illu cc0
■ Nur 51 Prozent der Unternehmen verfügen über ein Notfallmanagement.
■ Selbst viele große Industriebetriebe sind nicht ausreichend gewappnet.
■ Im Krisenfall ist eine schnelle Reaktion entscheidend.
Nur die Hälfte aller Industrieunternehmen (51 Prozent) in Deutschland verfügt über einen Notfallplan, um innerhalb kurzer Zeit auf den Abfluss sensibler Daten, digitale Wirtschaftsspionage oder Sabotage reagieren zu können. Das hat eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom unter 504 Unternehmen des produzierenden Gewerbes ab 10 Mitarbeitern ergeben [1].
Das Notfallmanagement umfasst in erster Linie schriftlich geregelte Abläufe und Sofortmaßnahmen, die im Fall eines Angriffs auf das Unternehmen durchgeführt werden. »Jedes Unternehmen braucht einen Notfallplan, um digitalen Angriffen schnell und angemessen begegnen zu können«, sagte Bitkom-Sicherheitsexperte Cornelius Kopke im Vorfeld der Hannover Messe.
Ziele eines Notfallmanagements sind unter anderem, im Falle eines Cyberangriffs einen Datenabfluss zu stoppen oder beim Ausfall wichtiger Systeme die Arbeitsfähigkeit des Unternehmens so schnell wie möglich wieder herzustellen. In der Industrie könnten davon auch Produktions- und Fertigungsanlagen betroffen sein.
Besonders schlecht vorbereitet auf solche Vorfälle sind kleinere Industrieunternehmen. Nur 43 Prozent der Unternehmen mit 10 bis 99 Mitarbeitern verfügen über einen Notfallplan. In der mittelständischen Industrie mit 100 bis 499 Mitarbeitern sind es 67 Prozent und ab einer Größe von 500 oder mehr Mitarbeitern 74 Prozent.
Notfallmanagement
Ein Notfallmanagement beginnt mit einfachen Maßnahmen wie der Erstellung einer Liste mit Ansprechpartnern und der Festlegung, wer in welcher Reihenfolge informiert werden muss. Teil eines Notfallmanagements können aber auch mehrtägige Übungen sein, bei denen verschiedene Vorfälle und Szenarien praktisch durchgespielt werden. Dabei ist unter anderem zu klären, in welchen Fällen externe Dienstleister notwendig sind, ob staatliche Stellen eingeschaltet werden sollen oder wie Mitarbeiter und die Öffentlichkeit informiert werden können.
Ausführliche Informationen zum Notfallmanagement bei IT-Angriffen erhalten Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik oder bei Deutschland sicher im Netz.
Eine Studie zu IT-Sicherheit, Wirtschaftsspionage und Sabotage in der deutschen Industrie stellt der Bitkom am 25. April 2016 bei der Hannover Messe vor.
[1] Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research durchgeführt hat. Dabei wurden 504 Industrieunternehmen ab 10 Mitarbeitern befragt. Die Interviews wurden mit Führungskräften durchgeführt, die für den Schutz ihres Unternehmens verantwortlich sind. Dazu zählen Geschäftsführer sowie Führungskräfte aus den Bereichen Unternehmenssicherheit, IT-Sicherheit oder Risikomanagement. Die Umfrage ist repräsentativ für das produzierende Gewerbe. Die Frage lautete: »Verfügt Ihr Unternehmen über schriftlich geregelte Abläufe und Ad-hoc-Maßnahmen, also ein Notfallmanagement, für den Fall des Auftretens von Datendiebstahl, Industriespionage oder Sabotage?«
B 1.3 Notfallmanagement
Beschreibung
Der Brand eines Rechenzentrums oder Bürogebäudes, erheblicher Personalausfall durch eine Pandemie, Hochwasser, flächendeckender, länger andauernder Stromausfall oder aber auch Kleinigkeiten, wie der Ausfall eines Servers, eines Outsourcing-Dienstleisters oder des Internets, können zu erheblichen Störungen oder gar Ausfällen von Geschäftsprozessen führen, welche enorme Schäden nach sich ziehen. Um Notfällen und Krisen für die Institution vorzubeugen, ist der Aufbau und Betrieb eines Notfallmanagement-Prozesses notwendig. Nur ein geplantes und organisiertes Vorgehen garantiert eine optimale Notfallvorsorge und Notfallbewältigung. Dies verringert die Wahrscheinlichkeit eines Auftretens eines Notfalls oder einer Krise sowie die Auswirkungen bei Eintreten und sichert somit das Überleben der Institution. Es sind geeignete Präventivmaßnahmen zu treffen, die zum einen die Robustheit und Ausfallsicherheit der Geschäftsprozesse erhöhen und zum anderen ein schnelles und zielgerichtetes Reagieren in einem Notfall oder einer Krise ermöglichen. Das Notfallmanagement wird auch betriebliches Kontinuitätsmanagement genannt.
Ein Notfall ist ein Schadensereignis, bei dem wesentliche Prozesse oder Ressourcen einer Institution nicht wie vorgesehen funktionieren. Notfälle zeichnen sich dadurch aus, dass die Verfügbarkeit der entsprechenden Prozesse oder Ressourcen innerhalb einer geforderten Zeit nicht wieder hergestellt werden kann und der Geschäftsbetrieb stark beeinträchtigt ist. Notfälle, welche die Kontinuität von Geschäftsprozessen beeinträchtigen, können eskalieren und sich zu einer Krise ausweiten. Unter einer Krise wird ein verschärfter Notfall verstanden, in dem die Existenz der Institution oder das Leben und die Gesundheit von Personen gefährdet sind.
Notfallmanagement umfasst die Bereiche der Notfallvorsorge mit Präventivmaßnahmen zur Vermeidung von Notfällen und Krisen sowie die Planung der Notfallbewältigung mit der Wiederherstellung von Geschäftsprozessen und Systemen (auf englisch Disaster Recovery Planning). Die Notfallbewältigung beinhaltet die Ausweichplanung (englisch Contingency Planning) und das Krisenmanagement (englisch Crisis Management) zur Bewältigung des Notfalls oder der Krise. Ziel des Notfallmanagements ist es, sicherzustellen, dass wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz der Institution auch bei einem größeren Schadensereignis gesichert bleibt. Eine ganzheitliche Betrachtung ist daher ausschlaggebend. Es sind alle Aspekte zu betrachten, die zur Fortführung der kritischen Geschäftsprozesse bei Eintritt eines Schadensereignisses erforderlich sind, nicht nur die Ressourcen Informationen und Informationstechnik. IT-Notfallmanagement, Notfallmanagement im Rahmen und als Teilaufgabe des Sicherheitsmanagements, hat im wesentlichen zum Ziel, die Geschäftsfortführung durch Absicherung der Verfügbarkeit der IT-Services, der Anwendungen, der IT-Systeme und insbesondere der Informationen zu garantieren. IT-Notfallmanagement (englisch IT Service Continuity Management) ist Teil des ganzheitlichen Notfallmanagements und sollte auch nicht isoliert betrachtet werden.
Ein funktionierendes Notfallmanagement muss in die existierenden Managementstrukturen einer jeden Institution eingebettet werden. In diesem Baustein werden daher generelle Empfehlungen für Organisationsstrukturen für das Notfallmanagement gegeben. Diese müssen an die spezifischen Gegebenheiten der jeweiligen Institution individuell angepasst werden.
Dieser Baustein soll aufzeigen, wie ein funktionierendes Notfallmanagement in einer Behörde oder einem Unternehmen eingerichtet und im laufenden Betrieb weiterentwickelt werden kann. Er beschreibt dazu die wesentlichen Schritte in einem systematischen Notfallmanagement-Prozess und gibt Anleitungen zur Erstellung eines umfassenden Notfallkonzeptes. Der Baustein baut auf dem BSI-Standard 100-4 Notfallmanagement auf und fasst die wichtigsten Aspekte zum Notfallmanagement hieraus zusammen.
Textquelle: Bundesamt für Sicherheit in der Informationstechnik