IT-Notfallplan für KMU

Mit der digitalen Transformation steigt die Abhängigkeit vieler Unternehmen von geschäfts­kritischen Programmen und die Gefahr von Cyberangriffen. Besonders gefährdet sind KMU, die im Vergleich zu Gross­unternehmen über weniger Ressourcen verfügen und deshalb weniger gut vorbereitet sind. Ein Drittel aller Schweizer KMU wurde bereits mindestens einmal von Cyber­kriminellen angegriffen.

Ein Cyberangriff oder ein System­ausfall durch Bedien-, Hardware- oder Softwarefehler kann die IT und damit den Betrieb für Tage oder Wochen lahmlegen. Das kostet viel Geld, Kunden­vertrauen und Reputation. Deshalb braucht jedes Unternehmen, unabhängig von seiner Grösse, einen Plan, wie geschäfts­kritische Daten und IT-Systeme im Notfall wiederhergestellt werden können. Technisch sind viele KMU vorbereitet: Sie schützen ihre IT-Systeme mit Virenschutz­programmen, aktualisieren ihre Software regelmässig und haben Firewalls installiert. Doch zu wenige haben einen IT-Notfallplan oder ein IT-Notfallkonzept, wie sie auf einen Angriff oder Ausfall reagieren.

Der Notfallplan stellt sicher, dass ein Unternehmen angemessen, schnell und wirksam auf IT-Notfälle reagieren kann. Ein IT-Notfallplan für KMU sollte mindestens folgende Dokumente enthalten:

• Alle Kontaktdaten der Unternehmensleitung und des zentralen IT-Personals
• Alle Kontaktdaten der externen IT-Dienstleister und der Cyberversicherung
• Dokumentation aller relevanten IT-Systeme, -Netzwerke und -Anwendungen - inklusive Abhängig­keiten und möglicher Auswirkungen auf geschäftskritische Prozesse
• Vorlagen für die Kommunikation mit wichtigen Kunden, Lieferanten und Partnern sowie mit Interessen­gruppen wie dem Bundesamt für Cybersicherheit BACS
• Checklisten mit Aufgaben und Verantwortlich­keiten für die wahrscheinlichsten IT-Notfallszenarien wie Datenpannen, Ransomware-Angriffe oder Systemausfälle
• Verzeichnis aller Dokumente, die im Notfall hilfreich sein können, zum Beispiel Inventar-, Kunden- und Personallisten, System- und Anwendungsdokumentationen oder Wiederherstellungspläne.

Der IT-Notfallplan muss physisch an einem sicheren Ort aufbewahrt und mindestens einmal jährlich aktualisiert werden. Alle zentralen Mitarbeitenden und das Management müssen wissen, wo sie den Plan finden, und jederzeit darauf zugreifen können.

Keine Krise gleicht der anderen. Deshalb sollte jedes KMU verschiedene Checklisten mit Mas­snahmen für die wahrscheinlichsten IT-Notfallszenarien in seinen Notfallplan integrieren. Die Check­listen definieren neben den Massnahmen auch Eskalations­stufen, Meldewege und Verantwortlichkeiten.

1. Das Backup-System sofort vom Netzwerk trennen
2. Router ausschalten und alle Verbindungen zum Internet trennen
3. Server vom Netzwerk trennen, aber nicht abschalten (Beweissicherung)
4. Kein Lösegeld zahlen – oder nur in Absprache mit einem erfahrenen IT-Notfall-Dienstleister
5. Nicht über das interne E-Mail-System kommunizieren
6. Möglicher­weise infizierte Systeme und An­wendungen nicht verwenden
7. Keine überstürzte technische Systemanalyse oder -wiederherstellung

1. Umfang der gestohlenen oder kompromittierten Daten feststellen und für die Untersuchungen dokumentieren.
2. Vorfall sofort der Kantonspolizei und bei Cyberangriffen auch dem Bundesamt für Cybersicherheit BACS melden. Ausserdem muss der Eidgenössische Datenschutz- und Öffentlichkeits­beauftragte (EDÖB) gemäss Datenschutz­gesetz informiert werden, wenn das Risiko für die betroffenen Parteien hoch ist. 
3. Einen Anwalt beiziehen, der beurteilt, ob der Vorfall melde­pflichtig ist, mit dem EDÖB kommuniziert und das Unternehmen unterstützt, die Folgen des Vorfalls zu meistern.
4. Alle betroffenen (natürlichen und juristischen) Personen informieren.
5. Technische und organisatorische Massnahmen verbessern, um die System­sicherrheit und den Datenschutz zu verbessern und solche Vorfälle in Zukunft zu verhindern.

Wichtig: KMU, die eine Cyberversicherung abgeschlossen haben, sollten zuerst die Kosten­übernahmen mit ihrer Versicherung klären, bevor sie einen Anwalt beiziehen.

1. Das Backup-System sofort vom Netz trennen
2. Alle Nutzerinnen und Nutzer informieren
3. Betroffene Systeme und Anwendungen lokalisieren
4. System auf Hardware- und Softwaredefekte sowie Kommunikations­probleme überprüfen
5. Abhängigkeiten und Aus­wirkungen klären
6. Dokumentation und Wiederher­stellungsplan einsehen
7. Externen IT-Dienstleister kontaktieren

Papier ist geduldig. Deshalb reicht es nicht aus, einen IT-Notfallplan zu erstellen, auszu­drucken und abzuheften. Mit diesen Massnahmen verhindern kleine und mittlere Unternehmen, dass sie erst im Ernstfall erfahren, wie gut ihr Notfallplan wirklich ist:

• IT-Notfallplan laufend aktualisieren und regelmässig testen, zum Beispiel durch simulierte Notfall­szenarien oder Notfallübungen
• IT-Notfallplan laufend an aktuelle Bedrohungen, aber auch an neue gesetzliche Anforderungen, neue IT-Infrastrukturen oder neue Technologien anpassen
• Alle Mitarbeitenden für die Themen IT-Sicherheit und Daten­schutz sensibilisieren, über den Notfall­plan informieren und Schulungen oder Workshops durchführen

Unternehmen, die bei der Zurich cyberversichert sind, können rund um die Uhr unsere 24/7-Cyber-Hotline anrufen. Sie finden die Telefon­nummer auf der Versicherungs­police. Während der Büro­zeiten kümmern sich spezialisierte Zurich-Mitarbeitende um den Fall, nachts und am Wochenende die IT-Security-Experten aus unserem Partnernetzwerk.