Schweizer IT-Katastrophen-Roulette
Artikel erschienen in Swiss IT Magazine 2004/10
Artikel erschienen in Swiss IT Magazine 2004/10
Die Schweiz hat eine stattliche staatliche Tradition der Katastrophenvorsorge: Zivilschutz, Gesamtverteidigungsübungen und als für jeden hörbaren Ausdruck die jährlichen Sirenentests über Mittag. In Schweizer Unternehmen scheint es demgegenüber mit der IT-Ernstfallplanung nicht gerade weit her zu sein. Trotz der offensichtlich steigenden Bedrohung der IT-Infrastrukturen durch Viren, Denial-of-Service-Attacken, Terror oder ganz banale Unfälle, Fehler und klassische Katastrophen hat nur eine Minderheit der Schweizer Firmen einen Plan in der Schublade, wie sie bei einem Ausfall weiterfunktionieren könnten. Zu diesem Schluss kommt eine Studie der Zürcher Commissum. Der Sicherheitsberatungsspezialist hat das Management von 80 Unternehmen, vom internationalen Konzern bis zum mittelständischen Betrieb befragt, wie gut sie einen Geschäftsunterbruch inklusive IT-Ausfälle überleben würden. Das Fazit: Nur ein Viertel ist gut gerüstet, aber fast ein Fünftel hat praktisch gar keine Vorsorgeplanung getroffen.
Commissum hat seine Erkenntnisse in einem Business Vulnerability Index zusammengefasst. Dieser stuft Unternehmen anhand der geplanten und getroffenen Vorsorgemassnahmen in einer fünfteiligen Skala ein. Von den Umfrageteilnehmern erreichten 18 Prozent nur die ungenügenden Stufen 5 und 4. Der Grossteil lag im Mittelfeld zwischen den Verletzlichkeitsstufen 2 und 3. Nur ein Viertel kann sich, laut Commissum, gut gerüstet fühlen. Die Wurzeln des fehlenden Bewusstseins für Business Continuity Management dürften im Unwissen über die Ausmasse der möglichen Schäden liegen. 62 Prozent der Antwortenden können nämlich die zu erwartenden Kosten eines Ausfalls noch nicht einmal der Grössenordnung nach beziffern. Insofern ist es für sie im Zeitalter von TCO und ROI auch schwierig, verhältnismässige Gegenmassnahmen zu planen.
Einen Plan in der Schublade zu haben bedeutet aber andererseits keinesfalls, auf der sicheren Seite zu stehen. Denn 23 Prozent derer mit einer Planung haben keine systematische Überprüfung der Massnahmen festgelegt, und nur 20 Prozent machen die Überprüfung jedes halbe Jahr, wie dies empfohlen wird. Auch die Mitarbeiterinformation in Form von systematischen Awareness-Trainings entspricht erst bei 85 Prozent den anerkannten Best Practices.
Die Untersuchung zeigt allerdings auch, dass Risikoplanung ein noch junges Gebiet ist. Nur 31 Prozent der Umfrageteilnehmer haben seit mindestens drei Jahren eine formale Planung etabliert. 27 Prozent sind wahrscheinlich aufgeschreckt durch die jüngsten Entwicklungen und Ereignisse innerhalb der letzten zwei Jahre auf diesem Gebiet aktiv geworden. Steigt das Risiko weiter im derzeitigen Tempo an, ist deshalb zu erwarten, dass innerhalb der nächsten Zeit auch ein grosser Teil der 23 Prozent aller Firmen, die noch keinen formalen Plan niedergeschrieben haben, sich dem Thema annehmen wird.
Artikel kommentieren
