Business Continuity Management – wie sich der RVK auf einen Notfall vorbereitet
«Ich möchte euch zu einer Znünipause mit Gipfeli und Sandwiches einladen. Deshalb bitte ich euch um eine Anmeldung mit folgendem Link …» Eine auf den ersten Blick harmlose E-Mail kann im schlimmsten Fall dazu führen, dass das gesamte IT-System des Unternehmens lahmgelegt wird. Dann nämlich, wenn eine Person auf eine solche Phishing-E-Mail reinfällt und den Link anklickt.
Was tun, wenn es doch passiert? Und: Wie kann sich ein Unternehmen auf solche Szenarien vorbereiten und, vor allem, wie kann sichergestellt werden, dass der Geschäftsbetrieb auch während einer Krisensituation weitergeführt werden kann? Hier kommt das Business Continuity Management (kurz: BCM) ins Spiel, also die Organisation der Geschäftsfortführung in einer Krisensituation.
Warum brauchts ein BCM?
Das BCM zielt nicht nur auf Cyber-Sicherheit ab, sondern auf alle Arten von Störungen der Geschäftsaktivitäten: von technischen Störungen wie einem Stromausfall bis zu physischen Gefahren wie einem Brand im Bürogebäude oder eben Angriffen auf die IT-Infrastruktur. Eine Analyse der möglichen Störungen wird jährlich im Rahmen des Risikomanagements erarbeitet und vom BCM übernommen.
Im Grundsatz geht es darum, sich auf aussergewöhnliche Umstände vorzubereiten und Massnahmen zu ergreifen, damit der Geschäftsbetrieb auch während und nach Krisensituationen weitergeführt werden kann. Das Ziel ist es, für den Notfall bereit zu sein und Vorkehrungen zu treffen, damit solche Notfälle nicht existenzielle Auswirkungen auf das Unternehmen haben.
Wie funktioniert das BCM? Als Grundlage wird eine BCM-Dokumentation erstellt. Darin werden zuerst die wichtigen und zeitkritischen Geschäftsprozesse beschrieben. Anschliessend werden für diese Prozesse Massnahmen festgelegt, die im Ereignisfall umgesetzt werden können.
Zwei Beispiele beim RVK:
Im Falle eines Brandes in den Büroräumen ist es wichtig, dass die IT-Infrastruktur so gestaltet ist, dass ein vorübergehender Betrieb im Homeoffice möglich ist. Daher stellt sich die Frage: Sind alle Mitarbeitenden mit Laptops ausgestattet? Funktioniert die Verbindung zu Hause?
Im Falle einer Cyberattacke ist es wichtig, dass die IT-Systeme so schnell wie möglich wiederhergestellt werden können. Dafür müssen Wiederherstellungspläne, sogenannte Back-up-Pläne, vorhanden sein und sicherstellen, dass die Daten wiederhergestellt werden können.
Schlussendlich werden in der BCM-Dokumentation auch die Verantwortlichkeiten definiert, Notfallpläne und Krisenbewältigungsprozesse aufgezeichnet und die Kommunikation in einem Krisenfall definiert. Also: Wer muss was machen, wenn es brennt? Im wortwörtlichen und im übertragenen Sinn.
Als weitere Massnahme werden in regelmässigen Abständen unterschiedliche Szenarien durchgespielt, um Notfallsituationen zu üben. In diesem Zusammenhang wurde beim RVK im letzten Herbst der eingangs erwähnte Phishing-Versuch simuliert. Dabei zeigte sich in der Praxis, dass ein solcher Test sehr wertvoll ist. Er liefert nicht nur wichtige Erkenntnisse, um mögliche Massnahmen abzuleiten, sondern hilft auch, die Mitarbeitenden für das Thema zu sensibilisieren.
Andreas Arnold, Bereichsleiter Finanzen & ICT
041 417 05 28, a.arnold@rvk.ch
5 bewährte Tipps für Ihre digitale Sicherheit
Wie schütze ich mich gegen Phishing-E-Mails?
Den Absender und die Formatierung der E-Mail prüfen.
Auf die Rechtschreibung und die Sprache achten.
Keine sensiblen Daten preisgeben.
Anhänge und Links nur von vertrauenswürdigen Quellen öffnen.
Sich bei Unsicherheiten direkt an die IT wenden.
