Covid-19 und die IT-Notfallplanung im Unternehmen

17.03.2020

Covid-19 und das Coronavirus haben das öffentliche Leben im Griff und Unternehmen prüfen, ob sie alle notwendigen Schritte unternommen haben, um die Folgen der Pandemie ausreichend abzufedern. Auch die Aufrechterhaltung einer funktionsfähigen IT-Infrastruktur ist für die meisten Unternehmen in einer digitalisierten Wirtschaft überlebensnotwendig. Dies gilt umso mehr, wenn gegenüber dem Regelbetrieb zusätzliche Remote Arbeitsmöglichkeiten eingerichtet und mit ausreichender Bandbreite und Hard- und Software versorgt werden müssen.

Neben der kaufmännischen Vernunft gebietet auch das Gesetz, dass die Unternehmen sich angemessen mit drohenden Risiken für den Unternehmensbetrieb befassen. Das gilt selbstverständlich an erster Stelle für Betriebe, die eine hohe Bedeutung für das Gemeinwesen haben und deren Ausfall die öffentliche Versorgung und Sicherheit gefährden würde. Diese Betreiber kritischer Infrastrukturen (KRITIS) werden u.a. durch das IT-Sicherheitsgesetz zur Risikovorsorge und zur Errichtung effektiver Notfallpläne verpflichtet. Auch bei der Verarbeitung personenbezogener Daten formuliert die Datenschutzgrundverordnung (Art. 32 Abs. 1 c) DSGVO) die Pflicht des Verantwortlichen und seiner Auftragsverarbeiter durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass der Zugang zu den Daten auch in einer Krise rasch wiederhergestellt werden kann. Banken und Finanzdienstleister müssen gem. § 25a KWG und der darauf basierenden Grundsätze der Bankenaufsicht „MaRisk“ zusammen mit ihrem IT-Dienstleister ein Notfallkonzept aufstellen und dessen Wirksamkeit regelmäßig durch dokumentierte Notfallübungen überprüfen. Das umfasst auch die Entwicklung von Geschäftsfortführungs- und Wiederanlaufplänen. Schließlich ergibt sich aus der allgemeinen gesetzlichen Pflicht zur kaufmännischen Sorgfalt gem. § 43 Abs. 1 GmbHG und § 91 Abs. 2 AktG eine ganz persönliche Unternehmerpflicht, die Aufstellung und Überwachung eines Notfallkonzeptes für unternehmenskritische Systeme und einen angemessenen Versicherungsschutz für den IT Ausfall sicherzustellen. Die Ausführung und Erstellung der Pläne kann z.B. auf den IT-Leiter delegiert werden, die Verantwortung für das Vorhandensein selber bleibt aber immer bei der Unternehmensleitung.

Praktisch stellt sich nun die Frage, welche Risiken in einem solchen Notfallplan zu adressieren sind und wie man dabei mit dem Pandemiefall umgeht. In der Praxis bilden viele IT-Notfallpläne bisher lediglich Naturkatastrophen, technische Ausfälle und Einbruch oder Vandalismus ab. Der Fokus liegt auf einem Ausfall der technischen Infrastruktur. Den Fall, dass die betreuenden Menschen und Servicetechniker ausfallen könnten, die zur Sicherstellung des Betriebes notwendig sind, wird in der Praxis bisher zu oft vernachlässigt. Dabei brauchen die Mitarbeiter noch nicht einmal selber von einem Virus befallen zu sein. Die aktuelle Entwicklung zeigt, welche Personallücken entstehen können, wenn bereits Verdachtsfälle für 14 Tage in häusliche Isolation beordert werden oder wenn die Kinderbetreuung ohne Alternativbetreuung ausfällt. Die Schließung von Betriebsstätten und Büros zur Vermeidung von Infektionen ist eine weitere Herausforderung für den fortlaufenden Betrieb von Servern und IT-Infrastruktur an diesen Standorten.

Praxistipp:

Egal, ob die vorhandenen Notfallpläne den Pandemiefall in zivilisierten Gesellschaften nicht als realistisches Szenario vorhergesehen haben oder ob die Erstellung und Erprobung von Notfallplänen für die IT bisher ganz einfach dem Unternehmensalltag zum Opfer gefallen sind: Spätestens jetzt ist der Zeitpunkt gekommen, die Aufrechterhaltung der oft überlebenswichtigen IT-Infrastruktur zu planen, vorhandene Pläne an die aktuellen Entwicklungen und Erfahrungen anzupassen und mit Blick auf die spezifischen Besonderheiten und Bedürfnisse des Unternehmens weiterzuentwickeln.

Gerne unterstützen wir Sie bei der Entwicklung entsprechender Regelungskonzepte und deren Implementierung, z.B. bei der (Nach-)Verhandlung der entsprechenden Supportverträge mit externen Dienstleistern oder bei der arbeitsrechtlich wirksamen Umsetzung der notwendigen Vorgaben im Unternehmen.

Praktische Hilfestellungen zur Erstellung und dem Inhalt von IT-Notfallplänen finden sich nicht zuletzt beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und insbesondere in den BSI-Standards (vgl. BSI-Standard 100-4: Notfallmanagement). Selten hat sich so deutlich gezeigt, dass die gerne als „bürokratisch“ oder „hinderlich“ geschmähten IT-Compliance-Anforderungen ganz reale Bedeutung für den Fortbestand des Unternehmens bekommen können. Sprechen Sie uns an, wie wir Sie bei Ihren dahingehenden Anstrengungen unterstützen können.

Stand: 17.03.2020