Analysten-Kolumne
Fünf Anzeichen für eine nicht ausreichende Katastrophenfallvorsorge
Es existiert keine ausgewiesene K-Fall Organisation
Eine effektive Absicherung für den K-Fall ist ohne persönliche Verantwortung einzelner, dediziert eingesetzter Mitarbeiter nicht zu erreichen. Diese Mitarbeiter benötigen zudem die Unterstützung durch einzelne Funktionsträger, sowohl in den Fachbereichen wie auch in der IT. So ist es zum Beispiel notwendig, in allen Fachbereichen Mitarbeiter bereit zu stellen, welche die Anforderungen an das K-Fall Konzept ermitteln und kommunizieren, sowie andere Mitarbeiter, je Fachbereich und ggf. Standort, welche die Koordination im K-Fall übernehmen. Natürlich ist auch ein zentraler Stab einzurichten, welcher im K-Fall die unternehmensweiten Aktivitäten koordiniert. Da diese Organisation normalerweise aus Mitarbeitern besteht, welche im Alltag auch andere, operative Aufgaben haben, ist sie entsprechend detailliert zu dokumentieren.
Das K-Fall Konzept ist ausschließlich IT getrieben
Der Entwurf und der Betrieb von K-Fall-Konzepten ist ein risikominderndes Vorgehen. So ist es unerlässlich, dass zur effektiven Risikominderung die Auswirkungen von Schadensereignissen auf das Unternehmen erfasst und bewertet werden. Dieses sogenannte Business Impact Assessment ist nur in Zusammenarbeit von Fachabteilungen und IT möglich, da schließlich die Bewertung der Unternehmensprozesse und -daten nur aus fachlicher Sicht erfolgen kann. Ein K-Fall-Konzept zur Wiederherstellung der IT, welches ohne Einbeziehung der Fachabteilung entstand, birgt die Risiken, entweder nicht genug Sicherheit zu bieten, oder tatsächliche Erfordernisse über zu erfüllen. Während der erste Fall zu einem nicht vorhandenen Schutz führt, ist im zweiten Fall mit zu hohem Aufwand zu rechnen. In der Realität findet sich tatsächlich häufig eine Mischung aus beiden Szenarien: Zu teuer und trotzdem nicht ausreichend.
Sie haben keine finanzielle Bewertung der Geschäftsprozesse
Der K-Fall Plan dient der Sicherstellung des Geschäftsbetriebes im Katastrophenfall. Zur Ermittlung des vertretbaren Aufwands der Vorsorgemaßnahmen ist eine aktuelle Feststellung des finanziellen Wertes von Geschäftsprozessen notwendig. Diese Bewertung sollte, gemeinsam mit den Ergebnissen der Bedrohungsanalyse, den aktuellen Aufwänden zur Absicherung des Katastrophenfalles gegenüber gestellt werden. Das Ergebnis ermöglicht zum einen die Bezifferung des tatsächlichen Aufwands und zum anderen die vergleichende Bewertung aktueller Methoden und Technologien im Vergleich zu neuen Methoden und Technologien.
Sie haben keine Berichte über periodische Neubewertungen der Risikolage
Risiko-Management ist ein kontinuierlicher Prozess. Jede Veränderung der geschäftlichen Aktivitäten, aber auch der Systeme, welche diese unterstützen, kann neue oder neu zu bewertende Bedrohungen mit sich bringen. IT Risiko-Management ist einerseits mit sehr spezifischen Bedrohungen und Vorsorgemaßnahmen befasst, andererseits aber als Prozess nicht losgelöst vom allgemeinen Risiko-Management des Unternehmens zu betrachten. Unabhängig von einzelnen Veränderungen sollte die Risikoanalyse auch zyklisch erfolgen, um eine umfassende Betrachtung und ggf. Neuausrichtung zu ermöglichen. Neben den detaillierten Risikoregistern sollte als Ergebnis weiterhin eine Zusammenfassung der analysierten Risiken erfolgen, welche Aufschluss über die Art des Umgangs mit den Risiken, den hierfür betriebenen Aufwand, sowie die akzeptierten Restrisiken gibt.
Sie haben keine Berichte über den Verlauf von K-Fall Tests
Ein K-Fall-Konzept ist eine Sammlung von technisch und organisatorisch sowohl anspruchsvollen wie auch nicht alltäglichen Abläufen. Praktische Erfahrungen mit tatsächlichen Katastrophen haben die wenigsten Unternehmen, jedoch sind Änderungen in Organisation und IT tägliches Geschäft. Diese Änderungen nehmen den Ergebnissen früherer Tests zum Teil die Aussagekraft und bedingen somit die Notwendigkeit, die K-Fall Konzepte regelmäßig zu testen. Hierzu reicht es lange nicht mehr aus, ad hoc einen K-Fall auszurufen und das Ergebnis abzuwarten. Vielmehr ist es nötig, den Test methodisch so aufzubauen wie einen Systemtest in der Software-Entwicklung. Die erwarteten Ergebnisse sollten vorab für alle beteiligten Komponenten und Abläufe formuliert und Evaluierungsmechanismen vorbereitet sein. Die dem Test nachfolgende Analyse des Ergebnisses soll darauf ausgerichtet sein, die Ursachen von Abweichungen zu erkennen, um diese beheben zu können. Berichte über derart strukturierte Tests können, auch in zusammengefasster Form, zur Kommunikation der K-Fall Vorbereitung genutzt werden.