Die Büroflächen stehen in Flammen, die Produktionssysteme sind zerstört und Daten nicht mehr zugänglich. Sind dann auch noch die verantwortlichen Führungskräfte nicht erreichbar, sollten Mitarbeiter zumindest die notwendigen Maßnahmen und Verantwortlichkeiten kennen. Doch selten werden diese Dinge im Vorfeld geklärt. Häufig gibt es technische Backup-Konzepte, die organisatorische Vorsorge kommt indes zu kurz.
Das Management Commitment
Die organisatorischen Fragen zu klären, ist nicht vornehmliche Aufgabe der IT-Abteilung. Ihr obliegen die klassischen IT-Recovery-Konzepte (Backup-Strategien). Die Verantwortung für die übergreifende Ausrichtung liegt bei der Unternehmensführung. Grundlage für eine erfolgreiche Vorsorgeplanung sind zwei Aspekte:
1. Das Bewusstsein des Managements für den Bedarf einer entsprechenden Planung.
2. Das Commitment des Managements für die notwendigen Maßnahmen.
Die Vorsorgeplanung und ihre regelmäßige Überprüfung ist Teil des Risiko-Managements und damit Bestandteil der Compliance-Anforderungen. Sowohl das Aktienrecht, als auch das GmbH-Gesetz verlangen von der Unternehmensleitung, sich mit Krisen- und Notfallsituationen zu beschäftigen. In den Mindestanforderungen an das Risiko-Management (MaRisk) wird die Vorsorgeplanung für Notfälle gefordert (siehe auch "Rechtliche Rahmenbedingungen").
Leider mangelt es dennoch vielerorts am notwendigen Risikobewusstsein. Unternehmenslenker und CIOs wähnen sich in Sicherheit, weil sie die Aufgaben in die Fachbereiche delegiert haben. Doch das entbindet sie nicht von der Verantwortung.
Vorsorge braucht Vorgaben
Jede Vorsorgeplanung benötigt klare Ziele etwa zur gewünschten Wiederherstellungszeit und Notfallverfügbarkeit. Am Anfang steht daher die Antwort auf die Frage, welchen Ausfall sich ein Unternehmen leisten kann. Daraus lässt sich ableiten, welche Prozesse zu welchem Zeitpunkt wieder verfügbar sein müssen und welche beziehungsweise wie viele Notfallarbeitsplätze bis zur Wiederherstellung benötigt werden. Aus diesen Zielvorgaben ergeben sich die notwendigen Vorsorgekosten. Nicht zuletzt dies ist ein wesentlicher Punkt, weshalb die Planungen zwingend eine Management-Entscheidung benötigen.
Rechtliche Rahmenbedingungen
Die gesetzlichen Anforderungen an das Risiko-Management und die Kontrollsysteme sind in den vergangenen Jahren gestiegen. Folgende Gesetze sind relevant:
• Bundesdatenschutzgesetz (BDSG): Personenbezogene Daten müssen gegen Zerstörung und Verlust geschützt werden.
• Aktiengesetz (AktG): Allgemeinen betrieblichen Risiken sollten im Rahmen eine Risiko-Managements erfasst und bewertet werden.
• Gesetz zur Transparenz und Kontrolle im Unternehmensbereich (KonTraG): Zur Kontrolle und Transparenz im Unternehmen ist ein Frühwarnsystem erforderlich. Das Gesetz verlangt ein umfangreiches Sicherheitskonzept.
• Sabanes-Oxley Act (SOX): Alle für die Finanzergebnisse relevanten internen Prozesse müssen durch Wirtschaftprüfer durchleuchtet werden.
• Basel II: Unternehmensbezogenen Daten müssen gesichert werden. Außerdem muss ein ausreichendes Notfallkonzeptes vorhanden sein.
• EuroSOX, Richtlinie 2006/43/EG: Es sind Planungen für den langfristigen Erhalt des Betriebs sowie ein Notfallkonzept erforderlich.
• Mindestanforderungen an das Risiko-Management (MaRisk) für Kreditinstitute und Versicherungen: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) verlangt ein Risiko-Management.
• IDW PS 951: Das Institut der Wirtschaftsprüfer (IDW) hat einen Prüfungsstandard zur Bewertung der Angemessenheit (Typ A) und Wirksamkeit (Typ B) von Kontroll- und Risiko-Managementsystemen auf Basis des amerikanischen Prüfungsstandard SAS 70 definiert.
• Gesetz zur Modernisierung des Bilanzrechts (BilMoG): Die Weiterentwicklung der HGB-Regelungen zu Ansatz-, Ausweis- und Bewertungswahlrechte enthalten auch zusätzliche Anforderungen an das interne Kontroll- und Risiko-Managementsystem.