Falls die IT-Sicherheitsmassnahmen jedoch versagen oder umgangen werden, was leider nie ganz auszuschliessen ist, kommen Notfallmassnahmen zum Zuge. Diese sollten vorbereitet sein; es braucht ein Notfallkonzept.
Zur Behebung von Systempannen oder Schäden durch Cyber-Kriminalität sind IT-technische Massnahmen notwendig. Redundanzen und eine gut organisierte (und regelmässig kontrollierte!) Datensicherung können viel dazu beitragen, den Schaden zu begrenzen. Das ist aber noch nicht alles. Jede IT braucht zudem geeignete Systemräume (inkl. Klimatisierung), Elektrizität und einen Internet-Anschluss (schon wegen der heutigen IP-Telefonie).
Die Systemräume und die Datensicherung kann man auslagern (Outsourcing, Cloud-Lösungen), den Internet-Anschluss und die Stromversorgung braucht es im Haus. Wenn Internet-Provider und Stromversorger nicht liefern, funktionieren PCs und Telefone nicht mehr. Auch für diese Fälle sind proaktive Vorkehrungen notwendig; wenn der Fall eintritt ist es zu spät. Auch Elementarereignisse müssen in die Überlegungen einbezogen werden.
Ein Notfallkonzept dokumentiert die verschiedenen Risikoszenarien in einem Handbuch mit Checklisten für das und braucht es vorgängig eine sorgfältige Analyse:
- Risikoszenarien erfassen
- Bewerten der Eintretenswahrscheinlichkeiten und des Schadenpotenzials
- Gewichten der Risiken und Priorisieren des Handlungsbedarfs.
Für die Risikoszenarien muss das Vorgehen für den Eintretensfall definiert werden, am besten mit einer Checkliste für jedes Szenario. Das Ganze wird in einem Notfallhandbuch dokumentiert, so dass es jederzeit verfügbar ist. Es empfiehlt sich auch, periodisch diese Notfallszenarien mit den die Schlüsselpersonen und deren Stellvertreter durchzuspielen, und falls notwendig Anpassungen am Notfallhandbuch vorzunehmen.
KMU haben hier oft noch Nachholbedarf. Verwaltungsräte und Geschäftsleitungen sind gut beraten, sich dem anzunehmen.