Business-Continuity: Zu viele Firmen unvorbereitet auf K-Fall

Jüngste Studien sprechen von einem steigenden Bewusstsein in Sachen Business-Continuity. Doc Storage kann den Zahlen allerdings wenig positives abgewinnen, denn noch nicht mal zwei Drittel aller Unternehmen besitzen einen Business-Continuity-Plan und fast die Hälfte verfügt über keine fest definierte Rückkehrmaßnahmen.

Aus seiner Sicht ist es erschreckend, wie viele Firmen und IT-Abteilungen nicht auf einen Katastrophenfall vorbereitet sind.

Kolumne Doc Storage:

Liebe Leser,

eine britische Firma hat ihre Umfange-Ergebnisse zum Thema Business-Continuity veröffentlicht, und schon waren sich alle einig, dass diese Zahlen trotz oder gerade wegen Corona zum Optimismus Anlass geben. Nochmal zusammengefasst: Mehr als 400 Unternehmen wurden im Rahmen eines Data Health Checks zu den von ihnen getroffenen Maßnahmen im Rahmen aktiver Datenschutz, Wiederherstellungs- und Wiederanlaufverfahren befragt.

Diese Ergebnisse wurden dann mit denen der letzten Jahre verglichen. Und siehe da: wie von Wunderhand wird abgefeiert, dass mehr EDV-Nutzer bessere Schutzmaßnahmen als im letzten Jahr getroffen haben. Beispiele gefällig? 61 Prozent aller Befragten hatten überhaupt einen Business-Continuity-Plan (immerhin noch sieben Prozent mehr als letztes Jahr), von diesen Glücklichen verfügen 85 Prozent über fest beschriebene Maßnahmen zur Rückkehr in ein geregeltes IT-Leben, neun Prozent mehr als noch 2017, pro Jahr lernen also drei Prozent dazu.

Zur Überraschung aller nahmen die Datenverluste durch Schad-Software im Verhältnis zu »normalen« Verlusten durch Löschen, Hardware- und Software-Fehler zart ab, angeblich durch nunmehr greifende Maßnahmen gegen Malware und deren Verwandte. Immerhin 65 Prozent aller Befragten haben ihren eigenen Wiederherstellungsplan auf Funktion überprüft, davon nochmal 77 Prozent auf Verwundbarkeit gegen Angriffe aus dem Netz. Nicht weiter bemerkenswert ist die Tatsache, dass sich die eigentlichen Hardware-Ausfälle auf dem Niveau des Vorjahres eingependelt haben, während Schwierigkeiten mit dem Netzwerk in Zeiten von Home-Offices zugenommen haben.

Zu viele Firmen ohne konkreten Business-Continuity-Plan

So, Herrschaften, nun wollen wir diese Zahlen mal in die richtige Welt übersetzen: das, was die Umfrage von der Insel hier zusammenfasst, IST EINE EINZIGE KATASTROPHE!!! Aufbereitet sehen die Zahlen nämlich so aus:

• Noch nicht mal zwei Drittel aller Unternehmen haben einen Business-Continuity-Plan
• Etwas mehr als die Hälfte verfügt über fest definierte Rückkehrmaßnahmen
• Knapp zwei Drittel, die einen haben, wissen überhaupt, ob ihr eigener Plan funktioniert
• Genau die Hälfte kennt die eigene Standfestigkeit gegen Angriffe aus dem Netz

Jeder Geschäftsführer müsste den jeweiligen DV-Leiter achtkantig rauswerfen, der ihm diese Zahlen liefert! Pragmatisch gesprochen heißt das nämlich, dass die Hälfte aller kleinen und mittelständischen Unternehmen, in Deutschland lediglich knapp 400.000 kleine und rund 75.000 mittlere Firmen, zusammen mit zwölf Millionen Arbeitnehmern, überhaupt nicht wissen, ob sie den »Day After« einer DV-Katastrophe überhaupt noch erleben. 237.500 Firmen – weg. Sechs Millionen Arbeitsplätze – weg. Nur, weil die liebe DV-Abteilung ihre ureigenste Arbeit nicht gemacht und weder einen aktiven Datenschutzplan noch einen Wiederherstellungsplan zusammengestellt hat.

Weil die liebe DV-Abteilung sich nicht getraut hat, oder schlicht nicht die Motivation hatte, ihren eigenen Schutz- und Rückkehrplan auch mal an einem K-Fall-Test-Tag auszuprobieren. Weil das ja am Wochenende gemacht werden muss. Und weil man ja niemandem zumuten kann, auch mal am Wochenende zu arbeiten! Da ist es fast schon lächerlich nebensächlich, ob die größten Datenverluste nun auf Hardware-Ausfälle, mutwillige oder doch »nur« versehentliche Beschädigungen des Software- oder Datenbestandes oder kriminelle Energie zurückzuführen sind.

Die Hälfte von Euch hat seine Hausaufgaben nicht gemacht, und komme mir jetzt niemand mit knappen Budgets oder zu wenig Zeit. Diese Pläne kosten nichts, außer Mann- – oh, Entschuldigung – Ingenieurstage, die Tests genauso wenig. Und in den meisten Fällen lassen sich die in den Plänen niedergeschriebenen Maßnahmen sogar ohne den Einkauf und die Einrichtung irgendeiner neuen Soft- oder Hardware umsetzen, auch wenn uns viele Hersteller (natürlich) vom Gegenteil überzeugen wollen.

Die gute alte Regel lautet: »Einen K-Fall habe ich erst, wenn ich nicht weiß, was ich als nächstes tun muss«. Also, an die Herren DV-Verantwortlichen derjenigen Hälfte, die immer noch nicht begriffen hat, was die Uhr geschlagen hat – setzt Euch hin, macht einen Plan. Und testet ihn, immer und immer wieder, so lange, bis Ihr sicher sein könnt, dass Euch und Eurem Unternehmen im Ernstfall nichts passiert. Alles andere, auch diese absolut unbegründete Abfeierei der angeblich so bemerkenswert gestiegenen Zahlen, ist völliger Humbug und rausgeschmissenes Geld! Und ob das nun Datenverluste durch Unvermögen, bösen Willen, Kriminalität oder marode Hardware betrifft, ist völlig egal. Solange es im Buch steht!

Also macht! Und kommt mir nie mehr mit »die Hälfte macht es ja schon«!

Gruß
Doc Storage