_aktuelles


23.05.12

Unternehmen schlecht auf IT-Ausfall vorbereitet

IT-Ausfälle kosten deutsche Unternehmen jährlich mehr als vier Milliarden Euro. Dennoch hat jedes zweite Unternehmen keinen Notfallplan für IT-Störungen.


Hamburg, den 23. Mai 2012 – Vor wenigen Tagen schaffte es ein Hardwarefehler, den deutschen Aktienhandel zum Erliegen zu bringen, als die elektronische Handelsplattform Xetra fast eineinhalb Stunden ausfiel. Die Umsatzeinbußen durch IT-Ausfälle in Deutschland werden jährlich auf mehr als vier Milliarden Euro geschätzt, berichtet die Unternehmensberatung Steria Mummert Consulting in Hamburg aus ihrer jüngsten Analyse. Dennoch verfüge jedes zweite deutsche Unternehmen über keinen Notfallplan für IT-Störungen. Angesichts von jährlichen Schäden von mehreren Hunderttausend Euro pro Unternehmen könne dies fatale Folgen haben.

„Notfallplanung wird in vielen Unternehmen noch stiefmütterlich behandelt, da sich die Investition nur in einem Fall auszahlt, den niemand haben möchte“, sagt Dr. Gerald Spiegel von Steria Mummert Consulting. „Doch Notfallvorsorge zahlt sich auch aus, wenn kein K-Fall eintritt, denn Unternehmen beschäftigen sich mit ihren kritischen Geschäftsprozessen und können daraus Maßnahmen zur Effizienzsteigerung und Absicherung treffen.“ Einige Unternehmen verfügten zwar über Backup-Server oder sogar über ein teures Ausweich-Rechenzentrum, doch nur wenige hätten überhaupt definiert, wann genau ein Notfall vorliegt, wer dann benachrichtigt werden muss und wer im Fall des Ausfalls Entscheidungen trifft. Fehlt ein Notfallplan komplett, könne das dem Geschäftsführer oder Vorstand sogar als Vorsatz ausgelegt werden, schließlich sei die Firmenleitung gesetzlich zur Existenzsicherung des Unternehmens verpflichtet.

Vielen Unternehmen fehle schlicht die Vorstellung, welche Dimensionen ein IT-Ausfall haben könne. Dabei führe schon der Ausfall eines Etikettendruckers in einem Chemieunternehmen zu massiven Problemen und Kosten durch Lieferungsverzug. Die Abhängigkeit von der IT sei in den vergangenen Jahren deutlich gewachsen und die Verfügbarkeit sei in der Regel immer noch sehr gut. „Oft überschätzen Unternehmen ihre Fähigkeit, bei einem IT-Ausfall die Prozesse manuell weiterführen zu können“, sagt Spiegel. Selbst wenn eine manuelle Kompensation bei einem Ausfall möglich sei, könnten viele Unternehmen aufgrund ihrer dünnen Personaldecke in der IT-Abteilung dies im Ernstfall nicht umsetzen.

Firmen sollten deshalb eine umfassende Bedrohungs- und Risikoanalyse starten und die Reaktionen für den Ernstfall regelmäßig üben. Denn auch der beste Plan ist wirkungslos, wenn im Notfall das Administrator-Passwort eines wichtigen IT-Systems fehlt. „Nur eine umfassende Bedrohungsanalyse, die ausgehend von Gefahrenkatalogen nüchtern die möglichen Auswirkungen betrachtet, hilft weiter. Und selbst die muss alle drei bis fünf Jahre aktualisiert werden“, sagt Spiegel. Anschließend werden in einer Risikoanalyse die für das Unternehmen tatsächlich relevanten Bedrohungen bewertet und dann die Prioritäten für risikomindernde Maßnahmen gesetzt. Was nach der Erstellung eines Notfallplans noch fehle, ist Übung. Der Dieselgenerator, der im Keller des Rechenzentrums auf den Strom-Notfall wartet, müsse regelmäßig angeworfen werden. Auch Notfall-Prozessabläufe bedürften der Übung - schon allein, um Kontaktdaten und hinterlegte Administrator-Passwörter auf dem neuesten Stand zu halten.