Covid-19 (Coronavirus) und IT: Wie Unternehmen einer Krise im eigenen IT-Betrieb begegnen können

PrintMailRate-it

veröffentlicht am 9. März 2020 | Lesedauer ca. 3 Minuten

 

Covid-19 hat sich zum weltweiten unternehmerischen Risiko entwickelt. Zunächst ist es ein Problem, dass die Menschen betrifft, dass aber auch Auswirkungen auf Ihr Unternehmen haben wird, direkt oder indirekt durch betroffene Mitarbeiter, Kunden oder Lieferanten. In der Konsequenz ist festzustellen, dass jedes Unternehmen betroffen ist oder sein wird. Eine zentrale Frage ist, wie wirkt sich das Coronavirus auf den eigenen IT-Betrieb aus und was ist zu tun, um negative Auswirkungen auf die Wertschöpfung möglichst gering zu halten.

 

 

 

Vorbereitungsphase

Ein wesentlicher Schritt zur Bewältigung einer Krise ist, dass das Unternehmen sich auf die Krise vorbereitet. Hierzu gehört ein Krisenstab, der für die interne und externe Kommunikation und die Steuerung von Maßnahmen in der Krise zuständig ist. Mit Blick auf den IT-Betrieb könnte sich eine „Teil-Kriesen-Team“ für die IT anbieten.

 

Wichtig ist, dass eine aktuelle Risikoanalyse für den IT-Betrieb vorgenommen wird. Hierzu gehört auch eine ausreichende Informationsbeschaffung über die Entwicklung von Covid-19.

  • Die Risikoanalyse sollte sich auf den Ausfall von Mitarbeitern im IT-Betrieb sowie wichtigen Funktionsträgern innerhalb der Geschäftsprozesse (Key-User, ausführende Personen bei manuellen und automatisierten Kontrollen, etc.) fokussieren. Vor diesem Hintergrund ist zu bewerten, ob es Kopf-Monopole ohne ausreichende Vertretung in der IT und darüber hinaus gibt bzw. ob bei einem Ausfall von Mitarbeitern der IT-Betrieb bzw. wesentliche IT-gestützte Geschäftsprozesse nicht mehr ausreichend sichergestellt werden kann.
  • Auch die Risikolage der für die Wertschöpfungsprozesse unterstützenden IT-Dienstleister sollte betrachtet werden.
  • Ein weiterer wichtiger Schritt zur Vorbereitung auf die Krise ist die Analyse der bereits definierten Maßnahmen zur Krisenbewältigung. Diese sind zu überprüfen und ggf. ergänzende Maßnahmen zu definieren, zu priorisieren und einzuleiten.
  • Sofern das Unternehmen zu den Unternehmen gehört, die unter die Regelung des IT-Sicherheitsgesetzes (KRITIS) fällt, kann es auf die vorhandenen Risikoanalysen zurückgreifen und diese ggf. aktualisieren.

 

Im Falle einer Epidemie oder Pandemie kann der massenhafte Ausfall von erkrankten Mitarbeitern die Betriebsabläufe empfindlich stören. Nachfolgende vorbereitende Maßnahmen, die für die Bewältigung im Krisenfalle können hilfreich sein:

  • In allen Fällen ist eine aktuelle Dokumentation und eine digitale Vorhaltung von Nachweisen und Protokollen die Grundlage für Verlagerung von Aufgaben an zur Vertretung hinzugezogenen Teams. Daher ist die Frage, ob diese Daten und Informationen aktuell vorliegen.
  • Die vorsorgliche Verlagerung bzw. die Einholung eine Option zur Verlagerung auf Dienstleister sollte überprüft und in Erwägung gezogen werden.
  • Heute ist es in den meisten Fällen möglich, insbesondere die administrativen Tätigkeiten oder auch die Betreuung der Mitarbeiter durch den Help-Desk „Remote“ durchzuführen. Die Mitarbeiter müssen dazu mit dem notwenigen Equipment für den sicheren Zugriff auf die Unternehmens-IT ausgestattet und geschult werden. Auch können heute Besprechungen relativ problemlos per Skype, WebEx oder auch TeamViewer durchgeführt werden.
  • Gegebenenfalls lassen sich Funktionen wie Helpdesk innerhalb des Unternehmens oder des Konzerns verlagern. In einigen Fällen würde es auch möglich sein, Key-User mehr in die Aufgaben des 1st und 2nd-Level-Support einzubeziehen.
  • Eine weitere Maßnahme kann die vorbereitete Nutzung von alternativen Betriebsmodellen wie Cloud Computing sein. Einzelne Funktionen, Teilprozesse oder auch ganze Prozesse und Systeme werden in die global verteilten Rechenzentren der Cloud Provider verschoben, falls eigene Rechenzentren oder Betriebsräume nicht mehr zugänglich sind.
  • Mitarbeitern, die über kritische IT-Berechtigungen verfügen, sollte man erhöhte Aufmerksamkeit schenken. Unerwartete Krisen verleiten ggf. zur Ausnutzung von Kontrolllücken.
  • Im Krisenfalle darf es nicht zu weiteren Krisen kommen. Es ist angeraten die Zeit jetzt vorbereitend auszunutzen, um die Wirksamkeit von Datensicherungen, Ersatzleitungskapazitäten, etc. zu testen sowie die Monitoring-Systeme dahingehend zu prüfen, ob Hinweise da sind, dass Störungen vorliegen. Es sollten jetzt zeitnah Störungen beseitigt werden.

 

Agile Task Forces für die Krise, die neben der Umsetzung auch als direkter Ansprechpartner dienen, sind ebenso ein wichtiger Bestandteil eines IT-Notfallplans. Genau aus dem Grund, da bei einer Krise enormes Chaos herrscht, ist die Kommunikation eine wichtige Instanz um die Krise zu bewältigen.

 
Phase im Krisenfalle

Tritt nach Definition aus der Vorbereitung die Krise ein und sind ein oder mehrere Bereiche der IT betroffen, werden analog der definierten Notfallpläne die Maßnahmen eingeleitet.

 

In der Regel kann davon ausgegangen werden, dass die Notfallpläne nur zum Teil den dann konkret eingetretenen Notfall abdeckt bzw. vorhergesehen hat, sodass die erste Handlung des Teil-Krisen-Teams ist, die Ist-Situation zu analysieren und Handlungsoptionen abzuleiten.

 

Je nach Schwere des Verlaufs im eigenen Unternehmen, könnte bei multiplen Notfällen auch die eigenen Leistungsfähigkeit zur Umsetzung der Notfallkonzepte gefährdet sein.

 
Nachbearbeitungsphase

Neben dem Aufwand, die notfallbedingten Reorganisationsmaßnahmen wieder in den geregelten Normalbetrieb zu überführen, gilt es

  • die individuelle Krisen-Situation in die IT-Konzepte und insbesondere in den IT-Notfallplan als lesson-learned-Lösung aufzunehmen,
  • für die Ordnungsmäßigkeit im Hinblick auf das interne Kontrollsystem, die Rechtezuweisungen durch den Notbetrieb, etc. wieder herzustellen und die erfolgreiche Herstellung zu prüfen sowie
  • eine Prüfung vorzunehmen, ob durch die Notfallmaßnahmen das Niveau im Hinblick auf Daten- und Informationssicherheit wieder optimal hergestellt wurde.
  • Zu diesem Zweck empfiehlt es sich, schon zu Beginn des Notfalls einen laufenden Cybersecurity Check für das eigenen Unternehmen sowie wichtiger Geschäftspartner im IT-Umfeld mitlaufen zu lassen.

 

Es ist zu erahnen, dass das Unternehmen innerhalb der Nachbearbeitungsphase viel im Umfeld Nachholung zu tun hat, sodass ggf. die Ressourcen im IT-Umfeld fehlen. In dem Fall empfiehlt es sich, das Krisenteam von Rödl & Partner einzubeziehen.

Aus der Artikelserie

Kontakt

Contact Person Picture

Frank Reutter

Dipl.-Wirtschaftsinformatiker, Wirtschaftsprüfer, Steuerberater, CISA

Partner

+49 221 949 909 316

Anfrage senden

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Mehr lesen?

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu