Für den Notfall gerüstet – Das Business Continuity Management der FI-SP

Mitte März diesen Jahres brach in einem französischen Rechenzentrum ein Brand aus, der zu einer völligen Zerstörung führte. Cyberangriffe auf öffentliche und private Einrichtungen sind an der Tagesordnung, aber auch die Folgen der aktuellen Flutkatastrophe führen zu hohen Sachschäden an Gebäuden und Infrastruktur. Die Schadens-Szenarien und ihre Ursachen sind vielfältig und erinnern an Kino-Blockbuster.

Wir geben ihnen mit diesem Bericht einen Einblick, welche Vorkehrungen die FI-SP getroffen hat, um für das Unternehmen und die Mitarbeitenden größtmöglichen Schutz zu bieten. Die FI-SP hat sich schon sehr früh mit den Themen Sicherheit, Notfall und den damit verbundenen Risiken beschäftigt. Mittlerweile haben die Themen enorm an Bedeutung gewonnen und sind längst als regulatorische Anforderungen verankert. Worum geht es dabei? Das Business Continuity Management (BCM) wurde auf der Basis der Unternehmens- und der IT-Strategie der FI-SP aufgebaut. Es hat die Aufgabe dafür zu sorgen, auf Notfallsituationen vorbereitet zu sein. Im BCM –Team werden die notwendigen Voraussetzungen definiert, um Notfallsituationen zu identifizieren und Maßnahmen vorzubereiten, damit der Geschäftsbetrieb auch im Falle eines eingetretenen Notfalls fortgeführt werden kann.

Bei einem Notfall handelt es sich um eine Störung, die nicht in kurzer Zeit zu beheben ist. Also ein Ereignis, welches den Betrieb der FI-SP über längere Zeit stark beeinflussen wird. Dabei kann es sich um die Erkrankung vieler Mitarbeiterinnen und Mitarbeiter aufgrund einer Pandemie handeln, aber auch um den vollständigen Ausfall eines Bürogebäudes oder Rechenzentrums aufgrund von Sabotage oder eines Cyberangriffs.

Aber Definitionen und Pläne alleine reichen nicht aus. Mitarbeiterinnen und Mitarbeiter müssen informiert und regelmäßig in Theorie und Praxis geschult werden. Vor allem zeigen die Ereignisse der letzten Monate, dass aktuelle Erfahrungen ständig wieder in die Konzepte zu integrieren sind, um aus diesen Entwicklungen zu lernen.

Die Erfüllung der Erfordernisse an eine Notfallvorsorge ist nicht nur unmittelbar für unser Unternehmen notwendig, auch die Anforderungen unserer Kunden setzen dies voraus. Besonders Kunden aus dem Finanzsektor unterliegen strengen Regularien. Sie geben die Anforderungen der Aufsichtsbehörden über Vertragsbeziehungen an uns weiter. Die FI-SP setzt diese regulatorischen Anforderungen um und kann damit auch Services für Kunden aus dem regulierten Finanzsektor erbringen.

Was kann im schlimmsten Fall passieren?

Alles, was man aus dem Kino – und leider auch der Realität – kennt.
Ein konkretes Beispiel ist der bereits erwähnte Brand des Rechenzentrums in Frankreich. Einige Unternehmen, die dort ihre Daten speicherten, hatten mit massiven Auswirkungen zu kämpfen. Außerdem sind Unternehmen, Institutionen bis hin zu Städten permanent Cyberangriffen ausgesetzt, die nicht absehbare Schäden anrichten können. Terrorangriffe, Flugzeugabstürze oder Naturkatastrophen erscheinen plakativ – die Flutkatastrophen der vergangenen Wochen und die aktuelle Pandemie zeigen aber, wie schnell diese Szenarien Realität werden können.

In welcher Form hilft nun das BCM? Wie sieht es hinter den Kulissen aus?

Wir arbeiten zurzeit mit vier Arten von Notfallszenarien. Neben dem Ausfall des Rechenzentrums, also auch der IT, ist ein Ausfall des Personals, der Gebäude sowie wichtiger Dienstleister in unseren Notfallplänen definiert. Die aktuelle Pandemie könnte beispielsweise zu einem Ausfall der Mitarbeiterinnen und Mitarbeiter führen, der in der Anzahl, aber auch in der speziellen Kompetenz Einzelner den Betrieb insgesamt gefährdet. Starkregen und andere Einflüsse können auch in nicht katastrophalem Umfang einzelne Gebäude beschädigen, und eine weitere Nutzung unmöglich machen. Das sind nur einige Beispiele, die zeigen, was alles passieren kann.

Es gibt detaillierte Ablauf- und Informationspläne für derartige Notfälle. Zwei Beispiele:

1) Fällt ein Rechenzentrum der FI-SP aus, sind sowohl die Daten als auch die Rechenleistung gesichert. Die in einem anderen Rechenzentrum der FI-SP gespiegelten Daten stehen somit innerhalb kürzester Zeit zur Verfügung.

2) Fällt ein Bürogebäude aus, bestehen detaillierte Konzepte für die Nutzung von Ersatzräumen, die beispielsweise bei Partnern zur Verfügung stehen. Diese können ohne aufwändige weitere Abstimmung bezogen werden. Mit diesen Partnern sind die Nutzungen bereits im Detail vereinbart worden. Im Ernstfall ist hier ein Telefonat ausreichend, um diese Ersatzflächen zeitnah zu beziehen. Unsere Mitarbeiterinnen und Mitarbeiter können zudem mittlerweile alle aus dem Home-Office arbeiten. Eine Maßnahme, die mit Beginn der Pandemie in 2020 umgesetzt wurde. Ähnliche Lösungen haben wir für eine Vielzahl anderer Szenarien erarbeitet.

Unser BCM- und Notfall-Team besteht inzwischen aus einer Vielzahl von Personen, die sich um dieses wichtige Thema kümmern. Regelmäßige Schulungen, Übungen und Notfalltests stellen sicher, dass im Fall der Fälle nicht nur theoretische Konzepte vorhanden, sondern diese allen Teammitgliedern im Detail bekannt sind - und auch funktionieren.

Unser Fazit – „Vorsicht ist besser als Nachsicht“

BCM beziehungsweise die Notfallvorsorge ist ein aktiver und spannender Prozess, um die wesentlichen Personal- und Sach-Ressourcen sowie die Daten der FI-SP im Notfall zu schützen. Dieser Prozess wird immer wieder durchlaufen und fortgeschrieben, denn die Bedrohungsszenarien ändern sich mit den Technologieentwicklungen. Hier heißt es also immer „up to date“ zu bleiben. Besonders Cyberangriffe stellen eine aktuelle Bedrohung dar. Jedes dritte Unternehmen in Deutschland wurde bereits Opfer eines Cyberangriffs. Es kann also jeden treffen. Welche Folgen ein unzureichender Schutz haben kann, ist mittlerweile fast täglich in der Zeitung zu lesen.

Die FI-SP ist hier mit effektiven, ständig aktualisierten Konzepten, vielen praktischen Schulungen sowie einem engagierten Team für den Fall der Fälle gerüstet.