Es vergeht fast kein Tag, an dem nicht über Cyber-Attacken berichtet wird – in vielen Fällen gewinnt man dabei den Eindruck, dass KMU nur ungenügend auf die Wahrung der betrieblichen Kontinuität (Business Continuity) vorbereitet sind. Kleine und mittelgrosse Unternehmen tun gut daran, ihre Reaktion auf Cyber-Attacken einzuplanen, da sie mittlerweile ein beliebtes Ziel von Cyberkriminellen sind.
Das Bedrohungspotenzial für IT-Infrastrukturen in Unternehmen ist mittlerweile allgegenwärtig. Cyberangriffe zur Lahmlegung der Unternehmens-IT mit Schadsoftware, Datendiebstähle oder Dateiverschlüsselungen via Ransomware, um nur einige zu nennen, gehören zu den Risikoszenarien, mit denen sich Unternehmen auseinandersetzen müssen. Cyberkriminelle bevorzugen KMU, denn bei diesen kleinen und mittelgrossen Unternehmen treffen die Hacker oft auf eine ungenügende und manchmal fehlende Abwehr. Es stellt sich nicht mehr die Frage ob ein Cyberangriff in der Zukunft stattfindet, sondern wann er umgesetzt wird. Mittlerweile nehmen zwar die meisten KMU Cyber Security (IT-Sicherheit, Cybersicherheit) als wichtige und unverzichtbare Disziplin wahr, doch fehlt es in vielen Fällen noch an einer wirksamen und professionellen Vorbereitung für den Ernstfall.
6 Fragen zur Überprüfung Ihrer KMU-Abwehr gegen Cyber-Attacken.
1. Verfügt Ihr KMU über einen Business Continuity Plan?
Ein Business Continuity Plan (BCP) ist ein Plan zur Gewährleistung der Geschäftskontinuität. Dieser sichert nach einem Cyberangriff die Fortsetzung der geschäftlichen Aktivitäten. Der Plan enthält alle vorzukehrenden Massnahmen, die einen weiteren Betrieb des KMU ermöglichen, während die Auswirkungen der Cyber-Attacke noch spürbar sind. In vielen Fällen handelt es sich um einen Notbetrieb mit Einschränkungen – doch ist ein eingeschränkter kontrollierter Betrieb nach Plan stets die bessere Lösung als ein vollständiger Stillstand (Shutdown) aufgrund des Angriffs. Bei einem kompletten Shutdown sind die betrieblichen Prozesse lahmgelegt, das Unternehmen unter Umständen von aussen (Kunden, Lieferanten, externe Mitarbeitende etc.) über mehrere Tage oder Wochen nicht mehr erreichbar. Kunden sind gezwungen auf Mitbewerber auszuweichen. Es drohen Umsatz- und Gewinnausfälle, die Reputation des Unternehmens aufgrund mangelnder Cybersicherheit leidet. Im schlimmsten Fall ist die Existenz des KMU bedroht.
2. Verfügt Ihr KMU über einen Disaster Recovery Plan?
Der Disaster Recovery Plan (Wiederherstellungsplan) ist Teil des Business Continuity Plans. Damit ist ein KMU in der Lage, bei Eintritt einer IT-Krisensituation, wie beispielsweise bei einem Cyberangriff, die Leistungsbereitschaft und -fähigkeit seiner IT-Infrastruktur möglichst rasch wiederherzustellen. Ziel ist, die Dauer des eingeschränkten «Notbetriebs» des Unternehmens möglichst kurz zu halten. Die schnelle Wiederherstellung der IT-Betriebsbereitschaft kann in gewissen Fällen sogar das Überleben eines KMU sichern. So enthält der Plan etwa Handlungsanweisungen, wie sich verlorene Daten wieder reproduzieren lassen oder kritische Anwendungen (Software) wieder hochgefahren werden können.
3. Verfügt Ihr Business Continuity Plan über klare Rollen und Verantwortlichkeiten?
Nach einer erfolgten Cyber-Attacke ist es für ein KMU entscheidend, dass der Geschäftsbetrieb weitergehen kann. Im Business Continuity Plan müssen deshalb die Rollen und Verantwortlichkeiten klar festgelegt sein. Der Plan muss eindeutig zum Ausdruck bringen, wer was wann zu tun hat, um das Unternehmen und seine geschäftlichen Abläufe weiterzuführen. Ausgewählte Mitarbeitende aus den verschiedenen relevanten Abteilungen müssen Teil eines schlagkräftigen Business-Continuity-Teams sein. Dieses Team steuert und koordiniert im Krisenfall die Umsetzung des Business Continuity Plans. Ausserdem sorgt es dafür, dass der Plan regelmässig aktualisiert und getestet wird.
4. Ist die gesamte Organisation im Business Continuity Plan eingebunden?
Um die Betriebliche Kontinuität im Krisenfall zu gewährleisten, muss sich die gesamte Organisation an den Business Continuity Plan halten. Dazu gehört ein Kommunikationsplan, der im Ernstfall alle betroffenen Stellen alarmiert und klare Anweisungen erteilt, um die betriebliche Kontinuität aufrecht zu erhalten. Auch sollen darin die passenden internen Kommunikationstools definiert sein, die etwa trotz Totalausfall der eigenen IT-Infrastruktur noch einsatzfähig sind und sich nutzen lassen.
5. Sind manuelle Prozesse definiert, um kritische Geschäftsabläufe weiterzuführen?
Wenn die Mitarbeitenden nicht mehr mit ihren IT-Tools wie Desktops, Notebooks oder Tablets arbeiten können, müssen kritische Geschäftsprozesse dennoch weiterhin umgesetzt werden können. Es gilt, manuelle Prozesse ausserhalb der Unternehmens-IT festzulegen, mit denen sich ein sinnvoller Geschäftsbetrieb aufrechterhalten lässt.
6. Finden periodische Tests des Business Continuity Plans statt?
Ein Business Continuity Plan ist nur so wirkungsvoll wie seine Umsetzbarkeit im Krisenfall. Ein BCP ist daher regelmässig mit Testläufen zu prüfen. Diese Tests sollen den Ernstfall so realistisch wie möglich nachbilden. Bei periodisch stattfindenden simulierten Angriffsszenarien sind sämtliche in die betrieblichen Schlüsselprozesse involvierten Mitarbeitenden einzuschliessen. Dazu gehören auch das Disaster Recovery Team und allfällige Sicherheitsbeauftragte, die diese Rolle im Krisenfall übernehmen. Nach einem solchen Test trägt das Business Continuity Team die Ergebnisse und Rückmeldungen aus den verschiedenen Abteilungen zusammen und passt den Plan falls notwendig an.
Fazit
KMU, die einen Business Continuity Plan mit eigenen Ressourcen erstellen, müssen mit den neuesten IT-Technologien vertraut sein, damit sie den integrierten Disaster-Recovery-Plan effizient umsetzen können. Sie sollen in der Lage sein den notwendigen Erneuerungsbedarf der IT-Infrastruktur einschätzen zu können und wichtige Entscheidungen zu treffen. Dazu gehören etwa der Kauf zusätzlicher Server oder das zusätzliche Speichern der Daten an sichereren Standorten.
Ein fehlerhafter Business Continuity Plan gefährdet im Ernstfall die Weiterführung des Geschäftsbetriebs und die Wiederherstellung der IT-Systeme sowie des IT-Betriebs. Die Folgen reichen von finanziellen Verlusten, Reputationsschäden für das KMU bis hin zur existenziellen Gefährdung eines Unternehmens.
Regelmässige Katastrophenübungen unter der Leitung des Business Continuity Teams tragen dazu bei, die Wirksamkeit des Plans zu prüfen. Anbieter von Managed IT Services bieten Unterstützung bei der Ausarbeitung eines Business Continuity Plans, eines Wiederherstellungsplans oder bei der eigentlichen Umsetzung der Disaster-Recovery-Massnahmen gemäss Plan.
Titelbild: Shutterstock
.png){kind=icon}
