Eine seriös betriebene IT hat ein angemessenes Sicherheitskonzept. In Anbetracht der Komplexität sind jedoch Maximallösungen für ein KMU kaum finanzierbar. Statt einer maximalen muss deshalb eine optimale Lösung gefunden werden, welche auch wirtschaftlich ist. Wichtig sind eine professionelle Ausführung und die ständige Aktualisierung. Falls die IT-Sicherheitsmassnahmen jedoch versagen oder umgangen werden, was leider nie ganz auszuschliessen ist, kommen Notfallmassnahmen zum Zuge. Diese sollten vorbereitet sein; es braucht ein Notfallkonzept.
Zur Behebung von Systempannen oder Schäden durch Cyberkriminalität sind IT-technische Massnahmen notwendig. Redundanzen und eine gut organisierte Datensicherung können viel dazu beitragen, den Schaden zu begrenzen. Das ist aber noch nicht alles. Jede IT braucht zudem:
• geeignete Systemräume (inkl. Klimatisierung),
• Elektrizität,
• einen Internetanschluss (schon wegen der heutigen IP-Telefonie).
Die Systemräume und die Datensicherung kann man auslagern (Outsourcing, Cloud-Lösungen), den Internetanschluss und die Stromversorgung braucht es im Haus. Wenn Internetprovider und Stromversorger nicht liefern, funktionieren PCs und Telefone nicht mehr. Auch für diese Fälle sind proaktive Vorkehrungen notwendig; wenn der Fall eintritt, ist es zu spät. Auch Elementarereignisse müssen in die Überlegungen miteinbezogen werden.
Verschiedene Risikoszenarien
abwägen
Ein Notfallkonzept dokumentiert die verschiedenen Risikoszenarien in einem Handbuch mit Checklisten für das Vorgehen bei den jeweiligen Vorfällen. Mögliche Notfallszenarien können sein:
• Elementarereignisse wie Feuer, Wasser etc.
• Länger dauernder Stromausfall
• Einbruch, physischer Diebstahl oder Vandalismus
• Ausfall des Internetdienstes oder Unterbruch der Leitung
• Länger dauernde IT-technische Panne
• Cyberattacke (Malware, Denial-of-Service Angriff etc.)
• Unbefugtes Eindringen in die IT-Systeme
• Datendiebstahl
• Sabotage (intern oder extern)
Um ein passendes Notfallkonzept zu erstellen braucht es vorgängig eine sorgfältige Analyse:
• Risikoszenarien erfassen und deren mögliche Auswirkungen auf das Unternehmen beschreiben
• Bewerten der Eintretenswahrscheinlichkeiten und des Schadenpotenzials nach den klassischen Methode des Risk-Managements
• Gewichten der verschiedenen Risiken und Priorisieren des Handlungsbedarfs
Unter Umständen ergeben sich aus der Analyse bereits Massnahmen, mit welchen einem Risiko präventiv begegnet werden kann. Diese können sogleich angegangen werden. Für die übrigen Risikoszenarien muss das Vorgehen für den Eintretensfall definiert werden, am besten mit einer Checkliste für jedes Szenario. Das Ganze wird in einem Notfallhandbuch dokumentiert, das sinnvollerweise nicht einfach auf dem Server gespeichert, sondern verteilt abgelegt wird, so dass es jederzeit verfügbar ist. Es empfiehlt sich auch, periodisch diese Notfallszenarien mit den Schlüsselpersonen und deren Stellvertretern durchzuspielen, und, falls notwendig, Anpassungen am Notfallhandbuch vorzunehmen.
KMU haben hier oft noch Nachholbedarf. Verwaltungsräte und Geschäftsleitungen sind gut beraten, sich dem anzunehmen.
Daniel Stucki
DS Management
Consulting GmbH
www.dsmc.ch