247817

Lebensversicherung für Unternehmen

Rund 60 Prozent der Firmen, die einen Ausfall erleben und keine Notfallplanung haben, müssen ihre Geschäftstätigkeit aufgeben. Wie kann man dafür sorgen, dass so etwas nicht passiert?

Von Armin Stephan

Eine hundertprozentige Sicherheit gegen Ausfälle kann und wird es nicht geben. Doch das Restrisiko wird für Unternehmen kalkulierbar, wenn integrative Sicherheitskonzepte zum Zug kommen. Deren Zweck ist einfach zu erklären: Sie führen die Informationen aus den einzelnen Sicherheits-Tools zusammen, die dann wie in einem Cockpit überwacht und gesteuert werden. Heterogene Daten aus IT-Punktlösungen lassen sich vereinheitlichen und vereinfachen sowie in ein Business-orientiertes Risiko-Managementsystem weiterleiten.

'Business Continuity' ist für Unternehmer und Geschäftsführer der eigentliche Zweck ihres Handelns: Das Unternehmen soll ohne Unterbrechung funktionieren, denn Ausfallzeiten kann sich heute niemand leisten. Dennoch gibt es sie: Hochwasser, Anschläge, Feuer oder ein Zusammenbruch der Stromversorgung sind spektakuläre Ursachen für einen Ausfall unternehmenskritischer Systeme.

Eher zum alltäglichen Risiko der Unternehmenstätigkeit zählen Attacken auf die IT-Systeme oder Abstürze von Rechnern und Netzwerken. Informationstechnologie ist heute allerorts zu finden: beim Außendienstmitarbeiter, in der Produktionsanlage, in der Vertriebs-Abteilung. Im Zeitalter des E-Business und der Vernetzung von Abteilungen, Firmentöchtern und Kunden geht es heute um viel mehr als "nur" um ausfallsichere Rechenzentren. Diese Gesamtheit im Blick zu haben und zu steuern – das ist Business Continuity. Oder anders gesagt: Es geht um eine "Ausfalls-Sicherheitspolice" für das gesamte Unternehmen.

Die Auseinandersetzung mit Business Continuity ist genauso bedeutsam und wichtig wie die Beobachtung der Umsatzentwicklung. Unternehmen sollten davon ausgehen, dass 60 Prozent der Firmen, die einen Ausfall erleben und keine Notfallplanung haben, ihre Geschäftstätigkeit aufgeben müssen. Somit ist klar, dass jedes Unternehmen eine tragfähige Risikoeinschätzung mit daraus abzuleitenden Maßnahmen braucht. Die Umsatzgröße allein ist dabei kein hilfreiches Kriterium, sondern die Beantwortung der Frage: Wie viel Verlust an Geld oder Image kann sich das jeweilige Unternehmen leisten?

Kritische Prozesse erfassen und bewerten

Um Kernprozesse wie Rechnungslegung und -prüfung oder zeitkritische Auslieferung von Waren in Krisen aufrecht erhalten zu können, müssen Unternehmen zunächst alle kritischen Prozesse identifizieren und die damit verbundenen Risiken bewerten. Zu beantworten sind hier Fragen nach den Auswirkungen eines Ausfalls und nach der Eintrittswahrscheinlichkeit eines Risikos. Zudem gilt es, auch die Abhängigkeiten dieser Geschäftsaktivitäten von der IT zu bewerten und die Risiken sowie Schwachstellen im Unternehmen zu identifizieren.

Grundsätzlich gilt: Dort wo Unternehmen ihr Geld verdienen, können sie auch Geld verlieren. Zu den kritischen Kernprozessen zählen bei den Banken beispielsweise die Transaktionssteuerung, in der Chemiebranche die Forschungsdaten oder in der Automobilindustrie die Zulieferung und Produktion. Es empfiehlt sich, eine Risikobewertung aufgrund etablierter Methoden vorzunehmen, die ein strukturiertes Arbeiten ermöglichen. Eine solche Methode ist CoBIT (www.isaca.org/cobitcampus, Control Objectives for Information and Related Technology). Dabei handelt es sich um ein international anerkanntes Framework zur IT-Governance, das 1993 vom internationalen Verband der Wirtschaftsprüfer ISACA entwickelt wurde. Das Regelwerk legt auch wesentliche Messgrößen für die Control Objectives fest, die die Basis für eine Risiko-Einschätzung bilden.

0 Kommentare zu diesem Artikel
247817