Mann schaut in einem Tablet etwas nach

Ein Business Continuity Plan als Plan B im Notfall

Wenn die IT stillsteht, stehen die meisten Unternehmen still. Deshalb brauchen kleine und mittlere Unternehmen einen Kontinuitäts­plan als Plan B. Gerade jetzt, wo immer mehr KMU Opfer von Cyber­angriffen werden und im schlimmsten Fall mit kürzeren oder längeren System- und damit Betriebsunterbrechungen rechnen müssen.

Warum braucht es einen Wiederherstellungsplan?

Mit der zunehmenden Zahl von Cyberangriffen steigt auch das Risiko von Betriebs­unterbrechungen oder -ausfällen. KMU sind besonders gefährdet, da sie aufgrund fehlender Ressourcen oft weniger gut geschützt sind als Grossunternehmen. Mit einem Business Continuity Management als Teil ihrer Risiko­management­strategie bereiten sich KMU auf solche Notfälle und die Fortführung der kritischen Geschäftsprozesse vor. 1,85 Millionen Dollar kostet ein Ausfall im Durchschnitt gemäss Sophos-Studie «The State of Ransomware 2023». Dazu kommen Reputations- und Vertrauensverluste. Ein längerer Ausfall kann die Existenz eines KMU gefährden.

Was gehört in einen Business Continuity Plan?

Ein Business Continuity Plan erhöht die Cyberresilienz, verkürzt Unterbrechungen des Geschäftsbetriebs und sichert die langfristige Lebensfähigkeit. Cyberresilienz ist die Fähigkeit, sich vor Cyberangriffen zu schützen, diese zu erkennen, sofort darauf zu reagieren und sich schnell von den Folgen zu erholen. Das sind die vier Kernkomponenten eines Kontinuitätsplans:

  • Zunächst werden alle kritischen Geschäftsprozesse identifiziert. Das sind die Prozesse, die für das Überleben des KMU entscheidend sind, von der Lieferkette bis zum Kundenservice.
  • Anschliessend werden in einer Risikobewertung mögliche Bedrohungen wie Cyberangriffe oder technische Probleme mit ihren Folgen analysiert.
  • Auf der Grundlage der Risikobewertung wird eine Wiederherstellungsstrategie entwickelt, damit das KMU seinen Betrieb so schnell wie möglich wieder aufnehmen kann. Zum Beispiel mit einem redundanten IT-System oder an einem zweiten Standort.
  • Mit der steigenden Zahl von Cyberangriffen wird Cybersicherheit überlebenswichtig und muss im Business Continuity Plan geregelt werden. Zum Beispiel mit präventiven Massnahmen wie regelmässigen Backups, Software Patches und Updates oder Mitarbeiterschulungen.

In 6 Schritten zum Business Continuity Plan

So erstellen Sie einen Business Continuity Plan in 6 Schritten:

Schritt 1: Risiken identifizieren und bewerten

Beginnen Sie mit einer gründlichen Risikoanalyse. Welche Gefahren können den laufenden Betrieb – und damit das Unternehmen – bei einem IT-Ausfall bedrohen? Betrachten Sie alle denkbaren Szenarien und bewerten Sie die Wahrscheinlichkeit und Auswirkungen. Zu den möglichen Szenarien gehören technologische Risiken wie Cyberangriffe oder Systemausfälle.

Schritt 2: geschäftskritische Auswirkungen bewerten

Mit der Business Impact Analyse verstehen Sie die Auswirkungen von Ausfällen und Unterbrechungen. Sie identifizieren geschäftskritische Prozesse und IT-Abhängigkeiten und bestimmen, wie schnell diese wiederhergestellt werden müssen, um schwerwiegende Folgen zu vermeiden. Die Analyse hilft, Ressourcen sinnvoll zu verteilen und eine Strategie zur Risikominderung und Wiederherstellung zu entwickeln. Einige Prozesse und Abteilungen oder Bereiche können länger auf die Wiederherstellung warten als andere, ohne dass die Kundinnen und Kunden direkt betroffen sind. Letztlich geht es darum zu entscheiden, welche Prozesse am wichtigsten für die Wertschöpfung und umsatzrelevant sind.

Schritt 3: Risiken minimieren und Prozesse wiederherstellen

Sobald alle Auswirkungen und Abhängigkeiten identifiziert sind, planen Sie mit einer Risikominderungsstrategie Massnahmen, um die möglichen Auswirkungen zu minimieren. Danach legen Sie mit einer Wiederherstellungsstrategie fest, wie Sie die kritischen Geschäftsprozesse schnellstmöglich wiederherstellen können. Planen Sie die Krisenkommunikation, definieren Sie klare Kommunikationswege und verteilen Sie Verantwortlichkeiten.

Schritt 4: Massnahmen ableiten, vorbereiten und entwickeln

Jeder Business Continuity Plan gliedert sich in zwei Themenbereiche. Für die Aufrechterhaltung des Geschäftsbetriebs sind die Abteilungen oder Bereiche zuständig, da sie ihre Prozesse am besten kennen. Für die technische Wiederherstellung sind die internen oder externen IT-Spezialisten zuständig.

Aufrechterhaltung des Geschäftsbetriebs

  • Komplette Prozessdokumentation mit Anleitungen, Plänen und Verzeichnissen drucken
  • Formulare für die Prozessdokumentation drucken und ablegen
  • Kontakte von Kunden, Partnern und Mitarbeitenden erfassen und offline verfügbar halten
  • Alternativen für die Verlagerung von Produktion und die Materialbeschaffung suchen
  • Eventuell ein externes Lager mit produktionskritischen Komponenten einrichten
  • Mit der Bank abklären, wie dringende Rechnungen im Notfall bezahlt werden können
  • Alternativen zur Kartenzahlung suchen, zum Beispiel Bargeld oder Rechnungsvordrucke
  • Dokumente und Notfallszenarien mit wichtigen Mitarbeitenden besprechen
  • Wichtige Dokumente auf einem Laptop mit unabhängiger Internetverbindung speichern
  • Eventuell Notfallorganisation mit Mitarbeitenden und dem IT-Dienstleister aufstellen

Technische Wiederherstellung

  • Als erstes sollte die Verfügbarkeit der Backup-Daten geprüft werden; wie viele Tage oder Wochen reichen diese zurück und will man dies als Basis für die Zukunft nutzen. Funktionieren die Datenträger und sind ist eine ausreichende Lese-/Kopier-Infrastruktur vorhanden
  • Vor dem Zurückspielen der Backups muss sichergestellt werden, dass die Zielsysteme komplett gelöscht wurden und Virenfrei sind. In manchen Fällen ist die Beschaffung von neuer Hardware sinnvoll oder die Backup-Wiederherstellung in einer Cloud-Umgebung
  • Bei komplexeren Systemlandschaften ist ggf. eine ausführliche «Bereinigung» der Systeme effizienter als die komplette Wiederherstellung aus Backups. Ein erfahrener IT-Notfalldienstleister sollte unterstützen alle Viren und Hintertüren zu entfernen und eine «Alarmanlage» für neue Infektionen aufzusetzen
  • Auch kann mit Hilfe des IT-Dienstleisters ein sicherer Netzwerkbereich zur Widerherstellung geschaffen werden, welcher physisch oder durch geeignete Firewalls von den ggf. noch infizierten Systemen getrennt ist
  • Als erstes sollten die zentralen Systeme wiederhergestellt oder bereinigt werden, also das Nutzermanagement, Dateiserver, E-Mail, Sicherheits- und Netzwerksysteme sowie Systeme zum Betrieb von virtuellen Maschinen
  • Die Abfolge der Wiederherstellung von Servern, virtuellen Maschinen, Anwendungen und Datenbanken hängt von der Kritikalität dieser Systeme und den Abhängigkeiten ab, welche vorgängig identifiziert und dokumentiert werden sollten
  • Parallel dazu können Desktops und Laptops neu aufgesetzt und betroffene Steuerungssysteme in der Produktion bereinigt werden.

Schritt 5: Mitarbeitende einbinden und schulen

Beziehen Sie Ihre Mitarbeitenden in die Risikoanalyse, die Business-Impact-Analyse und die Notfallplanung ein. Zum einen kennen sie ihren Arbeitsbereich, mögliche Gefahren und die Auswirkungen von Ausfällen oder Unterbrechungen am besten. Zum anderen fördert diese Einbindung ihr Verständnis für den Business-Continuity-Management-Prozess (BCM) und erhöht ihr Engagement für die BCM-Strategie. Aus diesem Grund ist es sinnvoll, regelmässige Schulungen und Feedbacks für relevante Mitarbeitende zu organisieren und den Plan bei grossen organisatorischen Änderungen zu aktualisieren.

Schritt 6: Business Continuity Plan testen und anpassen

Kein Plan ist in Stein gemeisselt. Der Business Continuity Plan sollte mindestens einmal jährlich getestet und aktualisiert werden. Darüber hinaus sollten Wiederherstellungstests durchgeführt und manuelle Prozesse in Notfallszenarien geübt werden, damit jede*r weiss, was im Notfall zu tun ist. Ähnlich wie bei Feueralarmübungen. Aktualisieren Sie den Betriebskontinuitätsplan nach jeder grösseren Störung oder Unterbrechung und nach jeder grösseren Änderung in der Betriebsumgebung, drucken Sie ihn aus und verteilen Sie ihn an alle betroffenen Mitarbeitenden und Dienstleister.

Gut zu wissen

Die Zurich Cyberversicherung für KMU deckt neben den Kosten für Analysen wie Virenscans oder für die Schadensfeststellung auch die Kosten für Disaster-Recovery-Bemühungen. Berechnen Sie Ihre Prämie oder vereinbaren Sie eine Beratung.

Weitere Artikel

So schützen sich KMU vor Hackerangriffen

Ein Hackerangriff ist existenz­bedrohend

Jede Woche gehen beim Bundesamt für Cyber­sicherheit BACS Hunderte Meldungen über Cyber­vorfälle ein, in Spitzenzeiten über 2'000 pro Woche. Besonders gefährdet sind KMU. Welche Gefahren lauern auf kleine und mittlere Unternehmen?
Zwei Mitarbeitende im Serverraum

IT-Notfallplan: So schützen sich KMU

Einen längeren IT-Systemausfall kann sich heutzutage kein Unternehmen mehr leisten. Im besten Fall kostet der Ausfall «nur» Geld, im schlimmsten Fall die Existenz. Deshalb braucht jedes Unternehmen einen IT-Notfallplan.
Junger Mann

Kaisin: Neugründer mit Erfolgsrezept

Mit köstlichen Poké Bowls zum Erfolg – Mitgründer Delano Fischer spricht über das innovative Zürcher Start-up.
Männer bei einer heiteren Diskussion

Die Geschichte unseres Cyberversicherungskunden Planted

Das Start-up Planted sorgt mit innovativen Lebensmitteln aus Pflanzen für Furore.