Das Ziel der IT Resilience ist, die IT und damit das ganze Unternehmen widerstandfähig gegenüber Störungen und Ausfällen zu machen.

Die Komplexität nimmt zu

Gerade mit der zunehmenden Digitalisierung steigt die Abhängigkeit von der IT in allen Bereichen der Unternehmen, ob KMU oder Grosskonzern und Branchen. Mit den heutigen Möglichkeiten, wie zum Beispiel der Einbindung von Cloud Services, nimmt die Komplexität der IT Systeme und damit das Risiko einer Störung oder eines Ausfalls exponentiell zu.

Im Widerspruch dazu steht, dass in den meisten Firmen die IT Kosten gesenkt werden sollen, aber die Effizienz laufend gesteigert werden muss. Damit fehlt die Zeit und das Geld für nötige Investitionen in die Informationssicherheit, Vertraulichkeit, Verfügbarkeit und Integrität der Applikationen, obwohl sich heute kaum mehr ein Unternehmen einen Ausfall eines oder mehrerer IT Systeme erlauben kann.

Finanzielle Verluste durch mangelhafte IT Resilience

Untersuchungen zufolge beläuft sich der Schaden bei einem Ausfall eines IT Systems von einer Stunde, bei einem Unternehmen von weniger als 500 Mitarbeitenden, auf mindestens CHF 20’000. Bei einem Unternehmen von mehr als 500 Mitarbeitenden steigt das Schadensausmass exponentiell.

Störungen und Ausfälle sind nicht nur ärgerlich, sondern können sich für das Unternehmen zur existenziellen Bedrohung entwickeln, wenn als Beispiel das Unternehmen durch einen Angreifer erpresst wird, der sich durch eine gefälschte E-Mail Zugriff auf die Daten verschafft und diese verschlüsselt hat (siehe Krypto Trojaner oder Ransomware).

Über Störungen und Ausfälle wird wenig bis gar nicht öffentlich berichtet. Als Kunden erfahren wir dies in der Regel, wenn eine Fehlermeldung wie diese erscheint: «Auf Grund eines technischen Problems steht der Service leider im Moment nicht zur Verfügung. Unsere Spezialisten arbeiten mit Hochdruck an der Lösung.»

IT Resilience zum Thema machen

Gerade mit zunehmender Digitalisierung muss das Thema IT Resilience im Unternehmen aber zum Thema des Managements gemacht werden. Das Thema ist in sich auch nicht unendlich komplex und die entsprechende Kompetenz muss sich über die Zeit entwickeln.

IT Resilience ist in der Regel auch nicht mit technischen Einzelmassnahmen, wie Backuprechner, Backup in the cloud oder ausfallsicherer Storage zu erledigen. Es geht dabei vielmehr um die Schaffung eines Überblicks auf die Geschäftsprozesse, deren Prioritäten, den möglichen Impact auf Kunden, Produktion und Administration (siehe BCM).

Sich den Risiken bewusst werden

Als Einstiegspunkt hat sich der Aufbau einer strukturierten Risikoanalyse bewährt, damit sich die Verantwortlichen der operativen Risiken bewusst werden. Dabei lassen sich relativ einfach Risikobereiche bilden, die dann einem Verantwortlichen zugewiesen werden können, welche wiederum für den Bereich mitigierende Massnahmen planen und umsetzen müssen.
Werden die Risiken nach Wahrscheinlichkeit und potentiellem Schaden kategorisiert, können die definierten Massnahmen recht einfach nach Kosten und Wirkung priorisiert werden. Natürlich muss der Risikokatalog nach einem zu definierenden Prozess periodisch überprüft und den gegenebenen Umständen angepasst werden.

Fazit

Ein widerstandsfähiger Betrieb ist nur möglich, wenn jeder einzelne Mitarbeiter an diesem Ziel mitwirkt, und auch entsprechend geschult wird. Schließlich helfen auch die besten Sicherheitslösungen nichts, wenn Mitarbeiter schädliche E-Mail Anhänge öffnen, weil sie sich der Gefahr nicht bewusst sind.

IT Resilience ist nicht eine Aufgabe, die durch das Management alleine umgesetzt und erledigt werden kann. Es ist vielmehr ein zu etablierender Prozess, der von der Unternehmensführung periodisch angestossen werden und als Bestandteil in die Kultur des Unternehmens und deren mitarbeitenden Ebenen einfliessen muss.