Solche Schulungen und Notfallpläne sind gut angelegtes Geld, denn in Unternehmen kostet ein einstündiger IT-Ausfall im Durchschnitt knapp 41.000 Euro, wie eine Umfrage des Marktforschungsunternehmens Techconsult unter deutschen Mittelständlern ergab. Laut der Studie kommt dies bei jedem Unternehmen im Schnitt vier Mal im Jahr vor. Nicht immer sind Cyberkriminelle schuld: Mal ist es ein Stromausfall, mal ein Wasserschaden, der die IT angreift.
Genau das verhindern will auch Claus Wahl, IT-Chef der deutschen Niederlassung eines internationalen Bauteileherstellers. In seiner Notfallplanung, die er mit dem Dienstleister IT-On-Net erstellt hat, sind unter anderem Kontaktadressen und Handynummern hinterlegt. Dadurch ist der technische Support für die Software im Kundendienst immer erreichbar – und Wahls Personal kann sich im Ernstfall gegenseitig vertreten. „Deshalb sind in unseren Plänen auch solche Details verzeichnet, wie welche Server in welcher Reihenfolge wieder neu gestartet werden müssen. Ein einziger Fehler kann hier komplette Abstürze verursachen“, sagt Wahl.
Die wenigsten Mittelständler sind so gut vorbereitet. „Wir stellen selbst bei größeren Unternehmen immer wieder fest, dass bei einem IT-Ausfall auch nicht mehr telefoniert werden kann, weil die Telefonanlage meist über das IT-Netz läuft“, sagt Kai Grunwitz, Europachef des japanischen IT-Sicherheitsunternehmens NTT-Security. In vielen Firmen lassen sich zudem selbst die elementaren Anwendungen wie Finanzsoftware, Warenwirtschaft oder Personalwesen nicht über die Smartphones abrufen. Wird der Firmenserver getroffen, geht nach einem Angriff in der gesamten Firma nichts mehr.
Der „Notstand in der Notfallplanung“ bei deutschen Unternehmen, wie Grunwitz es nennt, lasse sich auf drei Ebenen beheben: Zuerst gelte es, umfassende Vorbereitungen für den Tag X zu treffen, wozu nicht nur technische Vorkehrungen gehören, sondern auch organisatorische. So sollte man ein konkretes Krisenteam zusammenstellen und einen Kommunikationsplan festlegen. Zweitens müssen die einzelnen Schritte für den Ernstfall benannt werden. „Zudem ist es wichtig, im Anschluss an einen Krisenfall den Ablauf der Ereignisse zu analysieren“, sagt Grunwitz. Denn erst wenn man nach einem Cyberangriff bespreche, was gut und was schlecht gelaufen sei, lerne ein Unternehmen, wie es sich in Zukunft besser wappnen kann, so der Security-Experte. So habe eine Bank, deren Website einmal gehackt wurde, für den erneuten Fall eine Not-Internetseite außerhalb des Unternehmens aufgelegt. Dadurch sind die wichtigsten Informationen für die Kunden auch weiterhin im Netz zu finden.
Tom Polten, IT-Leiter des Logistikunternehmens Rieck, hat sogar gleich einen Teil seiner gesamten IT auf einem gesonderten Server gespiegelt: „Für uns als international agierendes Unternehmen ist die E-Mail-Kommunikation lebenswichtig, deshalb haben wir diesen Teil der IT an einen Partner ausgelagert“, so Polten. Tritt der Ernstfall ein, würde der IT-Dienstleister Hornetsecurity in wenigen Sekunden ein Notfallsystem zur Verfügung stellen, die Kommunikation bleibt gesichert.
Beim Unternehmen Winkelmann fällt das Fazit des Hackerangriffs zwei Jahre später sogar positiv aus: Der falsche Klick in Polen verursachte letztlich nur einen kleinen Schaden – gab dafür aber den Anstoß dafür, sich mit einem Notfallplan auszustatten.
