9. Juni 2020

Risikoanalyse und Notfallmanagement

Die zunehmende Digitalisierung führt zu Veränderungen in den Produktions- und Arbeitsprozessen. Ein Großteil der Kommunikation mit Kunden und anderen Unternehmen sowie auch mit den eigenen Mitarbeitern findet zunehmend digital statt. Die Einrichtung und Nutzung der erforderlichen Systeme bedingt oft Fachwissen über Informationstechniken (IT). Das ist aber gerade in kleinen und mittleren Unternehmen oftmals nicht gegeben und birgt so Risiken, dass Sicherheitsgefahren nicht oder nur unzureichend erkannt werden.

Risikoanalyse
Die unternehmensspezifische Ausgestaltung der firmeneigenen Informationssicherheit ist von zahlreichen individuellen Gegebenheiten abhängig und kann nicht pauschal beantwortet werden. Abhängig von Branche, Größe und Ausrichtung müssen gegebenenfalls weiterführende Schutzmaßnahmen umgesetzt werden. Die Aspekte der Basissicherheit müssen in jedem Fall Berücksichtigung finden, um ein Mindestmaß an Sicherheit zu gewährleisten.

Ein Aspekt, der oftmals erst in großen Unternehmen zum Tragen kommt, ist die Risikoanalyse. Um IT-Risiken zu identifizieren und diesen anschließend entgegenzuwirken, müssen sie Unternehmen im Vorfeld zunächst analysieren. Ein unentdecktes Risiko kann in komplexen Geschäftsprozessen, einem aufwendigen Aufbau der IT sowie aktuellen Angriffsarten, wie einem neuen Computerschädling, liegen.

• An die Erkennung von Risiken müssen sich insbesondere KMU systematisch heranarbeiten. Eine Risikoanalyse setzt sich aus diesen Teilschritten zusammen:
• Identifikation möglicher Risiken,
• Bewertung aller identifizierter Risiken hinsichtlich Relevanz und Schadenspotenzial.

Ein Risiko besteht in der Regel dann, wenn das Unternehmen mit einer externen oder internen Bedrohung konfrontiert wird. Diese entwickelt sich zu einer Gefahr, wenn das Unternehmen durch eine offene Schwachstelle eine entsprechende Angriffsfläche bietet. Nur durch angemessene Schutzmaßnahmen können KMU solche Schwachstellen schließen, um somit zu vermeiden, dass eine Bedrohung zur Realität wird.

Viele Risiken sind mit einem Gespür für das eigene Unternehmen bzw. für die vorhandenen Prozesse zu identifizieren und mit geringem Mitteleinsatz reduzierbar. Andere Risiken sind akzeptabel, wenn sie weder eine hohe Eintrittswahrscheinlichkeit noch eine empfindliche Schadenshöhe besitzen. Mit einer Risikoanalyse sollen gerade die häufig auftretenden bzw. besonders kostspieligen Schadensfälle im Vorfeld entdeckt und im Idealfall ausgeschlossen werden. Die besten Erfahrungen haben Unternehmen gemacht, die in enger Zusammenarbeit zwischen Mitarbeitern und externen Beratern ihre unternehmensspezifischen Risiken identifiziert haben.

Notfallmanagement
Und wenn es trotz aller vorbeugenden Maßnahmen zu einem Schadensfall kommt? Jedes Unternehmen sollte ein Notfallkonzept bzw. Notfallhandbuch besitzen. In einem Notfallhandbuch werden für mögliche Schadensfälle Kontaktdaten von Ansprechpartnern und Maßnahmen zur Wiederherstellung der ausgefallenen Funktionen dokumentiert. Produktionsspezifische Prozesse stehen in der Relevanz fast immer vor den Prozessen in einer Verwaltung. Im Zusammenhang mit einem Notfallmanagement muss jeder Mitarbeiter kontinuierlich informiert und geschult werden. Analog eines Erste-Hilfe-Szenarios müssen alle Kenntnis über den Standort des Notfallhandbuches haben.

Autoren: Roland Hallau (Projektleiter), Andreas Neuenfels, Mike Wäsche vom Mittelstand 4.0 – Kompetenzzentrum Chemnitz, c/o tti Technologietransfer und Innovationsförderung Magdeburg GmbH

• Checkliste Risikoanalyse
• Risikoanalyse durchführen,
• Schutzmaßnahmen festlegen und umsetzen,
• Risikoanalyse bei Veränderungen im Unternehmen wiederholen.

• Checkliste Notfallmanagement
• Einen Verantwortlichen für das Notfallhandbuch festlegen,
• Notfallhandbuch erstellen,
• Information und Schulung aller Mitarbeiter,
• Notfallhandbuch aktuell halten.