10. Mail 2020

Hä, einen Krisenstab? Ich bin doch nur Mittelstand ...

Warum solltest Du einen Krisenstab benennen? Stell Dir die Situation eines IT-Notfalls vor, wie er auch in KMU auftritt. Der kann beispielsweise durch technischen Defekt an einer zentralen Komponente oder durch einen Cyber-Angriff verursacht sein. Plötzlich funktionieren große Teile Deiner IT nicht mehr. Keine Mail, keine Produktionssteuerung, keine Auftragsabwicklung mehr. Wie lange kannst Du das durchhalten?

„Dann rufe meine IT an“ – Guter Ansatz, aber auch die können nicht (immer) zaubern. Wenn Deine IT-Infrastruktur großflächig von Schadsoftware befallen ist, wird die Wiederherstellung ein paar Tage in Anspruch nehmen – im besten Fall und bei perfekter Vorbereitung. Sonst auch länger. Das ist kein Witz und keine Übertreibung.

Und genau um diese Vorbereitung geht es hier, damit aus dem Notfall keine handfeste Unternehmenskrise wird.

Was soll der Krisenstab machen? Vor allem am Anfang sind viele Entscheidungen zu treffen und Maßnahmen zu starten: Was muss kurzfristig getan werden, um den Schaden einzudämmen? Wie wird die Arbeit ohne IT organisiert? Wie geht man mit kritischen Kundenaufträgen um? Wie ist die Kommunikation zu Mitarbeitern, Lieferanten, Kunden? Welche rechtlichen Probleme entstehen und wie können sie adressiert werden? Ist der Vorfall meldepflichtig bei Behörden? In welcher Reihenfolge soll die IT-Infrastruktur wiederhergestellt werden? … In der Regel können diese Entscheidungen nicht schematisch gefällt werden, sondern sie erfordern ein sorgfältiges Abwägen der jeweiligen Situation bei einer eher dürftigen Informationslage.

Zusätzlich sind einfach viele Dinge zu tun. Irgendjemand muss vielleicht bei einem speziellen IT-Dienstleister anrufen, irgendjemand muss eine Mail an die Kunden verfassen, irgendjemand muss die Lage dem Rechtsanwalt erklären usw. Das sollte nicht nur an ein oder zwei Personen hängen, die sonst schnell überlastet sind.

In einer solchen Situation sind also gefragt:

  • Schnelle Reaktion
  • Zielgerichtetes Handeln
  • Wissen aus mehreren Bereichen und Kenntnis der Zusammenhänge
  • Entscheidungskompetenz
  • Eingespielte Zusammenarbeit
  • Weitere disponierbare Ressourcen

Das ist nicht eine Person alleine und das ist auch nicht die IT, sondern es sind mehrere Personen aus ganz verschiedenen Bereichen. Und sie müssen aus dem Stand zusammenarbeiten, denn solche Vorfälle geschehen meistens ohne Ankündigung und in Momenten, in denen man sie am wenigsten brauchen kann.

Was solltest Du tun?

Bilde einen Krisenstab und bereite ihn auf seine Arbeit vor – ja, auch als KMU.

  • Die Unternehmensbereiche und Prozesse bestimmen, die von einem IT-Notfall besonders betroffen sein können.
  • Mitarbeiter bestimmen, die die jeweiligen Bereiche bzw. Prozesse kennen und koordinieren können, meistens die jeweiligen Leiter.
  • Vertretungen für Urlaub und Krankheit bestimmen und einweisen.
  • Verantwortlichkeiten und Aufgabenbereiche festlegen und besprechen, die während eines IT-Notfalls wahrzunehmen sind.
  • Erreichbarkeit sicherstellen, für einen solchen Fall am besten 7×24. Denn eine schnelle Reaktion ist wichtig.
  • Einen Raum für die gemeinsame Arbeit festlegen, z.B. einen ausreichend großen Besprechungsraum.
  • Kommunikationsmöglichkeiten vorbereiten, die unabhängig von der Unternehmens-IT funktionieren, z.B. Ersatzrechner und Hotspots, die über das Mobilfunknetz arbeiten.

Die konkrete Maßnahmen werden am besten in einem IT-Notfallplan festgehalten.

Krisenstab für IT-Notfall aufstellen in KMU

Üben, üben, üben

Die wichtigste Vorbereitung sind wiederholte Übungen. Eine Gruppe von 5 oder 6 Menschen muss sich erstmal finden, wenn sie nicht täglich in dieser Besetzung zusammenarbeitet. Dazu kommt noch die ungewohnte Aufgabe mit ganz neuen Fragestellungen. Das wird nur funktionieren, wenn immer wieder Notfall-Szenarien durchgespielt werden und jeder die Gelegenheit hat, sich in verschiedene Situationen hineinzudenken. Was muss ich tun, wenn der zentrale Server ausgefallen ist und wir voraussichtlich für 4 Tage keine Produktionsplanung haben? Wie können Warenlieferungen organisiert werden, wenn die Auftragsabwicklungssoftware nicht verfügbar ist? Was sind Kriterien, nach denen ein möglicher Datenverlust gemeldet werden muss? Wie informiere ich meine Mitarbeiter und wie fange ich sie ein, dass sie nicht gleich Sensationsnachrichten auf Facebook posten?

Arbeit Krisenstab IT-Notfall im Mittelstand

Übertrieben? Nein.

Leider sieht es heute so aus, dass die IT auch Deines Unternehmens sehr wahrscheinlich irgendwann gehackt wird, vor allem als KMU. Dann wird aus dem Nichts eine enorme Arbeitslast entstehen und Du wirst ordentlich rudern müssen, damit aus dem IT-Notfall keine Unternehmenskrise entsteht. Du wirst über jeden Schritt froh sein, den Du schon mal gedacht, vorbereitet und geübt hast.

Fang heute an

Hey, mach jetzt den ersten Schritt. Schreib eine Mail an Deine Abteilungsleiter, berufe eine Besprechung ein, diskutiere das Thema – und setze es um.

Bert Kondruß
Senior Analyst

Hi, ich bin Bert, Gründer und Senior Analyst von KonBriefing.com. Seit meinem Uni-Studium der Elektrotechnik und Abschluss als Diplom-Ingenieur bin ich seit über 30 Jahren in verschiedenen Fach- und Führungspositionen der IT tätig. Mein Fokus ist IT-Sicherheit und Compliance. Ich lebe in der Region Stuttgart.

Mein persönliches Anliegen ist Aufklärungsarbeit im Mittelstand. Kleine und mittlere Unternehmen (KMU) können Fragen der IT-Sicherheit oft nicht richtig einschätzen und haben nur kleine Budgets zur Verfügung. Dadurch entstehen unbemerkt Achillesfersen, durch die ein Unternehmen unerwartet in eine schwere Krise geraten kann. Dem lässt sich bereits mit einfachen Mitteln vorbeugen.

Findest Du die Vorlage für den IT-Notfallplan nützlich? Dann freue ich mich, wenn Du Dich mit mir bei LinkedIn oder Xing verbindest. Klicke auf die nachfolgenden Links …

LinkedIn Xing