Erfahrungen mit Notfall-Tools Umfrage: Eindrücke zwiespältig – jeder Zweite möchte ein Hilfsmittel

Ordnungsmerkmale

erschienen in: <kes> 2003^#3, Seite 22

Rubrik: Management und Wissen

Schlagwort: Business Continuity

Schlagwort-2: Notfall-Tools

Zusammenfassung: Eine überraschend große Zahl von Unternehmen und Behörden setzt noch keine Handbücher oder Software-Tools zur Unterstützung ihrer Business-Continuity-Maßnahmen ein. Die <kes> hat sich in einer Ad-hoc-Umfrage bei Lesern nach ihren Erfahrungen und dem generellen Interesse an Notfallplanungsinstrumenten erkundigt.

Welche Hilfsmittel verwenden <kes>-Leser bei ihrer Vorsorge für den Notfall? Vorgefertigte Handbücher? Eigene Zusammenstellungen? Oder marktgängige Tools? Im Rahmen einer Bestandsaufnahme der Eigenschaften solcher Hilfsmittel hat die Redaktion in einer Stichprobe 77 IT-Sicherheitsverantwortliche von Kreditinstututen, Industrieunternehmen, Behörden und Beratern gefragt,

welche Erfahrungen sie haben,
wo sie die Vor- und Nachteile ihrer Werkzeuge sehen,
ob und wie viel Zeitersparnis ihnen ein fertiges Tool gegenüber einer möglichen Eigenentwicklung gebracht hat und
ob sie an Informationen über Tools interessiert sind, falls derzeit keines im Einsatz ist.

Das überraschende Ergebnis: Mehr als die Hälfte der antwortenden <kes>-Leser, durchweg hochrangige Mitarbeiter der wichtigsten deutschen Unternehmen und Behörden, setzen bisher kein Hilfsmittel ein, sind aber sehr an Informationen über das am Markt befindliche Angebot interessiert. Damit erscheint der Bedarf in der Praxis höher als es die <kes>/KPMG-Sicherheistsstudie 2002 vermuten ließ: Im letzten Jahr hatten 77 % der Studien-Teilnehmer angegeben, mindestens eine Form von Notfalldokumentation zu nutzen (vgl. Abb.).

Angaben zur Art der verwendeten Notfall-Dokumentation aus der <kes>/KPMG-Sicherheitsstudie 2002

Von der Stange

Zwölf der jetzt antwortenden 77 Unternehmen nutzen am Markt erhältliche Tools. Erwähnt wurden CAPT und CM von Heine & Partner (bzw. ICM von INFO AG), ROGSI/DMS von ROG, Alive-IT von Controll-IT, das Tool "L.D.R.P.S." der in Deutschland weitgehend unbekannten US-Firma Strohl Systems, das vor allem im Sparkassenbereich verbreitete Dokumentationstool Dokusa und gelegentlich Software, die nur die Wiederherstellung von Daten nach einem Crash unterstützt.

Als wesentliche Vorteile ihrer Instrumente nannten diese Anwender:

"Vorgegebene Vorgehensweise und Struktur der Software" (Versicherung)
"Ablage aller erforderlichen Daten an einer Stelle" (TK-Unternehmen)
"Visualisierung der erledigten und offenen Aktivitäten" (Behörde)
"Vollständigkeitskontrolle durch relationale Datenbank und verknüpfte Datenfelder, frei konfigurierbare Reports" (IT-Dienstleister)
"Musterdatenbank, leichte Handbucherstellung" (Bundeswehrkommando)
"einfaches Change-Management in großen Unternehmen mit dynamischer Veränderung" (Unternehmensberatungsgesellschaft)
"einfache und effiziente Darstellung der betrieblichen Abläufe und deren Abhängigkeiten untereinander sowie der Beziehungen zu den Ressourcen; Anlehnung an Netzplantechnik, aber auch Raum für freie Texte; Arbeitserleichterung durch redundanzfreie Verwahrung der Daten; revisionssichere Pläne; Möglichkeit, unterschiedliche empfängerbezogene Handbücher zu erstellen" (Internationale Bank)

Als Nachteile wurden genannt:

"Lange und intensive Einarbeitungsphase" (Versicherung)
"Tool nur mit Consulting durch den Hersteller richtig nutzbar" (Qualitätssicherungsdienstleister)
"Zu komplex" (Versicherung)
"Probleme bei großen Datenmengen" (Softwarefirma)
"Datenfelder nicht erweiterbar" (IT-Dienstleister)
"Benutzerführung und Printmöglichkeit nicht optimal" (Lebensmittel-Konzern)
"Denkweise der 'einfachen' Mitarbeiter ist Angst vor einem Tool" (Bank)

Wie sehr solche Urteile dabei auch von der Person des Anwenders oder den örtlichen Rahmenbedingungen abhängen, zeigt die Tatsache, dass zu ein und demselben Produkt einmal als Nachteil "umständliche und aufwändige Pflege" moniert wurde während ein anderer Anwender als Vorteil "einfache Pflege" angeführt hat.

Selbstgeschneidert

Individuell entwickelte Handbücher oder Programme – mehrheitlich Datenbanken auf Basis von Lotus Notes – haben 18 der 77 Befragten im Einsatz. Die genannten Vorteile stimmen zum Teil mit der Beurteilung der Standardprodukte überein, zeigen aber auch, wo Anwender ihre speziellen Bedürfnisse realisiert haben:

"Abläufe und Ansprechpartner sind definiert" (IT-Dienstleister)
"Ausfallsituationen können simuliert und getestet werden; Handbuch steht im Intranet für alle zur Verfügung" (Pharmaindustrie)
"Workflow-Komponenten, Replizierbarkeit, gängige Software (Lotus Notes)" (Treuhandgesellschaft)
"zeitliches Abschätzen des Notfallaufwands wird möglich" (Wirtschaftsprüfungsgesellschaft)
"führt zu strukturierter Beschäftigung und Aufbereitung der Thematik Business Continuity; ermöglicht Dokumentation eingetretener Not- beziehungsweise Störfälle und durchgeführter Simulationen" (Bank)
"unser Handbuch enthält extrem vertrauliche Informationen, die elektronisch nur bedingt zu schützen wären" (Elektro-Konzern)

Auch die Eigenentwicklungen werden aber keineswegs durch die rosa Brille betrachtet:

"zu hoher Aufwand für Erstellung und Pflege: Handbuch ist veraltet" (Handelskonzern)
"Hoher Änderungsbedarf, zeitaufwändig" (Pharmaindustrie)
"feststehende Tiefe der Unterkapitel; nicht variabel" (Industrieunternehmen)
"betroffene Admins sind nicht ausreichend geschult/geübt; Doku nicht immer aktuell und vollständig für alle Systeme; Verfügbarkeit der notwendigen Hilfsmittel nicht immer sichergestellt" (IT-Dienstleister)
"kann nicht nebenbei gemacht werden: man muss feste Ressourcen einplanen" (Großbrauerei)

Bei den Unternehmen mit Eigenlösung fällt auf, dass sie zum Teil ganz bewusst auf die Übernahme extern vorgefertigter Maßnahmenkataloge verzichten:

"Der Plan ist bewusst rudimentär, da ich der Meinung bin, nicht alle Notfälle abgreifen zu können. Wichtig sind Erfahrung und klare Entscheidungswege im Fall der Krise" (Internationale Bank)
"Die Erarbeitung des Handbuchs mit vielen Beteiligten ist schon der Prozess der Sensibilisierung." (Automobilkonzern)
"Ich habe immer nur verlangt, dass es ein Handbuch gibt. Mit welchen Mitteln, ist zweitrangig, solange es alle wesentlichen Punkte beinhaltet." (Versicherung)

Grundschutz

Immerhin sechs Anwender aus der Stichprobe verlassen sich auf das BSI-Grundschutzhandbuch und die darin enthaltenen Checklisten und Maßnahmenkataloge: Zwei große Unternehmensberatungen, eine Stadtverwaltung, ein Energieversorgungsunternehmen, eine Bank und ein Leasingunternehmen. Sie loben vor allem die Struktur, die Übersichtlichkeit, die Maßnahmenkataloge, die vorgegebene Reihenfolge konkreter Schritte und immer wieder den Checklisten-Charakter des BSI-Werkzeugs. Als Nachteil wird zum Teil der Umfang angesehen, der die Pflege schwierig und umständlich mache; ein Teilnehmer wünscht sich eine raschere Aktualisierung des Grundschutzhandbuchs bei Veränderungen.

Gewinnaussichten

Nur wenige Anwender konnten Angaben machen, wie viel Zeit sich durch ein Tool gegenüber der Notfallplanung ohne Hilfsmittel einsparen lässt. Überwiegend wird von einem Zeitvorteil von 25–50 % berichtet. Aber auch solche Aussagen gab es:

"keine Zeitersparnis, Vorteil liegt in der Vollständigkeit" (TK-Unternehmen)
"Zeitersparnis stand nicht im Vordergrund; ohne Tool wäre ein konsistenter Notfallplan und vor allem die Pflege kaum möglich" (IT-Dienstleister)
"spürbar höherer Zeitaufwand als ohne Tool" (Versicherung)
"Während der Handbucherstellung wurde das Projekt durch den Einsatz des Tools sogar um circa zwei Monate verlängert. Im täglichen Betrieb bringt es aber enorme Vorteile. Die durch Umzug von Abteilungen/Mitarbeitern und durch veränderte Abläufe/Prozesse bedingten Anpassungen reduzieren sich auf wenige Stunden Aufwand pro Jahr. Durch Links zu Mitarbeiterdatenbanken werden Zu- und Abgänge automatisch übernommen." (Internationale Bank)

Eine der Antworten führt aber letztlich alle Rechnerei über ersparte Stunden oder Tage ad absurdum: Der IT-Sicherheitsbeauftragte einer großen Bank, die im Oktober 2002 einen Wasserschaden auch im Bereich der IT-Infrastruktur hatte, antwortete auf die Frage nach der Zeitersparnis bei der Erstellung des Handbuchs lapidar: "Unermesslich. Ohne Handbuch wäre es zum K-Fall gekommen!"