Es ist oft nur eine Frage der Zeit, bis ein KMU seinen ersten ernsthaften IT-Ausfall erlebt. Doch wenn es soweit ist, sollten Massnahmen bereitstehen, um die Geschäftstätigkeit rasch und komplikationsfrei weiterzuführen sowie die Cybersicherheit zu gewährleisten. Mit einer Business-Continuity-Strategie lässt sich nicht nur eine lange IT-Downtime vermeiden, sondern auch hohe Kosten und Imageschäden.
IT-Ausfälle treten aus ganz unterschiedlichen Gründen auf. Je nach Art der Komplikation und abhängig von den Voraussetzungen im Unternehmen können sie dennoch schnell eine empfindliche Störung im Betriebsablauf auslösen. Zu den häufigsten Gründen für Probleme und Störungen in der IT zählen:
- Soft- oder Hardware-Ausfälle
- Netzwerkprobleme
- Cyberangriffe
- Stromausfälle
- Feuer, Überschwemmungen, Erdbeben
- Personalausfälle mit direkter oder indirekter Auswirkung auf die IT
- Fehlmanipulationen der IT-Systeme durch Mitarbeitende
- Ausfälle von IT-Partnern (z.B. IT-Dienstleister oder Partner innerhalb der Supply Chain)
Während sich einige dieser Probleme mit einer naheliegenden Lösung beheben lassen, so sind andere weitaus komplexer und nehmen mehr Zeit in Anspruch. Trotzdem bedroht jeder IT-Ausfall potenziell Firmendaten und Betriebsprozesse, er setzt die Cybersicherheit aufs Spiel und zieht Kosten sowie Reputationsrisiken nach sich. Daher ist es wichtig, dass KMU Risiken frühzeitig erkennen und Massnahmen umsetzen, welche die Betriebskontinuität sicherstellen.
Vom IT-Stillstand zum Normalbetrieb: Warum Betriebskontinuität wichtig ist.
Ob Kundenmanagement, HR, die Bestellsoftware, Controlling oder Supply Chain Management: Heutzutage sind viele wichtige Betriebsprozesse in Unternehmen digitalisiert und von einer funktionstüchtigen IT-Infrastruktur abhängig. Kommt es zu einem Ausfall der IT-Systeme und damit zu einer IT-Downtime, so kann das für ein KMU unangenehme Folgen haben. Je länger IT-Systeme ausfallen, desto schwerwiegender sind die Konsequenzen – Kundinnen und Kunden könnten zu Konkurrenten abwandern, die Cybersicherheit ist nicht mehr gegeben, Bestellungen lassen sich nicht tätigen, Firmendaten gehen verloren und Mitarbeitende können ihrer Arbeit nicht nachgehen. Daher ist es von grosser Bedeutung, frühzeitig zu reagieren und ein erfolgreiches Business Continuity Management aufzubauen.
Je nach Schwere und Umfang der IT-Störung ist es nicht immer möglich, direkt den Normalbetrieb wiederherzustellen. Für diesen Fall sieht das Business Continuity Management den sogenannten Notbetrieb vor, der einen eingeschränkten, aber kontrollierten Betrieb ermöglicht. Während des Notbetriebs lassen sich die essenziellen Betriebsprozesse fortsetzen und der Übergang zum Normalbetrieb kann vorbereitet werden.
Business Continuity ermöglicht einen Notbetrieb, der die notwendigsten Prozesse bis zum Einsetzen des Normalbetriebs gewährleistet
Zentrale Elemente der Business Continuity
Es gibt keine Standard-Reaktion nach einem IT-Ausfall, denn das jeweils passende Verhalten ist abhängig von der spezifischen Unternehmensstruktur, den Systemen und Umgebungen der Organisation sowie vom Schweregrad der Krisensituation. Im Rahmen des Risikomanagements sollten Unternehmen die Vielfältigkeit möglicher IT-Probleme bedenken und sich auf verschiedenste Ausfallszenarien vorbereiten. In einer wirksamen Business-Continuity-Strategie stehen hierzu verschiedene Tools zur Verfügung:
- Business Continuity Team
Das Business Continuity Team besteht aus ausgewählten Mitarbeitenden aus verschiedensten Bereichen eines KMU. Es steuert und koordiniert das Wiederherstellen der Betriebskontinuität und übernimmt die Führungsrolle auf dem Weg zum Normalbetrieb. Das Team kann auch externe Mitglieder, beispielsweise IT-Berater beinhalten. Regelmässige Schulungen stellen sicher, dass die interne Rollenverteilung klar geregelt ist, dass die Teammitglieder wissen, wie im Krisenfall vorzugehen ist und die Informationsflüsse funktionieren. - Business Impact Analyse
Die Eintrittswahrscheinlichkeit sowie die Auswirkungen von IT-Störungen in KMU sind sehr unterschiedlich. Mit einer Business Impact Analyse (BIA) stellt das Unternehmen dar, welche Art von Zwischenfällen die Geschäftsentwicklung besonders beeinträchtigen können und welche Bereiche oder Prozesse in der Organisation für die Kontinuität des Betriebs unverzichtbar sind. Die Ergebnisse der BIA dienen bei der weiteren strategischen Planung als Orientierung. - Business Continuity Plan (BCP)
Der Business Continuity Plan ist das Herzstück, um die Betriebskontinuität herzustellen. Er enthält alle Massnahmen und Arbeitsschritte, die im Falle eines IT-Ausfalls umzusetzen sind. Im Krisenfall minimiert ein guter BCP die negativen Auswirkungen für ein Unternehmen, indem er zuerst die Aufnahme des Notbetriebs sicherstellt und anschliessend den Übergang zum Normalbetrieb vorbereitet.
Da sich die Voraussetzungen im Unternehmen immer wieder ändern, ist auch der BCP mit all seinen Komponenten regelmässig an die aktuellen Anforderungen anzupassen. Periodische Tests stellen sicher, dass der BCP seinen Zweck jederzeit erfüllen kann. - Disaster Recovery Plan (DRP)
Der Disaster Recovery Plan fokussiert sich auf die Wiederherstellung von wichtigen Daten und unterstützt das KMU dabei, die Funktionsfähigkeit der IT wiederherzustellen. Der DRP ist ein fester Bestandteil des BCP und ist ebenfalls regelmässig zu prüfen sowie zu aktualisieren.
Betriebskontinuität: Ausarbeiten einer passenden Strategie
Die Vorbereitung auf einen IT-Ausfall ist ein wichtiger Teil des Risikomanagements in KMU. Es gilt dabei, verschiedene Ausfall-Szenarien vorauszusehen und einen passenden Business Continuity Plan zu erstellen. Aber wie lässt sich bei dieser Vielzahl von Unsicherheitsfaktoren ein zuverlässiger BCP erstellen? Wie kann ein KMU sicherstellen, dass die trainierten Szenarien die realen Risikofaktoren abdecken? Und wie wissen Führungspersonen, wann die Cybersicherheit im Unternehmen gefährdet ist?
Um Fragen wie diese zuverlässig zu beantworten und Schlüsselrisiken lückenlos abzudecken, ist es für ein KMU ratsam, zur Unterstützung einen Experten beizuziehen. Externe Anbieter von IT-Dienstleistungen, die sich mit IT-Risiken und insbesondere den betrieblichen Prozessen auskennen, können KMU optimal unterstützen. Sie bieten nicht nur bei der Ausarbeitung der Business-Continuity-Strategie Hand, sondern sie haben auch ein Auge darauf, dass die Strategie und all ihre Elemente den aktuellen Anforderungen genügen und regelmässig aktualisiert wird.
Ein versierter IT-Experte stellt sicher, dass alle relevanten Risikoszenarien berücksichtigt werden und ist in der Lage, sie nach ihrer Eintrittswahrscheinlichkeit zu priorisieren. So lässt sich in KMU sowohl die Cybersicherheit als auch die Betriebskontinuität gewährleisten.
Titelbild: Wikipedia