Die Hälfte der deutschen Unternehmen hat keinen Notfallplan für IT-Sicherheitsvorfälle, obwohl Ausfälle zu jährlichen Schäden von mehreren Hunderttausend Euro pro Unternehmen führen können. Unternehmen sollten schnellstens eine umfassende Bedrohungs- und Risikoanalyse starten und regelmäßig die Reaktionen für den Ernstfall üben, denn der beste Plan bringt nichts, wenn im Notfall z. B. das Administrator-Passwort für ein wichtiges IT-System fehlt. Das zeigt eine Marktbeobachtung von Steria Mummert Consulting.

Umsatzeinbußen durch IT-Ausfälle: Mehr als vier Milliarden Euro
Im Mai brachte ein Hardwarefehler den deutschen Aktienhandel zum Erliegen, weil die elektronische Handelsplattform Xetra fast eineinhalb Stunden ausgefallen war. Dies ist kein Einzelfall, in fast jedem Unternehmen können durch IT-Probleme massive Schäden entstehen. Schätzungen beziffern die Umsatzeinbußen durch IT-Ausfälle in Deutschland mit jährlich mehr als vier Milliarden Euro. Allein der Ausfall eines Etikettendruckers kann in einem Chemieunternehmen in massiven Problemen und Kosten durch Lieferverzug resultieren.

IT-Notfallvorsorge zahlt sich in jedem Fall aus
Weil sich die Investition in Notfallplanung nur in einem Fall auszahlt, den niemand haben möchte, ist sie in vielen Unternehmen das „Stiefkind“. Aber die Notfallvorsorge zahlt sich auch wenn kein K-Fall eintritt aus, weil die Unternehmen sich mit ihren kritischen Geschäftsprozessen beschäftigen und daraus Maßnahmen zur Effizienzsteigerung und Absicherung ableiten können. Zwar haben einige Unternehmen Backup-Server oder sogar ein teures Ausweich-Rechenzentrum, aber in nur wenigen gibt es eine Definition, wann ein Notfall eingetreten ist, wer benachrichtigt werden muss und wer Entscheidungen trifft. Gibt es überhaupt keinen Notfallplan, kann dies dem Geschäftsführer oder Vorstand als Vorsatz ausgelegt werden, denn die Firmenleitung ist gesetzlich zur Sicherung der Existenz des Unternehmens verpflichtet.

Unternehmen haben keine Vorstellung von Auswirkungen eines IT-Ausfalls
Viele Unternehmen haben einfach keine Vorstellung, was bei einem IT-Ausfall passieren kann. Über die Jahre hinweg ist die Abhängigkeit von der IT stark gewachsen und normalerweise ist die Verfügbarkeit immer noch sehr gut. Unternehmen überschätzen oft ihre Fähigkeit, die Prozesse bei einem IT-Ausfall manuell fortführen zu können. Selbst wenn sich ein Ausfall manuell kompensieren lässt, lässt sich dies im Ernstfall in vielen Unternehmen aufgrund der dünnen Personaldecke in der IT-Abteilung nicht umsetzen.

Umfassende Bedrohungsanalyse ist einzige Hilfe
Die einzige Hilfe ist eine umfassende Bedrohungsanalyse, die auf Basis von Gefahrenkatalogen die möglichen Auswirkungen betrachtet. Und auch diese erfordert alle drei bis fünf Jahre eine Aktualisierung. Im Anschluss werden mithilfe einer Risikoanalyse die für das Unternehmen tatsächlich relevanten Bedrohungen bewertet und dann Prioritäten für risikomindernde Maßnahmen gesetzt. Auch nach der Erstellung eines Notfallplans fehlt die Übung. So muss z. B. der Dieselgenerator im Keller des Rechenzentrums für den Strom-Notfall regelmäßig angeworfen werden. Notfall-Prozessabläufe müssen schon allein regelmäßig geübt werden, damit Kontaktdaten und Administrator-Passwörter immer aktuell sind.