Bereite einen Krisenstab für den IT-Notfall vor

Für Geschäftsführer, Unternehmer und IT-Verantwortliche in kleinen und mittleren Unternehmen (KMU) bzw. im Mittelstand

Themen: Business Continuity Management, IT-Notfallplanung, IT-Notfallkonzept, IT-Notfallmanagement

Hä, einen Krisenstab? Ich bin doch nur Mittelstand ...

Warum solltest Du einen Krisenstab benennen? Stell Dir die Situation eines IT-Notfalls vor, wie er auch in KMU auftritt. Der kann beispielsweise durch technischen Defekt an einer zentralen Komponente oder durch einen Cyber-Angriff verursacht sein. Plötzlich funktionieren große Teile Deiner IT nicht mehr. Keine Mail, keine Produktionssteuerung, keine Auftragsabwicklung mehr. Wie lange kannst Du das durchhalten?

„Dann rufe meine IT an“ – Guter Ansatz, aber auch die können nicht (immer) zaubern. Wenn Deine IT-Infrastruktur großflächig von Schadsoftware befallen ist, wird die Wiederherstellung ein paar Tage in Anspruch nehmen – im besten Fall und bei perfekter Vorbereitung. Sonst auch länger. Das ist kein Witz und keine Übertreibung.

Und genau um diese Vorbereitung geht es hier, damit aus dem Notfall keine handfeste Unternehmenskrise wird.

Was soll der Krisenstab machen? Vor allem am Anfang sind viele Entscheidungen zu treffen und Maßnahmen zu starten: Was muss kurzfristig getan werden, um den Schaden einzudämmen? Wie wird die Arbeit ohne IT organisiert? Wie geht man mit kritischen Kundenaufträgen um? Wie ist die Kommunikation zu Mitarbeitern, Lieferanten, Kunden? Welche rechtlichen Probleme entstehen und wie können sie adressiert werden? Ist der Vorfall meldepflichtig bei Behörden? In welcher Reihenfolge soll die IT-Infrastruktur wiederhergestellt werden? … In der Regel können diese Entscheidungen nicht schematisch gefällt werden, sondern sie erfordern ein sorgfältiges Abwägen der jeweiligen Situation bei einer eher dürftigen Informationslage.

Zusätzlich sind einfach viele Dinge zu tun. Irgendjemand muss vielleicht bei einem speziellen IT-Dienstleister anrufen, irgendjemand muss eine Mail an die Kunden verfassen, irgendjemand muss die Lage dem Rechtsanwalt erklären usw. Das sollte nicht nur an ein oder zwei Personen hängen, die sonst schnell überlastet sind.

In einer solchen Situation sind also gefragt:

  • Schnelle Reaktion
  • Zielgerichtetes Handeln
  • Wissen aus mehreren Bereichen und Kenntnis der Zusammenhänge
  • Entscheidungskompetenz
  • Eingespielte Zusammenarbeit
  • Weitere disponierbare Ressourcen

Das ist nicht eine Person alleine und das ist auch nicht die IT, sondern es sind mehrere Personen aus ganz verschiedenen Bereichen. Und sie müssen aus dem Stand zusammenarbeiten, denn solche Vorfälle geschehen meistens ohne Ankündigung und in Momenten, in denen man sie am wenigsten brauchen kann.

Was solltest Du tun?

Bilde einen Krisenstab und bereite ihn auf seine Arbeit vor – ja, auch als KMU.

  • Die Unternehmensbereiche und Prozesse bestimmen, die von einem IT-Notfall besonders betroffen sein können.
  • Mitarbeiter bestimmen, die die jeweiligen Bereiche bzw. Prozesse kennen und koordinieren können, meistens die jeweiligen Leiter.
  • Vertretungen für Urlaub und Krankheit bestimmen und einweisen.
  • Verantwortlichkeiten und Aufgabenbereiche festlegen und besprechen, die während eines IT-Notfalls wahrzunehmen sind.
  • Erreichbarkeit sicherstellen, für einen solchen Fall am besten 7×24. Denn eine schnelle Reaktion ist wichtig.
  • Einen Raum für die gemeinsame Arbeit festlegen, z.B. einen ausreichend großen Besprechungsraum.
  • Kommunikationsmöglichkeiten vorbereiten, die unabhängig von der Unternehmens-IT funktionieren, z.B. Ersatzrechner und Hotspots, die über das Mobilfunknetz arbeiten.

Die konkrete Maßnahmen werden am besten in einem IT-Notfallplan festgehalten.

Krisenstab aufstellen für IT-Notfall in KMU

Üben, üben, üben

Die wichtigste Vorbereitung sind wiederholte Übungen. Eine Gruppe von 5 oder 6 Menschen muss sich erstmal finden, wenn sie nicht täglich in dieser Besetzung zusammenarbeitet. Dazu kommt noch die ungewohnte Aufgabe mit ganz neuen Fragestellungen. Das wird nur funktionieren, wenn immer wieder Notfall-Szenarien durchgespielt werden und jeder die Gelegenheit hat, sich in verschiedene Situationen hineinzudenken. Was muss ich tun, wenn der zentrale Server ausgefallen ist und wir voraussichtlich für 4 Tage keine Produktionsplanung haben? Wie können Warenlieferungen organisiert werden, wenn die Auftragsabwicklungssoftware nicht verfügbar ist? Was sind Kriterien, nach denen ein möglicher Datenverlust gemeldet werden muss? Wie informiere ich meine Mitarbeiter und wie fange ich sie ein, dass sie nicht gleich Sensationsnachrichten auf Facebook posten?

Arbeit Krisenstab bei IT-Notfall in KMU

Übertrieben? Nein.

Leider sieht es heute so aus, dass die IT auch Deines Unternehmens sehr wahrscheinlich irgendwann gehackt wird, vor allem als KMU. Dann wird aus dem Nichts eine enorme Arbeitslast entstehen und Du wirst ordentlich rudern müssen, damit aus dem IT-Notfall keine Unternehmenskrise entsteht. Du wirst über jeden Schritt froh sein, den Du schon mal gedacht, vorbereitet und geübt hast.

Fang heute an

Hey, mach jetzt den ersten Schritt. Schreib eine Mail an Deine Abteilungsleiter, berufe eine Besprechung ein, diskutiere das Thema – und setze es um.

Bert Kondruß, Geschäftsführer KonBriefing Research

Bert Kondruß
Senior Analyst

Bert ist Senior Analyst bei KonBriefing.com. Nach dem Studium der Elektrotechnik und Abschluss als Diplom-Ingenieur ist er seit über 30 Jahren in verschiedenen Fach- und Führungspositionen in der IT tätig. Seine Fokusthemen sind IT-Sicherheit und Compliance. Bert lebt in der Region Stuttgart

Vernetze Dich mit ihm auf LinkedIn oder Xing:

Wie immer sind alle Geschlechter gleichermaßen gemeint, auch wenn ich zur sprachlichen Vereinfachung nur die männliche Form nutze. Und wenn wir uns im realen Leben begegnen sollten, werde ich Dich natürlich ganz anständig mit „Sie“ anreden 🙂