Business Continuity Management - sind Sie auf den Ernstfall vorbereitet?

Vorsätzliche Handlungen

Hacker, Einbrecher, Social Engineers und auch Insider mit falschen Absichten können IT-Abteilungen enorme Kopfschmerzen bereiten. Deshalb müssen sie ebenfalls Teil einer BCM-Strategie sein. Im ISO-Standard 27001 ist im Appendix A 13 der Punkt "Umgang mit Informationssicherheitsvorfällen" aufgeführt, der derartige Risiken behandelt. Weil kaum ein Unternehmen von vorsätzlichen Handlungen unberührt bleibt, sind deren Kategorisierung und die Aufstellung geeigneter Gegenmaßnahmen so wichtig. Nehmen etwa die Hacker-Angriffe von außen zu, müssen die Mitarbeiter entsprechend darauf geschult sein. Reicht das nicht aus, lässt sich das Problem vielleicht mit einer Aufstockung des Personals beheben (siehe auch Punkt "Personal").

Höhere Gewalt

In der IT-Abteilung fällt der Strom aus, und das Unternehmen ist nicht darauf vorbereitet: der GAU. Nicht so, wenn Notstromaggregate oder zumindest eine Betriebsausfallversicherung vorhanden sind. Was ist bei Brand, Hochwasser oder gar Erdbeben? Hoffentlich befindet sich der Serverraum nicht im Keller. Falls doch, welche Maßnahmen wurden gegen Hochwasserschäden getroffen?

Sicherlich sind solche Szenarien eher die Ausnahme als die Regel. Und doch sollten sie in der BCM-Planung enthalten sein. Entscheidend ist die Frage nach der Risikoakzeptanz. Wie mobil ist die IT-Abteilung, und sind entsprechende redundante Räumlichkeiten vorhanden? Die zeitliche Umsetzung solcher Maßnahmen gehört natürlich auch in die Planung mit hinein.