11. Mai 2018

Business Continuity Management: Vorbereitet sein, wenn es ungemütlich wird

Kommt es zu einem erfolgreichen Cyber-Angriff, müssen Unternehmenslenker im Sinn des Business Continuity Managements die Kontrolle abgeben. Und auch sonst sind in diesem Zusammenhang kräftiges Umdenken in der Führungsetage und die Akzeptanz einiger unbequemer Wahrheiten notwendig. Andernfalls wird aus dem einen Angriff eine chronische Erkrankung des Unternehmens.

Business Continuity Management verlangt Umdenken zoom Business Continuity Management verlangt ein Umdenken in der Führungsetage

Ohne Cyber, kein Business: Wenngleich in Denglisch formuliert, so ist die Aussage dennoch akkurat. Ohne funktionierende IT ist kein Unternehmen funktionsfähig. Und ohne Cyber Security arbeiten die IT-Systeme nicht lange verlässlich – womit sich der Kreis schließt.

Aus diesem Grund müssen Geschäftsführer und CEOs dafür sorgen, dass Business Continuity Management (BCM) und Cyber Security Hand in Hand arbeiten. Denn eine Attacke durch Krypto-Malware (Ransomware) kann genauso zerstörerisch wirken wie ein Wasser- oder Brandschaden im Rechenzentrum. Glücklicherweise hilft die exakt gleiche Vorsichtsmaßnahme gegen solche Vorkommnisse: Datensicherungen in der Cloud, also abgesetzt vom Standort des eigenen Rechenzentrums.

Mindestens so wichtig wie die technischen Maßnahmen sind die organisatorischen Vorbereitungen: In einen BCM-Plan gehört zwingend, wer im Fall der Fälle das Sagen hat und beispielsweise entscheidet, ob und wann ein externer Dienstleister zur Gefahrenabwehr hinzugezogen wird. Typischerweise würde die Antwort lauten: der Geschäftsführer. Hier droht dann jedoch ein Interessenskonflikt: Aufgrund persönlicher Haftbarkeit und der Pflicht zur Schadenminderung wird ein Geschäftsführer in der Regel entscheiden, sofort alle Netzwerkverbindungen zu trennen, um die Datendiebe auszusperren.

Dieser Reflex ist aber fatal. Denn nur wenn Fachleute den Kriminellen bei der Arbeit zusehen können, können sie herausfinden, an welchen Stellen im Netzwerk die Täter Hintertüren eingebaut haben. Bleiben diese Türen offen, spazieren die Kriminellen nach Wiederherstellen der Verbindung einfach erneut herein. Hier sind also die Ziele des Unternehmens – sprich: eine langfristig sichere, stabile IT-Umgebung zu betreiben – nicht im Einklang mit den Zielen der Menschen, die das Unternehmen führen. Anstelle ein Mitglied der Geschäftsführung zum Krisenmanager zu machen, sollte diese Rolle besser der CISO (Chief Information Security Officer) oder der CIO (Chief Information Officer) übernehmen.

In den sauren Apfel beißen müssen Unternehmenslenker nicht nur in Sachen Befehlskette. Sondern auch bei Entscheidungen über Ausgaben. Denn es liegt auf der Hand, dass die erwähnten externen Fachleute, zumeist IT-Forensiker, im Notfall nicht durch einen langwierigen Einkaufsprozess samt Bieterverfahren ins Haus geholt werden können. Der Krisenmanager muss also ein zuvor festgelegtes Budget freihändig verwenden können. Und noch eine Vorkehrung gilt es zu treffen: Wahrscheinlich wollen die beauftragten Forensiker eine Software im Netzwerk installieren, die sämtliche Datentransfers mitschneidet und auf Anomalien hin untersucht. Steigt die Geschäftsführung erst im Krisenfall mit dem Betriebsrat in die Diskussion ein, ob der Einsatz dieser Software genehm ist oder nicht, vertut sie wertvolle Zeit oder gefährdet gar den Erfolg der Detektivarbeit.

Um sich auf die Kernaufgabe, also das Meistern der Krise, konzentrieren zu können, muss der Krisenmanager auch freigestellt sein von den sonst üblichen Berichtspflichten: So nachvollziehbar es ist, dass Geschäftsführung oder Vorstand am besten zweistündlich ins Bild gesetzt werden wollen – dem Krisenverantwortlichen fehlt hierfür sicherlich die Zeit. Zeit, die besser für das Wiederherstellen der Gleichung Cyber = Business aufgewandt werden sollte. Für ein funktionierendes Business Continuity Management muss die Führungsetage also zumindest zeitweilig die Kontrolle abgeben.


Foto: pexels.com