwortliche, CIOs und CISOs mit den Resultaten des "SecurityRadar 2011" der Ispin AG konfrontiert und ihnen den Puls gefühlt. Online bringen wir die Artikel in unregelmässigen Abständen.