Notfallmanagement in der IT

Business Continuity Management - sind Sie auf den Ernstfall vorbereitet?

Regelmäßiges Testen des BCM

Ein BCM soll nicht nur auf Papier stehen, sondern auch in der Realität funktionieren. Regelmäßige Prüfungen sind daher ein Muss. Zu prüfen sind vor allem Funktionalität und Effektivität der Maßnahmen. Aber auch der Stand der Technik ist mit zu beachten. Schließlich dreht sich die Welt und mit ihr die Entwicklung der Sicherheitstechnik. Und gerade im IT-Bereich kann es schnell passieren, dass man den Anschluss verliert.

Basiswissen: Die Prüfung des BCM ist eine heikle Kiste. Nur wer diese Prüfung erfolgreich besteht, ist tatsächlich auf den Ernstfall vorbereitet.
Basiswissen: Die Prüfung des BCM ist eine heikle Kiste. Nur wer diese Prüfung erfolgreich besteht, ist tatsächlich auf den Ernstfall vorbereitet.
Foto: Stanislav Wittmann

Es ist nicht verkehrt, derartige Tests durch externe Spezialisten wie Auditoren oder Penetrationstester vornehmen zu lassen - sie werfen noch einmal einen anderen Blick auf mögliche Risiken.

Fazit

"Die Informationstechnologie hat sich in den vergangenen Jahren rasant entwickelt. In komplexen Prozessen und Strukturen, die sich heutzutage meist auf computergestützten Systemen abstützen und in ein ISMS eingebettet sein sollten, fällt es nicht immer leicht, alle Schwachstellen frühzeitig zu erkennen", erläutert Andreas Teuscher, Chief Information Security Officer bei der SICK AG, ISO-27001-Lead-Auditor und Vorstand des ISACA Germany Chapter.

Genau darum geht es beim BCM: das Restrisiko so weit wie möglich reduzieren und mögliche Schäden transparent machen. Aber genau das ist auch das größte Hindernis im Notfallmanagement: Wer nicht ehrlich zu sich selbst ist, verliert. Teuscher stellt klar: "Ein risikoorientierteres BCM bildet eine Art zweiten Verteidigungsring und hilft, die Lücken in einer zu optimistischen Risikoanalyse zu schließen. Grundvoraussetzung ist jedoch, dass sich eine BCM auf das Wesentliche beschränkt, Routinen etabliert und alle Wiederanlaufszenarien getestet worden sind."

Oberstes Ziel des Business-Continuity-Managements ist es, gar nicht erst greifen zu müssen. Um das zu erreichen, gilt es, alle Sicherheitsvorfälle genau zu untersuchen und auch zu protokollieren. Erst dadurch lassen sich wirksame Gegenmaßnahmen entwickeln.

BCM ist ein komplexes Thema und keine unabhängige, für sich allein stehende Säule. Nur eingebunden in die Gesamtstrategie des Unternehmens hält es, was es verspricht. Neben einem seriösen Risikomanagement braucht es dafür vor allem eine Geschäftsleitung, die selbst hinter dem BCM steht, auch wenn dessen Nutzen nicht unbedingt direkt sichtbar ist. Dazu abschließend ein Vergleich: Jahrhundertelang waren in Europa nur weiße Schwäne bekannt, und daraus folgte die (induktive) Schlussfolgerung, dass alle Schwäne weiß seien. Die Existenz schwarzer Schwäne wurde ausgeschlossen - bis diese These mit der Entdeckung Australiens widerlegt wurde. Die Frage an Sie als Unternehmen lautet: Sind Sie auf die schwarzen Schwäne vorbereitet? (sh/ad)