Den Ergebnissen der Forrester Umfrage von 2007 zum Stand der K-Fall Vorsorge zufolge sind 70 Prozent der befragten Unternehmen gut bis sehr gut auf einen K-Fall vorbereitet. Dieses bedeutet jedoch auch, dass in 30 Prozent der befragten Unternehmen Raum für Verbesserungen existiert.
Vorsorgekonzepte für den Katastrophenfall (K-Fall) sind, bedingt durch die Natur der Sache, umfangreich und komplex. Als Element des Risiko-Managements, das von den oben angeführten Regelungen und Gesetzen gefordert wird, sind sie aber mehr als nur technische Finessen der IT. Außenstehenden, welche nicht direkt mit ihnen befasst sind, erschließen sich weder Sinnhaftigkeit noch Vollständigkeit unmittelbar. Die Verantwortung hierfür liegt jedoch am Ende genau in einem Personenkreis, welcher nicht zwingend die Fach- und Sachkenntnisse zur sicheren Bewertung hat - dem CIO und dem CEO.
Schon seit 1998 ist durch das KonTraG der §91 des Aktiengesetzes so gefasst, dass der Vorstand ein Überwachungssystem einzurichten hat, welches ihn den Fortbestand des Unternehmens gefährdende Risiken früh erkennen lässt. Für viele Unternehmen ist zudem durch den Sarbanes Oxley Act, wie auch die Umsetzung der achten EU Richtlinie, eine Vorstandshaftung für das Risiko-Management hinzugekommen.
Wie aber kann nun ein Vorstand erkennen, ob in der IT, den Fortbestand des Unternehmens gefährdende, Risiken lauern? Anzeichen hierfür sind gegeben, wenn von den nachfolgenden Punkten nicht alle verneint werden können.
Es existiert keine ausgewiesene K-Fall Organisation
Eine effektive Absicherung für den K-Fall ist ohne persönliche Verantwortung einzelner, dediziert eingesetzter Mitarbeiter nicht zu erreichen. Diese Mitarbeiter benötigen zudem die Unterstützung durch einzelne Funktionsträger, sowohl in den Fachbereichen wie auch in der IT. So ist es zum Beispiel notwendig, in allen Fachbereichen Mitarbeiter bereit zu stellen, welche die Anforderungen an das K-Fall Konzept ermitteln und kommunizieren, sowie andere Mitarbeiter, je Fachbereich und ggf. Standort, welche die Koordination im K-Fall übernehmen. Natürlich ist auch ein zentraler Stab einzurichten, welcher im K-Fall die unternehmensweiten Aktivitäten koordiniert. Da diese Organisation normalerweise aus Mitarbeitern besteht, welche im Alltag auch andere, operative Aufgaben haben, ist sie entsprechend detailliert zu dokumentieren.
Das K-Fall Konzept ist ausschließlich IT getrieben
Der Entwurf und der Betrieb von K-Fall-Konzepten ist ein risikominderndes Vorgehen. So ist es unerlässlich, dass zur effektiven Risikominderung die Auswirkungen von Schadensereignissen auf das Unternehmen erfasst und bewertet werden. Dieses sogenannte Business Impact Assessment ist nur in Zusammenarbeit von Fachabteilungen und IT möglich, da schließlich die Bewertung der Unternehmensprozesse und -daten nur aus fachlicher Sicht erfolgen kann. Ein K-Fall-Konzept zur Wiederherstellung der IT, welches ohne Einbeziehung der Fachabteilung entstand, birgt die Risiken, entweder nicht genug Sicherheit zu bieten, oder tatsächliche Erfordernisse über zu erfüllen. Während der erste Fall zu einem nicht vorhandenen Schutz führt, ist im zweiten Fall mit zu hohem Aufwand zu rechnen. In der Realität findet sich tatsächlich häufig eine Mischung aus beiden Szenarien: Zu teuer und trotzdem nicht ausreichend.
Sie haben keine finanzielle Bewertung der Geschäftsprozesse
Der K-Fall Plan dient der Sicherstellung des Geschäftsbetriebes im Katastrophenfall. Zur Ermittlung des vertretbaren Aufwands der Vorsorgemaßnahmen ist eine aktuelle Feststellung des finanziellen Wertes von Geschäftsprozessen notwendig. Diese Bewertung sollte, gemeinsam mit den Ergebnissen der Bedrohungsanalyse, den aktuellen Aufwänden zur Absicherung des Katastrophenfalles gegenüber gestellt werden. Das Ergebnis ermöglicht zum einen die Bezifferung des tatsächlichen Aufwands und zum anderen die vergleichende Bewertung aktueller Methoden und Technologien im Vergleich zu neuen Methoden und Technologien.
Sie haben keine Berichte über periodische Neubewertungen der Risikolage
Risiko-Management ist ein kontinuierlicher Prozess. Jede Veränderung der geschäftlichen Aktivitäten, aber auch der Systeme, welche diese unterstützen, kann neue oder neu zu bewertende Bedrohungen mit sich bringen. IT Risiko-Management ist einerseits mit sehr spezifischen Bedrohungen und Vorsorgemaßnahmen befasst, andererseits aber als Prozess nicht losgelöst vom allgemeinen Risiko-Management des Unternehmens zu betrachten. Unabhängig von einzelnen Veränderungen sollte die Risikoanalyse auch zyklisch erfolgen, um eine umfassende Betrachtung und ggf. Neuausrichtung zu ermöglichen. Neben den detaillierten Risikoregistern sollte als Ergebnis weiterhin eine Zusammenfassung der analysierten Risiken erfolgen, welche Aufschluss über die Art des Umgangs mit den Risiken, den hierfür betriebenen Aufwand, sowie die akzeptierten Restrisiken gibt.
Sie haben keine Berichte über den Verlauf von K-Fall Tests
Ein K-Fall-Konzept ist eine Sammlung von technisch und organisatorisch sowohl anspruchsvollen wie auch nicht alltäglichen Abläufen. Praktische Erfahrungen mit tatsächlichen Katastrophen haben die wenigsten Unternehmen, jedoch sind Änderungen in Organisation und IT tägliches Geschäft. Diese Änderungen nehmen den Ergebnissen früherer Tests zum Teil die Aussagekraft und bedingen somit die Notwendigkeit, die K-Fall Konzepte regelmäßig zu testen. Hierzu reicht es lange nicht mehr aus, ad hoc einen K-Fall auszurufen und das Ergebnis abzuwarten. Vielmehr ist es nötig, den Test methodisch so aufzubauen wie einen Systemtest in der Software-Entwicklung. Die erwarteten Ergebnisse sollten vorab für alle beteiligten Komponenten und Abläufe formuliert und Evaluierungsmechanismen vorbereitet sein. Die dem Test nachfolgende Analyse des Ergebnisses soll darauf ausgerichtet sein, die Ursachen von Abweichungen zu erkennen, um diese beheben zu können. Berichte über derart strukturierte Tests können, auch in zusammengefasster Form, zur Kommunikation der K-Fall Vorbereitung genutzt werden.
Treffen obige Kriterien ganz oder teilweise in ihrem Unternehmen zu, so sollte die Unternehmensleitung eine Erklärung der tatsächlichen Situation in diesen Bereichen abfragen. Für den ungünstigsten Fall, dass es keine zugeordnete Verantwortung gibt, sollte die Unternehmensleitung ebendiese als erstes zuweisen und anschließend die Projektplanung für die Einführung eines K-Fall Konzeptes anstoßen. Für den Aufbau eines K-Fall-Konzeptes steht seit 2006 der Britische Standard 25999 zur Verfügung, ein Standard, welcher die Anforderungen an die Sicherstellung des kontinuierlichen Geschäftsbetriebs spezifiziert. Er ist sicherlich heute der beste Startpunkt für diejenigen, die ihr K-Fall-Konzept aufbauen oder überarbeiten wollen. Die Planung für und der Schutz vor der Katastrophe sind eben keine Aktivitäten für einmalige Geisterjäger, sondern andauernde und sorgfältige Prozesse, welche in den Alltag integriert sein sollten.
Rüdiger Krojnewski ist Principal Consultant bei Forrester Research.