28 Prozent aller Befragten haben bereits einen oder mehrere Ausfälle von Geschäftsprozessen erlebt. Die Folgen können fatal sein. Mehr als zwei Drittel aller Befragten fürchten einen Ertrags- und mehr als drei Fünftel einen Datenverlust. Aber auch Beschädigung des guten Rufs oder die Abwanderung von Kunden gehören für rund 40 Prozent zu den größten Schäden, wenn Systeme oder Anlagen ausfallen.
So wird die Erstellung von Notfallplänen immer wichtiger. Zumal auch gesetzliche Vorgaben oder Versicherungen Unternehmen dazu zwingen, nicht nur Disaster Recovery in der IT zu betreiben, sondern Business-Continuity-Pläne für das gesamte Unternehmen zu erstellen.
In den USA sind Firmen gegenüber solchen Notfallplänen sehr viel aufgeschlossener als anderswo. 75 Prozent gaben an, eine solche Planung vorliegen zu haben. Weltweit sind es zwei Drittel. Auch die Notfallsimulationen sind in USA selbstverständlicher. 30 Prozent haben in den vergangenen sechs Monaten entsprechende Tests durchgeführt, weltweit waren es nur 15 Prozent.
Notfalltests müssen sein
Dabei nutzt der beste Business-Continuity-Plan nichts, wenn er nicht auf seine Tauglichkeit überprüft wird. Wie oft und wie detailliert diese Tests ablaufen müssen, hängt nach Angaben von EIU von der jeweiligen spezifischen Situation und der Art der Systemanlagen ab.
Netzwerk- und Datenspeichertests etwa müssen häufiger durchgeführt werden, weil sich die IT laufend verändert. Pläne, Praktiken und Abläufe müssen immer auf dem neuesten Stand sein. EIU empfiehlt mindestens zwei Tests pro Jahr.
Von den 28 Prozent der Unternehmen, die wichtige betriebliche Prozesse einstellen mussten, nannten mehr als ein Fünftel Systemausfälle als Grund. Bei 22 Prozent waren Naturkatastrophen die Ursache, bei zwölf Prozent war es das Fehlverhalten von Mitarbeitern.
Risikofall Cyberterrorismus
Dass man trotz ausgeklügelter Planungen und entsprechender Simulationen des Katastrophenfalls nicht alle Risiken ausschalten kann, ist auch den Entscheidungsträgern bewusst. Sehr unterschiedlich fällt allerdings ihre Wertung aus, welche Risiken am schwersten vorauszusehen sind.
Mehr als Hälfte nannte hier Terrorismus, Sabotage und Cyberterrorismus. Ein Drittel sieht im Ausfall der Informationssysteme das größte Problem, für 27 Prozent ist es der Ausfall des Unternehmensnetzwerks. Menschliches Versagen nannten 38 Prozent als am schwierigsten vorherzusehen.
Welche Werte wie geschützt sind, wird ebenfalls sehr differenziert gesehen. Drei Viertel aller Unternehmen sind davon überzeugt, ihre finanziellen Vermögenswerte wirksam schützen zu können.
Weniger als die Hälfte glaubt allerdings daran, dass sie mit Geschäftsunterbrechungen aufgrund eines Ausfalls von digitalen oder virtuellen Anlagewerten fertig werden kann. Gerade mal acht Prozent sind sicher, dass sie alles zum Schutz ihrer Mitarbeiter getan haben.
Eine Frage der Zuständigkeit
Je mehr Bedeutung Business-Continuity-Pläne gewinnen, umso wichtiger ist die Zuständigkeit für deren Erstellung und Umsetzung. Die Studie zeigt, dass dafür in 19 Prozent der Fälle der CFO (Chief Financial Officer) zuständig ist.
Aber auch der CIO (14 Prozent) wird häufig in die Verantwortung genommen. Jeder fünfte Befragte konnte jedoch nicht sagen, wer für Notfallplanung verantwortlich ist. Immerhin gibt es in neun Prozent der Unternehmen einen eigenen Business Continutiy Manager.
Für die Studie "Business Continuity – Notfallplanung für Geschäftsprozesse" befragte EIU 240 Führungskräfte aus unterschiedlichen Branchen weltweit. Auftraggeber waren AT&T sowie Cisco.