Das Virus hat uns Menschen gezeigt, wie verwundbar wir sind. Diese Entwicklung schlägt nun auch auf die IT über. Zwar kann ein Virus wie COVID-19 den IT-Betrieb selbst nicht einschränken, jedoch sind es die unzureichenden Vorbereitungen, sowie die häufig unvollständige Betrachtung des Business Continuity Managements (BCM), welche in der letzten Zeit bei vielen Unternehmen zu Problemen geführt hatten.
Zu Beginn der Pandemie ist durch einen Fehler eines wichtigen Handelssystems der Deutschen Börse der Xetra- und Eurex-Handel für knapp 4,5 Stunden unterbrochen worden. Die Störung hat außerdem auf den Handel an den Börsen in Wien, Prag, Budapest, Zagreb, Ljubljana, Sofia und Malta durchgeschlagen. Fakt ist, dass um diese Zeit im Normalbetrieb jeweils um die 1 Millionen Transaktionen täglich über Xetra verarbeitet werden. Dies würde an einem Nachmittag etwa 240.000 Transaktionen entsprechen. Der tatsächlich entstandene monetäre Schaden ist hierbei schwer zu beziffern. Ein großer Reputationsschaden ist jedoch schon jetzt erkennbar. Eine Anpassung der BCM-Strategie bei Eintritt eines solchen Szenarios hätte die Ausfallzeiten sicherlich um ein Vielfaches reduzieren können.
(https://www.faz.net/aktuell/finanzen/xetra-stoerung-kritik-an-boerse-nach-stundenlangem-ausfall-16724945.html)
In der Regel wird bei der Auswahl der BCM-Strategie das Thema der höheren Gewalt wie Naturkatastrophen, Erdbeben und Überschwemmungen berücksichtigt und spielt bei beispielsweise der Standortauswahl von Rechenzentren eine große Rolle. Pandemie-Themen sind in diesem Zusammenhang oftmals neu und nur geringfügig betrachtet worden, weil eine direkte Auswirkung verhältnismäßig gering ist. Vergangene Pandemien aus den letzten beiden Jahrzehnten haben gezeigt, dass diese nicht zu vernachlässigen sind. Die Vogelgrippe (H5N1), Schweinegrippe (H1N1) oder Ebola sind die bedeutsamen Pandemien aus dieser Zeit gewesen, die ebenso viel Potenzial hatten zu eskalieren, wie die derzeitige COVID Pandemie. Schon nach der Vogelgrippe haben viele Unternehmen vermehrt Pandemie-relevante Themen in den Fokus ihrer BCM-Strategie gelegt. COVID-19 hat uns an einigen Stellen gezeigt, dass der Schaden, der auf die Pandemie zurückzuführen ist, aber dennoch hoch sein kann.
Inwiefern hat die Corona-Pandemie den Inhalt der BCM-Strategien verändert?
Um eine geeignete BCM-Strategie zu implementieren, muss vorweg eine Business Impact Analyse (BIA) durchgeführt werden, um eine methodische Sammlung und Analyse von unternehmenskritischen Prozessen innerhalb der Institution vorzunehmen. Mittels einer BIA werden Abhängigkeiten zwischen Prozessen und Unternehmensbereichen aufgezeigt, um die Auswirkung bei Ausfällen von Prozessen aufzuzeigen. Der Begriff Disaster Recovery (Notfallwiederherstellung) beinhaltet Maßnahmen, die sich aus der BCM-Strategie und BCM-Planung ableiten. Diese Maßnahmen werden dabei bis auf die einzelnen Teilbereiche des Unternehmens, sowie deren Geschäftsprozesse, heruntergebrochen. Auch werden hierbei komplette unternehmensweite IT-Maßnahmen abgeleitet. Das Ziel dabei ist es, im gesamten Unternehmen die IT-Verfügbarkeiten und den Datenverlust bei den als kritisch identifizierten unterstützenden IT-Systemen so gering wie nötig zu halten.
Die ermittelten kritischen Geschäftsprozesse spielen bei der BCM-Planung, bis zur festgelegten Strategie für die Wiederherstellung von IT-Systemen, Netzwerken oder Anwendungen eine entscheidende Rolle. Bei einem Ausfall gibt es einen maximal tolerierbaren Zeitraum. Diese Kennzahl wird als Recovery Time Objective (RTO) bezeichnet. RTO definiert die Dauer des Ausfalls und den möglichen Verlust des Umsatzes pro Zeiteinheit und ist ein wichtiger Teil des Disaster-Recovery-Plans. Eine weitere wichtige Kennzahl ist das sogenannte Recovery Point Objective (RPO). Dies bestimmt den Zeitraum, der zwischen zwei Datensicherungen (Backups) liegt. Genauer gesagt wird der Zeitpunkt des Wiedereinstiegs vor Eintritt des Disasters bestimmt. Hier wird auf das zuletzt durchgeführte Backup zurückgegriffen, um den Wiederanlauf und die Wiederherstellung der Daten ab diesem Zeitpunkt durchführen zu können. Es stellt sich die Frage, wie viele Daten oder Transaktionen zwischen der letzten Sicherung und einem Ausfall höchstens verloren gehen dürfen. Diese beiden Kennzahlen sollen grundsätzlich bei der Zusammenarbeit mit Dienstleistern vertraglich in den sogenannten Service Level Agreements (SLAs) festgehalten werden.
Sollte es dennoch zu Ausfällen in einem Unternehmen kommen, so können beispielsweise neben Reputationskosten auch Ausfallkosten bzw. sogenannte Opportunitätskosten entstehen – also Kosten für die in dieser Zeit entgangenen Einnahmen. Neben den Kosten der Ausfallzeiten sind hier auch die Kosten für Wiederherstellungsarbeiten enthalten. Daher sind geeignete Disaster Recovery-Strategien unabdingbar.
Auch der Regulator wie zum Beispiel die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) hat mit ihrer aktuell konsultierenden Auflage der BAIT (Bankaufsichtlichen Anforderungen an die IT) das Thema IT-Notfallmanagement als eigenständigen Teilbereich von Anforderungen für Finanzinstitute definiert. Dabei sollen die IT-Notfallmanagementkonzepte sich aus den bereits existierenden Notfallmanagementprozessen ableiten und als Kernanforderung bei allen Finanzinstituten implementiert werden. Des Weiteren verlangt die BAIT in ihrer Neuauflage eine Kritikalitätsbetrachtung, in welcher Aktivitäten und Prozesse mit einbezogen werden. (Siehe auch Artikel “BAIT 2020/2021: IT-Notfallmanagement“)
Um bestmöglich aufgestellt zu sein, sollten sich Unternehmen die folgenden Fragen stellen:
- Wie stellt mein Unternehmen sicher, dass Richtlinien und Prozesse wiederhergestellt werden können, und wie kann auf Wiederherstellungspläne zurückgegriffen werden, um zu verhindern, dass keinerlei Daten verloren gegangen sind?
- Welche IT-Security Prozesse können für Mitarbeiter implementiert werden, wie beispielsweise VPN, Homeoffice, Training, MFA (Multi-Faktor-Authentifizierung).
- Stehen genügend und geeignete Ressourcen zur Verfügung für den Fall, dass Maßnahmen für eine Wiederherstellung ergriffen werden müssten?
Das Thema der Ressourcen ist aufgrund möglicher gesundheitlicher Ausfälle im Falle einer Pandemie ebenfalls Bestandteil der BCM-Strategie. Unternehmen sollten in diesem Zusammenhang Klarheit über die folgenden Punkte haben:
- Implementierung und Durchführung von Auslastungstests der Remote Access Infrastruktur, um zu verhindern, dass es durch die neue Arbeitsweise zu Ausfällen kommen kann.
- Bereitstellung zusätzlicher Firewall Rules, sowie Gewährleistung von VPN–Verbindungen zu den Systemen, um die Verfügbarkeiten der Mitarbeiter einhalten zu können.
- Durch das vermehrte Arbeiten im Homeoffice sollte die Bereitstellung von gesonderten Hotlines für diese Arbeitsweise gewährleistet werden.
Nur eine strikte Fokussierung auf die Geschäftsprozesse führt zu einem effizienten Business Continuity Management und letztendlich ebenso zu einem effizienten IT-Notfallmanagement von Unternehmen.
Ein ganzheitlicher Disaster Recovery Plan, abgeleitet aus einem BCM-Plan, vermindert das unternehmerische Risiko in Notfallsituationen.
Über den Autor
Rajeev Panesar ist als Unternehmensberater mit seinen Schwerpunkten Informations- und Cybersicherheit sowie Governance, Risk & Compliance (GRC) bei ADVISORI für unsere Kunden tätig. Mit seiner mehr als 10-jährigen Berufserfahrung als Fachexperte in verschiedenen Rollen hat er dabei sowohl in der 1st als auch in der 2nd Line-of-Defence weitreichende Erfahrungen im Umfeld von ISMS, IT-Risikomanagement, IT-Schwachstellenmanagement sowie Audit & Compliance unter Betrachtung regulatorischer und prozessualer Anforderungen erlangen können.
