Wieder­herstellungs­plan in KMU: Kommunikation bei IT-Zwischenfällen

Fällt die IT-Infrastruktur eines KMU vollständig für längere Zeit aus oder wurde sie von Cyberkriminellen lahmgelegt, so ist dies als eine ernsthafte und unter Umständen existenzbedrohende Situation für das Unternehmen einzustufen. Sie wirkt sich in der Regel unmittelbar auf Kunden, Mitarbeitende und Geschäftspartner aus. Bestellprozesse sind unterbrochen, Lieferketten funktionieren nicht mehr, Daten wurden entwendet – das Geschäft steht still. Kurz: eine unternehmerische Krise liegt vor. In solchen Fällen geht es nicht nur darum die IT-Betriebsbereitschaft und die Geschäftskontinuität (Business Continuity) rasch wieder herzustellen, sondern es gilt auch mit laufender Kommunikation dafür zu sorgen, den Schaden zu begrenzen und so rasch wie möglich Vertrauen bei den Betroffenen aufzubauen.

Obwohl Betriebsausfälle oder Datenverluste nicht vorhersehbar sind, sollten KMU einen möglichen IT-Ernstfall nicht unterschätzen und entsprechende Vorkehrungen im Rahmen ihrer Cyber Security treffen. Wenn Unternehmen auf Ereignisse wie Feuer, Überschwemmungen, Stromausfälle, Cyberkriminalität, Datendiebstähle, Hard- und Software-Fehler zeitnah und professionell reagieren, sind sie in der Lage, schädliche Auswirkungen zu verhindern oder zumindest zu begrenzen. Darauf zu spekulieren, dass die Eintrittswahrscheinlichkeit solcher Zwischenfälle zu gering ist, um sich darauf vorbereiten zu müssen, wäre für jede KMU eine fatale Fehleinschätzung mit entsprechend negativen Folgen. Ein Zwischenfall erfasst früher oder später jede IT-Infrastruktur – unabhängig von der Unternehmensgrösse.

Damit sich die IT-Krise nicht zu einer Katastrophe für das KMU entwickelt, gehört ein Plan zur Wiederherstellung der IT-Betriebsbereitschaft (Disaster Recovery Plan) in zu jedem Unternehmen. Dieser umfasst mehrere Themen, die im Ernstfall dazu dienen eine rasche Wiederaufnahme des IT-Betriebs ermöglichen.

6 Punkte eines Disaster Recovery Plans (Wiederherstellungsplan) in der IT

1. Inventarisierung: Sämtliche IT-Komponenten erfassen.
   
   
2. Risikoanalyse: Gefahren bewerten und Ziele festlegen.
   
   
3. Effizient durch die IT-Krise: Bilden eines Disaster-Recovery-Teams.
   
   
4. Information: Kommunikationsplan erstellen.
   
   
5. Anleitung zur Vorgehensweise: Abläufe dokumentieren.
   
   
6. Tests: Wiederherstellungsplan testen und aktualisieren.
   
   

Die Checkliste Disaster Recovery für KMU erläutert diese sechs Punkte ausführlich und verständlich. Nachstehend gehen wir auf den im Punkt 4 erwähnten Kommunikationsplan ein. Dieser spielt bei einer IT-Krisensituation eine zentrale Rolle

Kommunikationsplan bei einem IT-Ausfall 

Ein klarer Kommunikationsplan ist entscheidend, um bei einer IT-Krisensituation die Oberhand über die zu kommunizierenden Themen zu behalten. Dieser sorgt für den zeitnahen Informationsfluss an die verschiedenen Anspruchsgruppen. Auf diese Weise lassen sich Spekulationen mit negativen Auswirkungen auf die Unternehmensreputation vermeiden und die Informationsempfänger verspüren Transparenz und Professionalität. Je nach Geschäftsmodell und Situation richtet sich die Kommunikation ausschliesslich intern an das Personal oder zusätzlich an Kunden, Handel und Lieferanten. Besteht ein öffentliches Interesse am Unternehmen oder dem spezifischen Krisenfall, sind auch die Medien einzubeziehen (siehe Abbildung 1).

• Interne Kommunikation
  

  Die interne Kommunikation klärt die Mitarbeitenden darüber auf, welche Massnahmen sie während der IT-Krise ergreifen sollen, um den Ausfall zu überbrücken. Dazu gehören etwa Hinweise, welche Notfalldienste ihnen zur Verfügung stehen, um einen minimalen Betrieb aufrecht zu erhalten oder wie sie nach Aussen kommunizieren sollen. Zum internen Kommunikationsplan gehört auch, dass das Personal unabhängig von E-Mail- oder Systemausfällen erreicht werden kann – so sollen die mobilen Telefonnummern aller Mitarbeitenden in einfach zugänglichen gesicherten Datenbanken, unabhängig vom übrigen System gespeichert werden, damit sie das Disaster Recovery Team im Krisenfall beispielsweise über eine IT-unabhängige Kurznachrichtendienst-Anwendung (SMS) gesamthaft und individuell erreichen kann.
  
  

• Kommunikation an Kunden, Handel, Lieferanten
  

  Um den Kommunikationsprozess zu beschleunigen, sollen Nachrichten an Kunden bereits im Voraus formuliert sein. Dazu lassen sich Vorlagen erstellen, die entsprechend den jeweiligen Krisenumständen angepasst werden. Die Information an Kunden soll auch benennen, mit welchen Massnahmen das KMU das Problem lösen will und eine Einschätzung darüber geben, wann die Dienstleistungen des Unternehmens voraussichtlich wieder zur Verfügung steht. Dazu gehört auch, transparent mitzuteilen, was das Unternehmen noch nicht in Erfahrung bringen konnte bzw. was es noch nicht weiss. Die interne beziehungsweise externe PR- oder Kommunikationsabteilung bereitet dazu einen Entwurf einer Mitteilung vor, die es beim Eintritt eines Ernstfalls anpasst und auf einem vorbestimmten Platz auf der Website des Unternehmens platziert, um Kunden, Handel und Lieferanten zu informieren. Je nach Art des Systemausfalls, verschickt das KMU diese Informationen auch über einen vorbereiteten E-Mail-Verteiler.
  
  

• Kommunikation an die Medien
  

  Die Kommunikation an die Medien kann je nach Geschäftsmodell und Bedeutung des Zwischenfalls bedeutend sein, um das Vertrauen des Unternehmens in der Öffentlichkeit aufrecht zu erhalten. Auch diese Botschaften sind vor dem Eintritt einer IT-Krise als Vorlage zu entwerfen. Solche Medienmitteilungen sollen die eingetretene Krisensituation und die ergriffenen oder zu ergreifenden Massnahmen beschreiben. Dabei soll so transparent wie möglich informiert werden. Mögliche Ängste soll das Unternehmen aufnehmen und ansprechen, Je nach Art und Schwere des Zwischenfalls kann das KMU gewisse Bedenken auch zerstreuen – allerdings soll es den Zwischenfall nicht voreilig verharmlosen. Das Disaster-Recovery-Team setzt sich dabei mit der internen oder externen für die Kommunikation verantwortlichen Person in Verbindung, um einen regelmässigen Fluss von korrekten Informationen sicherzustellen und keine Missverständnisse zu erzeugen. Um spekulative Berichterstattung zu vermeiden, soll die Kommunikation an die Medien umgehend erfolgen und präzis sein. Dazu gehört auch mitzuteilen, was schon bekannt ist, aber auch wo das Unternehmen noch im Dunkeln tappt. Im Bedarfsfall können die neuesten Erkenntnisse der Situation über eine Reihe von mehreren Medienmitteilungen geschildert werden. Diese gelangen je nach Art des Systemausfalls via E-Mail, über einen Medienbereich auf der Website, oder über die externe Medienstelle an die Medienkontakte.

Bei einer IT-Krise geht es zweifellos darum, die Verfügbarkeit der IT-Infrastruktur und der Daten rasch wiederherzustellen. Ebenso wichtig ist es allerdings, den verschiedenen Zielgruppen innerhalb und ausserhalb des Unternehmens die Ausgangslage sowie den Prozess der Wiederherstellung proaktiv und verständlich zu vermitteln. Einen wesentlichen Beitrag dazu leistet eine effiziente, klare und laufende Kommunikation. Sie sichert das Vertrauen in das Unternehmen und schafft Glaubwürdigkeit.

Titelbild: chuttersnap on Unsplash