Digitalisierung | Betrieb + Praxis
Datenfluss sichern
Disaster Recovery ist zur wichtigen Managementaufgabe geworden. Im Ernstfall droht sonst Stillstand im ganzen Betrieb.
Ulrich Pfaffenberger, 02/2024
Ein Blitz schlägt in die Stromversorgung des Bürogebäudes ein, der Serverraum wird vom Hochwasser geflutet: Für gespeicherte Daten sind solche Vorfälle eine Katastrophe. Ob sie sich noch retten lassen? Das hängt vor allem davon ab, ob die Geschäftsführung für eine „Disaster Recovery“ gesorgt hat. Also ob sie Maßnahmen getroffen hat, um Dateien oder IT-Dienste wiederherzustellen, die durch eine Katastrophe wie Brand, Überschwemmung, Stromausfall oder einen Cyberangriff gelöscht, verschlüsselt oder unbrauchbar geworden sind.
Angesichts der wachsenden Bedrohung durch Naturkatastrophen, wie sie die Industrieversicherer feststellen, wird eine solche Vorsorge für fast jedes Unternehmen zum Pflichtprogramm, unabhängig davon, wie groß es ist. Denn längst gehören die Daten für Produktion, Verwaltung, Steuerung, Finanzierung zu den wertvollsten Betriebsmitteln überhaupt.
Backups reichen nicht
Attacken von Hackern und Datendieben haben das Bewusstsein für die Gefahr geschärft. Es gibt heute kaum noch Führungskräfte, die am Wert von Backups und Sicherungskopien zweifeln. Wer wie Kurt Meister (Name von der Redaktion geändert) allerdings schon einmal eine Ransomware-Attacke durchstehen musste, ist noch um eine Erkenntnis reicher: Er weiß, dass Daten zu sichern allein nicht genügt. „Wir hatten zwar fast alle Daten im Backup gesichert, aber keinen einzigen sauberen und sicheren Rechner mehr“, sagt der Inhaber eines kleinen Servicebetriebs mit 5 Mitarbeitenden.
„Da der Fluss von Informationen zwischen uns und unseren Kunden Teil des Tagesgeschäfts ist, waren wir völlig lahmgelegt – und das für fast 3 Wochen.“ So gesellten sich zum – eigentlich überschaubaren – Schaden an der Technik der Bedarf für die komplette Neubeschaffung des Systems und der Geschäftsausfall. „Wenn ein Erdbeben unsere Büros verschlungen hätte, wäre das aufs Gleiche hinausgelaufen“, zieht Meister Bilanz.
Priorität: Geschäftsbetrieb sichern
Wie lässt sich solchen Risiken vorbeugen? Grundsätzlich, das empfiehlt zum Beispiel Hans-Joachim Hof, IT-Experte an der Technischen Hochschule (TU) Ingolstadt, liefern die diversen Handreichungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) fundierte Entscheidungshilfen. Da gibt es den „BSI-Standard 200-4 zu Business Continuity“. Dieser enthält nicht nur konkrete Empfehlungen für den Notfall, sondern für den kompletten Lebenslauf einer IT. Hof: „Er zeigt einen systematischen Weg auf, wie ein Unternehmen ein Notfallmanagement aufbaut, um die Kontinuität des Geschäftsbetriebs sicherzustellen – inklusive der Anleitung, wie man das Verhalten bei Notfällen im Unternehmen übt.“
Allerdings ist dieser Leitfaden sehr umfangreich und darum tendenziell eher für größere Unternehmen geeignet. Erste wichtige Informationen zum Thema liefert die Übersicht „Einstieg ins IT-Notfallmanagement für kleinere und mittelständische Unternehmen (KMU)“ der Allianz für Cybersicherheit. Sie wurde vor über 10 Jahren vom BSI und dem Branchenverband Bitkom gegründet. Darüber hinaus bietet das BSI einen Cyber Risiko Check.
Vertrauen von Kunden bewahren
Wo Risiken lauern und wie die immer engere digitale Verzahnung von internen Abläufen und externen Beziehungen „sturmfest“ gemacht werden kann, gehört inzwischen zu den Pflichtaufgaben eines Risikomanagements, wie es Investoren oder Kreditgeber allgemein verlangen. „Hier vorzusorgen ist eine Managementaufgabe von hoher Priorität“, so Hof.
„Ein gut entwickelter und regelmäßig getesteter IT-Notfallplan ist unerlässlich, um im Falle eines Ausfalls der IT-Infrastruktur schnell und effizient reagieren zu können“, macht auch Bernhard Kux, IT-Sicherheitsexperte der IHK für München und Oberbayern, deutlich. Er weist nachdrücklich auf die wirtschaftliche Bedeutung hin. „Es geht dabei nicht nur um die Wiederherstellung von Systemen und Daten, sondern auch darum, das Vertrauen von Kunden, Partnern und Mitarbeitern zu bewahren und den fortlaufenden Geschäftsbetrieb zu sichern“, so Kux.
Expertentipps annehmen
Firmenchef Kurt Meister hat für andere Unternehmer noch einen weiteren Tipp: „Holen Sie sich auf jeden Fall externen Rat. Außenstehende erkennen Risiken, wo Betroffene schon betriebsblind sind.“ Eine gute Anlaufstelle, so IT-Professor Hof, sind auch die jeweiligen Branchenverbände. Sie entwickeln Best-Practice-Anwendungen, die für den entsprechenden Wirtschaftszweig passen.
IHK-Info: Rund um IT-Sicherheit
Auf ihrer Website hält die IHK weiterführende Informationen und Handreichungen zu IT-Notfallplan und Prävention bereit.
Zudem finden sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) Tipps für ein Business Continuity Management System sowie für den CyberRisiko-Check.
Den One-Pager „Einstieg ins Notfallmanagement“ gibt es auf der Homepage der Allianz für Cybersicherheit.