Cyber-Attacken haben deutsche Unternehmen im Jahr 2015 durchschnittlich 417.000 Euro pro Vorfall gekostet. In diesem Beitrag beschreibt Andreas Deliandreadis die Erfolgschancen von althergebrachten Notfallkommunikationsplänen. Er stellt diese den Kosten von IT-Aus-fällen gegenüber und erläutert, wie Cloud-Technologien Unternehmen bei ihrem „Plan B“ unterstützen. Nur ein geplantes und organisiertes Vorgehen garantiert eine optimale Notfallvorsorge und -bewältigung.

IT- und Betriebszwischenfälle, aber auch strategisch geplante Cyber-Angriffe oder Fälle höherer Gewalt, wie etwa ein überflutetes Büro oder ein Stromausfall, können immense Schäden für Unternehmen anrichten. Zwar lassen sich Störungen im Ablauf oder gar Ausfälle von Geschäftsprozessen nicht vermeiden, doch haben trotz allem Unternehmen die Möglichkeit, die physischen und wirtschaftlichen Konsequenzen sowie die Risiken für die Reputation durch effektive cloudbasierte Notfallvorsorge vorbeugend zu minimieren.

Analoge Schwerter im digitalen Kampf

In einer jüngeren Erhebung des weltweit agierenden Business Continuity Institute (BCI) wurden 467 Teilnehmer in 67 Ländern nach ihren Notfallkommunikationsplänen befragt. Die Umfrage ergab, dass in zahlreichen Organisationen nach wie vor analoge, manuelle oder in eine Richtung verlaufende personenbasierte Lösungen für die Kommunikation in kritischen Situationen angewandt werden. Laut Umfrage verfügen gerade einmal 55 Prozent der Organisationen über eine Notfallkommunikations-Software. 63 Prozent setzen auf Telefonate, 53 Prozent auf Bekanntmachungen auf der Firmen-Website und 83 Prozent auf interne E‑Mails.

Die Erhebung zeigt, dass die Kommunikationspläne der meisten Unternehmen auf IT-Ressourcen aufbauen, wobei gerade diese oft die Ursache für die Krise sein können. Interne E‑Mails sind die gängige Form der Notfallkommunikation. Das Problem hierbei ist: Wenn ein Netzwerk in Mitleidenschaft gezogen wurde, dann ist auch die Möglichkeit des Unternehmens eingeschränkt, Benachrichtigungen per E‑Mail zu versenden. Angesichts der weitaus vielfältigeren und komplexeren Zwischenfälle sowohl betrieblicher als auch notfallbedingter Natur benötigen Organisationen heutzutage Lösungen, die auf eine moderne kritische Kommunikation zugeschnitten sind.

Um die kritische Kommunikation bei Systemausfällen, Betriebsunterbrechungen oder gar einem kompletten Zusammenbruch des Netzwerks zu gewährleisten, muss die Plattform der Organisation für die kritische Kommunikation vom normalen Netzwerk vollständig getrennt sein. Die einzig effektive Möglichkeit, in einer Krise die Kontinuität der Kommunikation zu gewährleisten, ist die Nutzung SaaS-basierter Cloud Tools. Sie bieten die Zuverlässigkeit, die Sicherheit und die Skalierbarkeit, die bei IT-Ausfällen für die Kommunikation mit wichtigen Akteuren unerlässlich sind.

68 Prozent der Befragten, die über keinen Notfallkommunikationsplan ver-fügten, gaben an, sie würden einen Notfallplan erst entwickeln, nachdem ein Ereignis eingetreten sei, das sich auf den Geschäftsbetrieb auswirke. Diese Haltung kann sich als verhängnisvoll erweisen. Laut des Berichts „2015 Cost of Cyber Crime Study: Germany“ (Ponemon Institute, Traverse City, USA) kostete Unternehmen im vergangenen Jahr jede Cyber-Attacke durchschnittlich rund 417.000 Euro. Die Zeit bis zur erfolgreichen Lösung des jeweiligen Problems betrug im Durchschnitt 23 Tage.

Cyber-Angriffe sind für Organisationen aller Größen in zunehmendem Maße an der Tagesordnung. Die Anzahl der Unternehmen, die Distributed-Denial-of-Service-Attacken (DDoS) melden, verdoppelt sich von Jahr zu Jahr. Diese Komplettausfälle haben für Unternehmen in allen Märkten Folgen. E‑Commerce-Anbieter müssen zum Beispiel Umsatzeinbußen, rückläufige Kundenzahlen und negative Auswirkungen auf den Ruf der Marke hinnehmen. Bei produzierenden Unternehmen reduziert sich die Produktivität der Mitarbeiter, es kommt zu Lieferverzögerungen, und die Kunden sind frustriert.

Generell lassen sich die Kosten von IT-Ausfällen zwei wesentlichen Bereichen zuordnen: Produktivitätsverlusten und Umsatzeinbußen. Als Ausgangspunkt für die Berechnung der Gesamtkosten von IT-Ausfällen stellt der amerikanische Hardware-Anbieter North American Systems International (NASI) Unternehmen eine Formel zur Verfügung, mit der sich Verluste quantifizieren lassen. Die Formel zum Produktivitätsverlust resultiert aus einer verringerten Mitarbeiterproduktivität bei IT-Ausfällen. Sie lautet P × E × R × H, wobei P die Anzahl der betroffenen Mitarbeiter bedeutet, E der durchschnittliche Prozentsatz ihrer Beeinträchtigung, R die durchschnittlichen Mitarbeiterkosten pro Stunde und H die Anzahl der Ausfallstunden.

Auch die durch einen IT-Ausfall bedingten Umsatzeinbußen lassen sich berechnen. Die Formel heißt in diesem Fall (GR/TH) × I × H. Bei dieser Berechnung ist GR der Bruttojahresumsatz des Unternehmens, TH die jährliche Gesamtzahl der Geschäftsstunden, I der Grad der Auswirkung in Prozent und H die Anzahl der Ausfallstunden.

Ein praktisches Beispiel: Ein Handelsunternehmen, das 40 Prozent seines Umsatzes online erwirtschaftet und einen Bruttojahresumsatz von rund 1,5 Milliarden Euro erzielt, kann bei einem nur 90-minütigen IT-Ausfall mehr als 100.000 Euro verlieren. Wenn es diesem Einzelhändler gelingt, den Ausfall auf eine Stunde zu reduzieren, indem er eine zuvor eingeführte Notfallkommunikationsplattform aktiviert und die Kommunikation automatisiert, könnte er bei nur einem Zwischenfall über 30.000 Euro sparen.

IT-Ausfälle lösen in der Regel eine Flut an Folgekosten aus, weshalb eine detaillierte Kostenanalyse auch zusätzliche Faktoren wie Mehrkosten aufgrund verspäteter Lieferungen, Überstundenkosten, Verlust von Kunden, zusätzliche Marketingkosten und Auswirkungen auf den Aktienkurs berücksichtigen sollte. Fakt ist: Je länger die IT ausfällt, desto höher ist die Schadenshöhe, die ein Unternehmen durchaus in eine kritische Lage bringen kann.

Eine effektive Kommunikation zur Minimierung der Auswirkungen hängt von zwei wesentlichen Faktoren ab: Die richtige Botschaft muss zum richtigen Empfänger gelangen, und der Empfang der Botschaft und ihre Umsetzung in eine Aktion müssen bestätigt werden. Im Falle einer Cyber-Attacke muss ein Unternehmen interne und externe Nachrichten übermitteln, um den Schaden zu begrenzen. Interne Experten müssen umgehend lokalisiert und über das Problem informiert werden, damit die Situation eingeschätzt werden kann und Sofortmaßnahmen getroffen werden können. Wenn Kunden betroffen sind, müssen sie frühzeitig informiert werden, um das Verbrauchervertrauen und den Ruf der Marke zu schützen.

Eine cloudbasierte SaaS-Plattform bietet einem Unternehmen die Möglichkeit, jeden relevanten Mitarbeiter schnell zu benachrichtigen, unabhängig vom Ausmaß der Auswirkungen auf das interne Netzwerk. Antworten auf die Benachrichtigung können innerhalb von Minuten empfangen werden, und das Unternehmen erfährt, wer für die Lösung eines Problems verfügbar ist und wo diejenigen sich befinden. Wird Verantwortung auf die nächsten erreichbaren Mitarbeiter mit den richtigen Kompetenzen übertragen, lassen sich die Auswirkungen des Problems auf das Unternehmen – seinen Umsatz, seine Produktivität und seinen Ruf – erheblich minimieren.

Mit der Technik entwickelt sich nicht nur die Art ihrer Nutzung, sondern auch ihr Missbrauch. Einheitliche kritische Kommunikation muss sich problemlos anpassen lassen, um zukünftige Krisen effektiv beherrschen zu können. Kunden, Mitarbeiter und Interessenvertreter sind in zunehmendem Maße vernetzt. Unternehmen haben die Möglichkeit, in einer Notsituation Infos an viele Empfänger zu übermitteln, wenn sie vor Eintreten der Krise die richtigen Hilfsmittel bereitstellen.

www.everbridge.com