IT-Ausfälle und Cyberangriffe gehören zu den größten Risiken für Unternehmen, egal ob KMU oder Großkonzern. Damit dein Unternehmen auch in Krisensituationen handlungsfähig bleibt, ist die Vorbereitung einer Notfallplanung unerlässlich. In diesem Artikel zeige ich dir die drei wichtigsten Ziele, die du für deine Notfallplanung im Blick haben solltest – vom Notbetrieb über die Überbrückung ohne IT bis hin zur Kommunikationsstrategie.
1. Was sind deine Ziele für den Notbetrieb?
Das wichtigste Ziel jeder Notfallplanung ist es, den Betrieb auf einem minimalen, aber funktionsfähigen Niveau aufrechtzuerhalten. Je nach Branche kann das ganz unterschiedliche Aspekte betreffen:
- Erreichbarkeit: In dienstleistungsorientierten Branchen ist es entscheidend, dass Kunden und Partner auch während eines IT-Ausfalls weiterhin kommunizieren können. Hier muss sichergestellt sein, dass bekannte Telefonnummern für Kunden erreichbar bleiben.
- Lieferfähigkeit: Für Unternehmen, die im Handel oder in der Logistik tätig sind, ist es wichtig, auch bei einem IT-Ausfall weiterhin Lieferungen abwickeln zu können. Dies kann durch eine analoge Disposition der Waren erreicht werden, wobei Backups der letzten Bestellungen eine wichtige Rolle spielen. Eine besondere Herausforderung stellt die chaotische Lagerhaltung dar, die in der Regel eine manuelle Inventur erfordert.
- Produktionsfähigkeit: In der Fertigungsindustrie ist die Produktion der Kernprozess. Hier gilt es, die Produktionsfähigkeit auch ohne IT sicherzustellen, z. B. durch die Isolierung von Maschinen oder Produktionsprozessen.
Dein Ziel für den Notbetrieb sollte klar definiert sein: Welche Kernfunktionen müssen in einer Krisensituation unbedingt aufrechterhalten werden, um das Überleben des Unternehmens zu sichern?
2. Wie kannst du die Zeit ohne IT überbrücken?
Ein Cyberangriff bedeutet oft, dass zentrale Systeme und Anwendungen über Tage nicht verfügbar sind. Daher ist die Frage: Wie kannst du diese Zeit überbrücken?
Manuelle Prozesse können hier eine entscheidende Rolle spielen. Überlege dir, welche Geschäftsprozesse sich im Ernstfall mit einfachen Mitteln, wie Stift und Papier, weiterführen lassen:
- Auftragsannahme und -bearbeitung: Ist es möglich, Bestellungen und Lieferungen manuell zu erfassen und nach dem Wiederherstellen der IT-Systeme nachzutragen?
- Buchhaltung: Können grundlegende Buchhaltungsprozesse, wie die Rechnungsstellung oder Zahlungseingänge, manuell erfasst werden, um Engpässe zu vermeiden?
- Inventur: Kann dein Lagerbestand temporär manuell verwaltet werden, bis die IT wiederhergestellt ist?
Die Überbrückungsstrategien hängen stark von den internen Prozessen und der Branche ab. Teste sie regelmäßig in IT-Notfallübungen, um sicherzustellen, dass sie im Ernstfall tatsächlich praktikabel sind.
3. Wie ist deine Kommunikationsstrategie, sowohl intern als auch extern?
Wenn die IT ausfällt, funktioniert oft auch die E-Mail-Kommunikation nicht mehr. Doch gerade in Krisensituationen ist die Kommunikation entscheidend. Eine klare Kommunikationsstrategie für den Notfall sollte deshalb fester Bestandteil deiner Notfallplanung sein. Dabei gilt es, mehrere Kommunikationswege vorzubereiten:
- Interne Kommunikation: Wie informierst du alle Mitarbeiter, wenn die IT und somit E-Mail nicht verfügbar sind? Welche alternativen Kommunikationswege stehen zur Verfügung (z. B. Telefonkette, Messaging-Dienste oder Notfall-Mobiltelefone)? Dein Team muss wissen, was im Ernstfall zu tun ist und wie Informationen ausgetauscht werden.
- Krisenstab erreichen: Der Krisenstab ist das Herzstück jeder Notfallplanung. Stelle sicher, dass alle Mitglieder auch bei einem IT-Ausfall schnell erreichbar sind – z.B. durch aktuelle Kontaktlisten oder eine Notfallgruppe in einem Instant Messenger. Denke daran, dass im Falle eines Cyberangriffs die Nachrichten potenziell vom Angreifer gelesen werden können, und verwende daher einen sicheren Kommunikationskanal, der unabhängig von deiner IT-Infrastruktur ist.
- Kommunikation mit Partnern und Kunden: Informiere deine Partner und Kunden zeitnah und transparent über die Situation. Überlege dir im Vorfeld, wie du mit einem Systemausfall umgehst und was du den externen Partnern mitteilst, um das Vertrauen zu wahren. Diese Kommunikation sollte ehrlich, aber lösungsorientiert sein.
- Behörden informieren: Im Falle eines Cybervorfalls sind Unternehmen nach der DSGVO und künftig nach NIS2 verpflichtet, die Behörden innerhalb einer bestimmten Frist zu informieren. Stellen Sie sicher, dass Sie über die richtigen Kontakte und Notfallnummern verfügen, um dies auch ohne IT-Unterstützung tun zu können.
- Alle Parteien auf dem Laufenden halten: In einer Krisensituation ist es wichtig, dass alle Beteiligten regelmäßig über den aktuellen Stand informiert werden. Nutze dafür alternative Kanäle wie Messenger-Services, Telefonkonferenzen oder physische Meetings.
Fazit: Die drei Säulen der erfolgreichen Notfallplanung
- Ziele des Notbetriebs: Klare Definition, welche Funktionen auch im Ernstfall erhalten bleiben müssen, um das Unternehmen am Laufen zu halten.
- Überbrückung ohne IT: Strategien für manuelle Prozesse entwickeln, um die Zeit bis zur Wiederherstellung der IT-Systeme zu überstehen.
- Kommunikationsstrategie: Notfallkommunikation sicherstellen, intern wie extern, auch wenn E-Mails oder andere IT-Systeme nicht verfügbar sind.
Eine mit der Geschäftsleitung abgestimmte Notfallplanung ist der Schlüssel, damit dein Unternehmen auch in Krisenzeiten handlungsfähig bleibt. Teste deine Notfallplanung und führe eine IT-Notfallübung mit realistischen Szenarien durch. Damit bereitest du dein Notfallteam auf den Ernstfall vor und sparst 3-5 Tage bis zum IT-Notbetrieb.
Hier findest Du mehr zum Thema IT-NOTFALLÜBUNG IN NUR 4 SCHRITTEN – EIN LEITFADEN
Ob du von der NIS2-Richtlinie bzw. der NIS2UmsuCG betroffen bist, kannst du hier überprüfen: BSI NIS2 CHECKER