06.03.2020
Business Continuity Management für den Krisenfall
Am 5. März 2020 hat die EZB (Europäische Zentralbank) die Großbanken in der Eurozone anlässlich der Coronavirus-Krise dazu aufgefordert, ihre Notfallpläne zu überprüfen. Die Geldhäuser sollten zudem über Möglichkeiten nachdenken, um negative Folgen einer Ausweitung der Virus-Epidemie zu minimieren, hieß es in einem Brief der Aufseher an die Finanzinstitute, den die Nachrichtenagentur Reuters am Donnerstag einsehen konnte. Die Banken sollten nicht nur eine geeignete Infektionskontrolle am Arbeitsplatz gewährleisten, sondern auch sicherstellen, dass Beschäftigte notfalls auch in größerem Umfang von außerhalb arbeiten können.
Nun sollte das für Banken wie auch für jedes andere Unternehmen nichts Neues sein, aber der 14 Jahre alte Pandemieplan der Bundesrepublik Deutschland (im März 2017 aktualisiert) zeigt, wie wenig Zeit für solche Themen aufgewendet wird, wenn keine konkrete Bedrohung vorliegt. Im Fall einer konkreten Bedrohung wird es dann sehr hektisch und die Maßnahmen wirken eher unabgestimmt und aktionistisch als geplant und strukturiert.
Im regulierten Bereich ist die Existenz eines aktuellen Pandemieplanes eine unmittelbare Notwendigkeit, die aus dem BSI-Grundschutz abgeleitet werden kann. Dort ist die elementare Bedrohung G.0.33 Personalausfall, z.B. durch längere Krankheit von Administratoren gelistet. Deren Eintritt hat mindestens unmittelbare Auswirkung auf das Datenschutzkriterium „Verfügbarkeit“. Es dürfte unzweifelhaft sein, dass diese Bedrohung im Rahmen des Risikomanagements in jedem Unternehmen sowohl eine hohe Eintrittswahrscheinlichkeit als auch erhebliche Auswirkungen hat und damit eine konkrete Gefährdung darstellt. Daher sind Risiko-mitigierende Maßnahmen zwingend erforderlich.
Jedes Unternehmen sollte also für den Pandemiefall einen Plan haben, wie die Business Continuity aufrecht erhalten werden kann, aus dem sich wiederum Maßnahmen zur Service Continuity im Bereich der IT-Komponenten ableiten lassen. Dieser Plan muss regelmäßig - idealerweise mindestens jährlich - überprüft und angepasst werden. Um die Auswirkungen von Personalausfällen in konkreten Geschäftsprozessen abschätzen zu können, hilft eine Business Impact Analyse. Diese ermöglicht maßgeschneiderte Business Continuity-Pläne anstelle von „Rundum-Schlägen“, da sie zum Beispiel aufzeigt, wie groß die Auswirkungen eines Geschäftsprozessausfalls abhängig von der Zeit sind und nach welcher Zeit welche davon abhängigen Prozesse wie stark betroffen sind.
Welche Maßnahmen sind aber konkret sinnvoll und möglich, um für den Pandemiefall gerüstet zu sein?
- Telearbeit: alle Schlüsselpersonen für kritische Geschäftsprozesse müssen die Möglichkeit zur Telearbeit haben. Die entsprechenden Zugänge müssen so ausgelegt sein, dass sie auch dann funktioneren, wenn alle Schlüsselpersonen gleichzeitig Telearbeit machen. Im Falle einer Werksschliessung müssen Unternehmen das Gehalt ihrer Mitarbeiter weiter zahlen und können nicht verlangen, dass hierfür Urlaub genommen wird. Es macht daher Sinn, die Telearbeitsmöglicheit im Pandemiefall für alle Mitarbeiter, die von zu Hause arbeiten können, vorzusehen und dafür ausreichende Zugangskapazitäten vorzuhalten.
- Ausweicharbeitsplätze: Im Falle einer beginnenden Pandemie kann es sinnvoll sein, die Mitarbeiter dezentraler arbeiten zu lassen, um das Ansteckungsrisiko zu mindern. Hierfür können eigene Flächen mit einer Basisinfrastruktur ausgestattet werden oder entsprechende Verträge mit Büroflächenanbietern geschlossen werden.
- Verträge mit Partnern: Wenn möglich, können Partner des Unternehmens mit einem Sitz in einer anderen Region, für eine gewisse Zeit Aufgaben der eigenen Mitarbeiter übernehmen. Auch hierfür müssen die technischen Voraussetzungen schon vorab implementiert werden, da zum Beispiel die Bereitstellung von WAN-Verbindungen im Notfall viel zu lange dauert.
- Auf jeden Fall sollte ein Unternehmen (genauso wie ein Staat) aktuelle Policies und Playbooks für den Notfall geschrieben und verabschiedet haben. In welchem Fall werden welche Maßnahmen umgesetzt? Die pausenlos durch die Presse bekannt werdenden Einzelmaßnahmen wirken unkoordiniert und sind wohl in den meisten Fällen ad-hoc-Entscheidungen. Solche Entscheidungen kosten aber vor allem viel Geld und bleiben oft unwirksam.
Fazit: Notfallpläne proben
Zum Abschluss ein Zitat aus dem Musical Elisabeth: „Was nützt ein Plan - ist er auch noch so schlau, er bleibt doch immer Theorie!“
Jeder Notfallplan muss zwingend auch regelmäßig getestet werden. Nur so kann einigermaßen sichergestellt werden, dass der Plan im Ernstfall nicht versagt. Im Rechenzentrumsbereich wird die Funktion des Backup-Rechenzentrums im Rahmen von Notfalltests überprüft. Genauso sollte ein Pandemieplan ausprobiert werden, in dem z.B. an einem Tag einmal alle Schlüsselpersonen gleichzeitig von zu Hause arbeiten.
Neben der Erfüllung aufsichtsrechtlicher Vorgaben hat doch jeder IT-Verantwortliche ein wesentlich besseres Gefühl, wenn seine IT weiß, was im Notfall zu tun ist und dies auch schon geprobt hat. Die Coronavirus-Krise ist ein guter Reminder für uns alle, uns wieder mal mit diesem Thema zu beschäftigen.