Jedes zweite deutsche Unternehmen hat keinen Notfallplan
Ob Feuersbrunst oder Hackerangriff - nur die Hälfte der in einer Studie befragten Unternehmer hat für den Ernstfall einen Plan in der Schublade.
- Ute Roos
Deutsche Unternehmen sind zu vertrauensseelig, wenn es um die Vorbereitung für eventuelle Katastrophen oder Notfälle geht. Gerade einmal 50 Prozent sind organisatorisch beispielsweise auf einen Hackerangriff vorbereitet und haben einen entsprechenden Notfallplan. Zu diesem Ergebnis kommt die von Mummert in Zusammenarbeit mit dem F.A.Z.-Institut unter 119 Fach- und Führungskräften deutscher Unternehmen online durchgeführte Studie "Managementkompass Sicherheitsstrategien".
Noch seltener sind Unternehmen auf Datendiebstahl, einen Systemabsturz, Einbruch oder Feuer vorbereitet. 20 Prozent der Entscheider sehen hier große Sicherheitslücken im eigenen Unternehmen. Nur 28 Prozent der Befragten verfügen über externe Ausweichsysteme, wenn ihre IT ausfällt. Wenn überhaupt Notfallpläne vorliegen, sind die Mitarbeiter häufig nicht hinreichend instruiert – in jedem fünften befragten Unternehmen gibt es keine Informationen über die Notfallmaßnahmen. Auch fehlen bei vielen Firmen Vereinbarungen mit IT-Dienstleistern hinsichtlich der Beseitigungsfristen für einen Störfall.
Besser vorbereitet als das Durchschnittsunternehmen ist die Finanzbranche sowie das verarbeitende Gewerbe. 72 Prozent der befragten Banken und Versicherungen verfügen über einen eigenen Sicherheitsbeauftragten. Bei 64 Prozent gibt es Sicherheitsrichtlinien, die das Verhalten von Mitarbeitern bei Totalausfall der IT oder Stromausfall regeln.
Wenig überraschend ist das Ergebnis der Studie in Sachen mobile Sicherheit, hier ist die Handhabung besonders lax. Zwar setzen 80 Prozent der befragten Unternehmen mobile Geräte wie Laptops und PDAs im Geschäftsalltag ein, doch nur 60 Prozent von ihnen ergreifen technische Schutzmaßnahmen oder schreiben vor, wie mit den Geräten umzugehen ist.
Das Bewusstsein für die Notwendigkeit eines Notfallmanagements im Unternehmen scheint sich jedoch allmählich zu wandeln – anders lässt sich die Rekordteilnahme von 400 Teilnehmern am kürzlich stattgefundenen IT-Grundschutztag zum Thema "Notfallmanagement/Notfallplanung" nicht erklären.
Noch in diesem Jahr wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen komplett überarbeiteten und ergänzten IT-Grundschutzbaustein sowie einen ausführlichen, teilweise vom britischen Standard 25999 inspirierten Standard (100-4 Notfallmanagement) veröffentlichen. Bis zum Ende der Sommerpause liegt eine stabile Version vor, die das BSI mit Interessenten diskutieren möchte (Kontakt über gshb@bsi.bund.de). Ende des Jahres stehen dann Baustein und Standard zum Herunterladen auf der Website zur Verfügung. (ur)
