Cyber Security: Wozu braucht ein KMU ein Disaster Recovery Team?

Ereignet sich in einem KMU ein Cyber-Security-Vorfall oder ein Ausfall der IT, dann ist ein rascher Wiederherstellungsprozess (Disaster Recovery) und ein eingespieltes Disaster Recovery Team essenziell. Damit lassen sich die Ausfallzeiten der IT-Infrastruktur minimieren und verlorene Daten rasch wieder rekonstruieren. Doch welche Rolle spielt das Disaster Recovery Team in einem KMU? Ist es überhaupt notwendig?

Was ist ein Disaster Recovery Team?

Ein Disaster Recovery Team ist eine Gruppe von Personen, die zusätzlich zu ihrer angestammten Aufgabe im Unternehmen, eine Rolle in diesem Team übernehmen. Tritt ein IT-Ausfall ein, so hat das Disaster Recovery Team die Aufgabe, die Wiederherstellung der betrieblichen Prozesse sicherzustellen. Es plant, implementiert, überwacht und testet den Disaster Recovery Plan (Wiederherstellungsplan) und passt diesen bei Bedarf an neue Gegebenheiten an. Im Krisenfall steuert und koordiniert es die Umsetzung des Wiederherstellungsplans. Die Hauptzielsetzung des Disaster Recovery Teams ist es, die Downtime (Ausfallzeit) zu minimieren, damit sich die Geschäftstätigkeit rasch und mit dem gewohnten Leistungsanspruch wieder aufnehmen lässt.

Was ist bei der Bildung eines Disaster Recovery Teams zu beachten?

• Herkunft
  Die Team-Mitglieder sollen aus allen für die Wiederherstellung relevanten Abteilungen des Unternehmens stammen.
  
  
• Rollen
  Jedem Team-Mitglied sind klare Rollen und Verantwortlichkeiten sowohl für den Ernstfall als auch ausserhalb von Krisensituationen zugewiesen.
  
  
• Stellvertretungen
  Ersatz-Teammitglieder je Abteilung kompensieren allfällige Abwesenheiten.
  
  
• Mitgliederliste 
  Die Mitglieder des Disaster-Recovery-Teams mit all ihren Kontaktdetails und Verantwortlichkeiten sind im Wiederherstellungsplan schriftlich erfasst.
  
  
• Hierarchie
  Die Team-Hierarchie ist definiert und im Organigramm des Disaster Recovery Plans dokumentiert.
  
  
• Handlungsautorität (Befugnisse)
  Individuelle Befugnisse für den Eintritt eines Disaster-Recovery-Falls für jedes Team-Mitglied sind im Wiederherstellungsplan aufgeführt.
  
  
• Information
  Die Geschäftsführung informiert die gesamte Belegschaft regelmässig über die Zusammensetzung und die Befugnisse des Disaster Recovery Teams.
  
  

Aus welchen Rollen besteht ein Disaster Recovery Team?

Je nach Unternehmensgrösse und -struktur stellen sich für ein Disaster Recovery Team mehr oder weniger komplexe Aufgaben. Zu den spezifischen Rollen innerhalb eines Disaster Recovery Teams können folgende gehören:

1.    Recovery Team Head

Der Recovery Team Head hat die Aufgabe, das gesamte Disaster Recovery Team zu führen, zu überwachen und die Aktivitäten jedes Mitglieds zu koordinieren. Er oder sie stellt sicher, dass ein wirksamer Disaster Recovery Plan vorhanden ist. Dies kann je nach Struktur des KMU ein Mitglied der Geschäftsleitung, ein Abteilungsleiter oder eine Führungsperson der IT-Abteilung sein.

2.    Krisenmanagement-Koordinator

Dieser Mitarbeiter überwacht und prüft periodisch die Datenwiederherstellung. Er leitet umgehend die geplanten Prozesse ein, wenn ein Ernstfall eintritt.

3.    Business-Continuity-Experte

Dieses Teammitglied kümmert sich um die Strategie, die erforderlich ist, um den Betrieb im Krisenfall fortzusetzen oder wiederherzustellen. Es stellt auch sicher, dass der Disaster Recovery Plan mit den Anforderungen an die betrieblichen Prozesse übereinstimmt und umsetzbar ist. Dieser Mitarbeiter hat in der Regel ein gutes Verständnis für die verschiedenen Geschäftsabläufe.

4.    Berater für Schadensabschätzung und Wiederherstellung

Diese Rolle wird in der Regel von mehreren Mitarbeitenden mit unterschiedlichem Know-how in verschiedenen Technologien übernommen. Im Krisenfall beurteilen sie, wie viel Schaden in ihrem spezifischen Bereich entstanden ist und wie dieser behoben werden kann. Beispiele für solche Fachgebiete können Netzwerke, Server, Speicher und Datenbanken sein. Häufig stammen diese Team-Mitglieder von der IT-Abteilung oder einem externen IT-Outsourcing-Dienstleister.

5.    Supervisor IT-Anwendungen

Diese Person ist verantwortlich für die Überwachung der gesamten Unternehmens-IT im Hinblick auf mögliche Risiken und drohenden Gefahren. Sie stellt nach einem Krisenfall und nach der Wiederherstellung  sicher, dass alle IT-Komponenten einwandfrei zusammenarbeiten. Für diese Rolle wird oft ein externer Anbieter von Managed IT Services (Managed IT Service Provider) beigezogen. Dieser ist in der Lage Risiken frühzeitig zu erkennen und bei Bedarf Vorkehrungen zu treffen.

Damit sich ein wirksamer Disaster Recovery Plan erstellen und bei Bedarf zielführend umsetzen lassen kann, sollen die individuellen Verantwortlichkeiten und Befugnisse der Teammitglieder klar definiert sein. Das Disaster Recovery Team muss sich über seine Aufgaben im Klaren sein und sich laufend über Anpassungen in den betrieblichen Prozessen informieren. Dazu finden regelmässige Sitzungen mit allen Teammitgliedern statt, an denen sie Informationen über relevante Veränderungen erhalten und bei Bedarf Plananpassungen in die Wege leiten.

Verantwortlichkeiten eines Disaster Recovery-Teams

Ein Disaster Recovery Team muss in seiner Gesamtheit über gute Kenntnisse der unternehmerischen Situation rund um Versicherungsdeckungen, Sicherheits-, Personal- und Kommunikationsrichtlinien sowie unternehmerische Prozesse mit ihren Wiederherstellungszielen verfügen. Es soll zudem in der Lage sein, technologische IT-Überlegungen vornehmen zu können – dazu gehören etwa die Art der Wiederherstellung bei Cloud Computing gegenüber der Wiederherstellung von  physischen Servern, der Ransomware-Schutz, Failover-Pläne und die Einhaltung von allfälligen Vorschriften. Weitere Aufgaben eines Disaster Recovery-Teams umfassen je nach Struktur des KMU folgende Themen:

• Durchführen von Risiko- und Schadensbewertungen.
• Testen des Wiederherstellungsplans
• Sicherstellen, dass alle physischen IT-Standorte zugänglich, sicher und geschützt sind.
• Koordination der Verträge von Dienstleistern, die bei der Wiederherstellung beizuziehen sind.
• Entwickeln von Reparaturplänen und Zeitplänen.
• Durchführen einer Sitzung nach Abschluss einer Krise, um die Umsetzung des Wiederherstellungsplans zu evaluieren. Dabei wird bewertet, welche Massnahmen gut funktioniert haben und welche Prozesse Anpassungen benötigen.
• Schulung der entsprechenden Mitarbeitenden nach einer Aktualisierung des Disaster Recovery Plans oder nach einem Zwischenfall.
• Delegieren der spezifischen Aufgaben und Befugnisse an die jeweiligen Teammitglieder und Definition der Stellvertretungen.
• Zeitnahe und laufende Kommunikation an die verschiedenen Anspruchsgruppen im Krisenfall (Geschäftsführung, Personal, Kunden, Handel, Lieferanten, Medien). Wenn vorhanden wird dazu die Abteilung Unternehmenskommunikation beigezogen.
  
  

Ein Disaster Recovery Team ist für ein KMU die zentrale Vorsorgeplanung für den Ernstfall.  Ein schlagkräftiges Team, regelmässige Übungen sowie ein hohes Engagement der Geschäftsleitung und des Disaster Recovery Teams tragen dazu bei, die Wirksamkeit eines Wiederherstellungsplans sicherzustellen. Da ein Disaster Recovery Team auch IT-Wissen voraussetzt, nutzen KMU wie erwähnt auch Dienste von externen Dienstleistern. Anbieter von Managed IT Services können als Teil des Teams einen wichtigen fachlichen Beitrag leisten. Ein fehlendes Disaster Recovery Team stellt in einem KMU ein nicht zu unterschätzendes Risiko dar. Im Ernstfall ist die Wiederherstellung der IT-Systeme und des gesamten Geschäftsbetriebs gefährdet.