Den Risiken ins Auge blicken

Hannes Lubich ist Head of EMEA Business Continuity, Security and Governance bei BT Global Services.

Für den Fall einer Katastrophe sollten Unternehmen einen vorbereiteten Plan aktivieren können, der ihnen sagt, wie im Notbetrieb gearbeitet und die Rückkehr zum Normalbetrieb gewährleistet werden kann. Massnahmen im Vorfeld zur Business Continuity und Methoden, mit denen die Risiken abgewogen und einkalkuliert werden (Risk Resilience), sind daher keine reinen Fingerübungen - sie sind überlebenswichtig. Eine entsprechende Untersuchung von Forrester hat gezeigt, dass 20 Prozent der Unternehmen alle fünf Jahre mindestens eine kritische Unterbrechung ihrer geschäftlichen Aktivitäten erleben. Von den Unternehmen, die eine bedeutende Katas-trophe erleben und keine erprobten Business-Continuity-Pläne eingerichtet haben, nehmen 43 Prozent ihre Tätigkeit nicht wieder auf. Weitere 29 Prozent schliessen nach einer Katastrophe innert zwei Jahren.

Unternehmen sind sich zwar in der Regel ihres spezifischen Risikopotenzials und der damit verbundenen Massnahmen für das Krisenmanagement bewusst. Doch viele von ihnen haben immer noch einen natürlichen Hang, physische Risiken als eine bedeutende Ursache für Ereignisse mit Krisencharakter zu betrachten (beispielsweise Naturkatas-trophen), während andere Unternehmen aufgrund der Art ihrer Geschäftstätigkeit eher geneigt sind, sich auf geschäftliche Risiken zu konzentrieren (etwa Markt- oder Währungsrisiken).

Das Potenzial und die sich daraus ergebenden Schäden von logischen Risiken werden aber oft vernachlässigt. Unter logischen Gefahren werden erfolgreiche Angriffe auf die IT-Infrastruktur mit den damit verbundenen Schäden für die Geschäftstätigkeit und den guten Ruf der Firma verstanden.

In der vernetzten und IT-lastigen Wirtschaft und Gesellschaft von heute stellen logische Ereignisse auf Krisenniveau eine immer grössere Bedrohung dar. Hierfür gibt es mehrere Gründe. So können etwa Schwachstellen in vernetzten Umgebungen von geografisch weit verstreuten Standorten nahezu in Echtzeit aufgedeckt und ausgenutzt werden.

Zudem lassen sich Angriffe und die damit verbundenen Schäden auf einzelne IT-Komponenten und Subsysteme beschränken, so dass sie schwerer zu erkennen sind. Da hier der Schaden diffusen oder sporadischen Charakter haben kann, lassen sich Ursache und Wirkung nur schwer unterscheiden. Sie können sich von einem Zwischenfall zu einem katastrophalen Ausfall entwickeln, bevor sie überhaupt richtig erkannt werden.

Daneben können regionale und nationale Streitigkeiten zu Cyber-Angriffen auf Unternehmen oder nationale IT-Infrastrukturen führen. Beispiele hierfür sind die -Angriffe chinesischer Hacker auf das deutsche Kanzleramt und auf Regierungsbehörden in Grossbritannien und in den USA, die Attacke auf estländische Webserver im April und Mai 2007 nach einem Streit über die Verlegung einer russischen Gedenkstätte für den 2. Weltkrieg sowie die all-jährlichen Angriffe auf die IT-Infrastruktur des Weltwirtschaftsforums in Davos.

Schliesslich wächst mit dem Erfolg einer Firma oder Organisation die Gefahr, Opfer wirtschaftskrimineller Machenschaften zu werden. Auch diese werden immer häufiger mit IT-Mitteln begangen.

So verletzen kommerzielle Hacker gezielt die Sicherheit und stehlen geistiges Eigentum. Daneben werden DoS-Angriffe (Denial of Service) auf lebenswichtige IT-Dienste geritten, um anschliessend die Firma erpressen zu können.

Darüber hinaus dienen viele Attacken schlicht und einfach der Beeinträchtigung des Geschäftsgangs eines Unternehmens und somit der Schwächung seiner Wettbewerbsfähigkeit. Hierunter fallen etwa die Fälschung von Daten und die Verzögerung von Transaktionen durch Fehler in Anwendungen, Middleware-Komponenten oder in der Netzinfrastruktur, beispielsweise nach der Verbreitung von Software Patches. Auch die Deaktivierung lizenzierter Software durch falsche Zeitstempel in der IT-Umgebung des Unternehmens, bremsen eine Firma gegenüber dem Markt und der Konkurrenz aus. Schliesslich behindern weitverbreitete Wurm- und Virusinfektionen durch interne E-Mails in einer vernetzten IT-Umgebung und die kontinuierliche Neuinfektion durch archivierte Mails und Dateien den Geschäftsgang.

Es gibt verschiedene Schlüsselkomponenten von Business Continuity und Risk Resilience, die Unternehmen berücksichtigen müssen, um die erforderlichen Aktivitäten in handhabbare Teilbereiche zu gliedern. Bewährt hat sich, alle Aktivitäten im Bereich Business Continuity im Rahmen eines mehrstufigen Modells zu organisieren, in dem Elemente der Vorbeugung und Vorbereitung dem Erkennen und Handhaben von relevanten Ereignissen vorausgehen. So wird dabei nicht nur definiert, was im Katastrophenfall zu tun ist, sondern auch, wie gewisse Schadensereignisse abgewendet werden können.

Eine wichtige Phase der Vorbereitung besteht darin, das aktuelle und das angestrebte Niveau der Fähigkeiten des Unternehmens im Bereich Business Continuity zu definieren. Je nach Art der Firma, den geltenden Bestimmungen und der Risikofreudigkeit des Unternehmens kann das angestrebte Niveau recht unterschiedlich aussehen.

Auf dieser Grundlage können die Recovery-Ziele für die verschiedenen Geschäftsprozesse und die sie unterstützende Infrastruktur dann detaillierter festgelegt werden. Typische Recovery-Ziele basieren auf einem Aktivitätenplan, der beispielsweise angibt, zu welchem Zeitpunkt nach einem Schadensereignis was zu geschehen hat.

Dabei haben sich folgende Zeitangaben bewährt:

- In den ersten 6 Stunden nach der Erkennung des Krisenereignisses wird das Krisenmanagementteam einberufen. Dieses übernimmt die Kontrolle über die Situation.

- Bis zu 24 Stunden nach der Erkennung und Bestätigung des Krisenereignisses sind die Backup-Systeme und -Daten aktiviert. Je nach Art der Krise und Anweisungen des Krisenmanagementteams sind Backup-Arbeitsplätze nutzbar und die Geschäftstätig-keit kann im Notbetrieb wieder aufgenommen werden.

- In den folgenden 24 Stunden werden alle für die Geschäftstätigkeit relevanten Daten und Aktivitäten manuell nachbearbeitet und dem geschäftlichen Notbetrieb des Unternehmens hinzugefügt.

- Eine Woche nach der Erkennung des Krisenereignisses können schliesslich die geschäftlichen Aktivitäten in eingeschränktem Umfang wieder aufgenommen und unterstützt werden, bis die reguläre Geschäfts- und Arbeitsumgebung vollständig wiederhergestellt ist oder die Entscheidung getroffen wurde, die ursprüngliche Infrastruktur nicht wieder aufzubauen.

Wenn kein reales Ereignis auf Krisenniveau vorliegt, müssen regelmässige Tests der Fähigkeiten im Bereich Business Continuity und ihrer einzelnen Komponenten durchgeführt werden. Diese stützen sich auf eine Reihe von Szenarien, die für die Art der Geschäftstätigkeit des Unternehmens und seines Betriebs relevant sind, und auf einen entsprechenden Testplan. Diese Tests können von einfachen Begehungen und Übungen des Krisenmanagementteams bis hin zu einer teilweisen oder vollständigen Übertragung des Geschäftsbetriebs und seiner unterstützenden Infrastruktur auf vorbereitete Backup-Einrichtungen reichen.

Ebenso können real eingetretene Fälle und die aus dem Krisenmanagement gezogenen Lehren wertvollen Input für die ständige Verbesserung des Business Continuity Plans und der Risk Resilience liefern.