Home
Intern
veröffentlicht am 9. März 2020 | Lesedauer ca. 3 Minuten
Es zeigt sich immer mehr, dass das Coronavirus ein weltweites Problem darstellt: Zunächst betrifft es die Menschen; wird im nächsten Schritt aber auch Auswirkungen auf die Unternehmen haben. Grundsätzlich muss man feststellen, dass eigentlich jedes Unternehmen betroffen sein kann – oder sogar wird. Die Frage ist, wie sich der Covid-19 auf die IT auswirkt. Kann die IT dazu beitragen, die Krise besser zu bewältigen?
Ein wesentlicher Schritt zur Bewältigung einer Krise ist, dass das Unternehmen sich auf die Krise vorbereitet. Der Krisenstab muss mit ausreichender Informationsbeschaffung über die Entwicklung von Covid-19 die Auswirkungen auf die IT und mit ihr auf die Unternehmensprozesse bewerten. Die Bewertung muss so angelegt werden, dass sie im Krisenfalle laufend aktualisiert wird.
Die Risikoanalyse – und -bewertung – sollte sich mit Blick auf Covid-19 maßgeblich auf den Ausfall von Mitarbeitern in der IT bzw. an wesentlichen Stellen mit IT-Know-how, die die wichtigen Kernprozesse im Unternehmen stützen, fokussieren. Dabei muss das aus der IT stammenden Risiko in das unternehmensweite Reporting (Dashboard) eingebettet werden.
Sofern das Unternehmen zu den Unternehmen gehört, die unter die Regelung des IT-Sicherheitsgesetzes (KRITIS) fällt, kann es auf die vorhandenen Risikoanalysen zurückgreifen und diese ggf. aktualisieren.
Dabei gilt es, Kopf-Monopole in der IT zu identifizieren bzw. ob bei einem Ausfall von einzelnen (ggf. sogar vertretungslosen) Mitarbeitern der IT-Betrieb und somit wesentlich Geschäftsprozesse nicht mehr ausreichend sichergestellt werden kann.
Elementar ist es, wenn zentrale Funktionen rund um die IT, Informationssicherheit und Datenschutz ausfallen. Eine Katastrophe kommt selten allein.
Das betrifft meist auch wesentliche Change- und Migrations- sowie Entwicklungsprojekte. Oft hängen Go-Lives nur von wenigen Personen in einem Unternehmen ab.
Die Gefährdung durch den Ausfall von Dienstleistern muss zwingend in die Risikoanalyse aufgenommen werden. Es gehören neben den IT-Dienstleistern, diejenigen dazu, die den RZ-Betrieb übernommen haben und auch die Dienstleister, die z.B. für die Wartung der für den IT-Betrieb der IT-Systeme relevant sind. Dazu ist es notwendig, ein Reporting der Risikolage des Dienstleisters an das Unternehmen mit aufzunehmen.
Nicht zu unterschätzen ist, dass im Falle eines Notfalls Kontrollen und Sicherheitsmaßnahmen in den Geschäftsprozessen ggf. nicht mehr wirksam sind. Das bietet Tür und Tor für dolose Handlungen.
Die IT bietet daneben auch die Möglichkeit, die Verbreitung von Corona im eigenen Unternehmen zu verhindern. Prominente Beispiele sind hier sicherlich
In verteilten IT-Systemen kommt zudem eine Möglichkeit hinzu, komplette Geschäftsprozesse ggf. über andere Unternehmensteile „umzulenken“. Beispiele wären wie folgt
Die Risiken in der IT, aber auch die Möglichkeiten mit der IT den Risiken im Unternehmen zu begegnen, sind umfassend; so auch die Vorbereitung und Umsetzung im Rahmen eines Krisenteams. Falls im Unternehmen zur Koordination oder Konzepterstellung wenig Ressourcen vorhanden sind, empfiehlt es sich, das Krisenteam von Rödl & Partner mit einzubeziehen.
Coronavirus: Was Sie unbedingt wissen müssen
Frank Reutter
Dipl.-Wirtschaftsinformatiker, Wirtschaftsprüfer, Steuerberater, CISA
Partner
Anfrage senden
Falk Hofmann
ISO/IEC27001/KRITIS -Auditor