A. Akzeptanz des Managements
Es ist unabdingbar, dass die Geschäftsleitung den Business Continuity Plan mitträgt. Dabei ist von entscheidender Bedeutung, dass alle Führungskräfte in das Risikomanagement einbezogen werden. Die Herausforderungen, um die es hier geht, erfordern Entscheidungen, die nicht einfach von einer oder einem IT-Verantwortlichen im Namen des gesamten Unternehmens getroffen werden können. Es handelt sich um fachbezogene Entscheidungen, in die jeder Bereich einbezogen werden muss.
Eine der Voraussetzungen hierfür ist, dass die Expertinnen und Experten einen klaren Kommunikationsstil pflegen. Die IT-Personen müssen in der Lage sein, diese für Laien manchmal etwas zu technischen Begriffe in eine allgemein verständliche Sprache zu übersetzen. Zudem müssen sie plastisch darstellen können, welche Rolle Business Continuity in der Unternehmenskultur spielt, aber auch, wie sie sich auf die einzelnen Bereiche auswirkt. Beispielsweise, indem man regelmässig, etwa einmal jährlich, eine Übung mit einem der im BCP definierten Szenarien durchführt.
Wenn sich die Geschäftsleitung nicht erkennbar und glaubwürdig in diesen Business Continuity Plan einbringt, ist die Gefahr gross, dass die Mitarbeitenden bei den Tests nicht mitziehen.
Eine weitere Herausforderung: die Budgets. Steht die Geschäftsleitung nicht zu 100 Prozent hinter dem BCP, wird sie möglicherweise zögern, die notwendigen Mittel freizugeben.
B. Einbeziehung aller Teams
Die Einbeziehung der Kolleginnen und Kollegen erfolgt auf zwei Ebenen: Einmal über die unerlässliche Kommunikation seitens der Geschäftsleitung und der Führungskräfte und, noch wichtiger, durch ihre Teilnahme an den Übungen. Im Rahmen dieser Übungen soll festgestellt werden, ob die vorgesehenen Incident-Response-Mechanismen wie gewünscht funktionieren, und zwar nicht nur auf Verfahrensebene, sondern auch auf Ebene der Mitarbeitenden. Um echte Verbesserungen zu erzielen und sich die notwendigen Reflexe im Umgang mit diesen Herausforderungen anzutrainieren, müssen die Übungen mindestens einmal jährlich wiederholt werden.
Es ist sehr hilfreich, die Teams mit Präventionstools vertraut zu machen. Derartige Ressourcen sind in Grossmodellen und Rahmenwerken (Frameworks) zur Implementierung angemessener Reaktionen wie dem Cybersecurity Framework des NIST (National Institute of Standards and Technology, USA) enthalten. Es gilt also, diese Elemente bereits vor dem Eintreten einer Krisensituation zu integrieren und die Teams in ihrer Nutzung zu schulen. Mangels praktischer und gedanklicher Vorbereitung ist im Ernstfall die Gefahr gross, dass Personen, die nicht im Umfang mit diesen Tools geschult sind, überstürzt auf ungeeignete Lösungen zurückgreifen.