#24 Risikomanagement & Notfallplanung

[Michael]

Hal­lo und her­zlich willkom­men zu unser­er aktuellen Pod­cast-Folge unser­er users lounge. Heute wieder mit mir am Start ist der René. Moin René, grüß dich.

[René]

Moin Michael, moin in die Runde.

[Michael]

René, wir haben heute das The­ma Risiko­man­age­ment in der Infor­ma­tion­ssicher­heit. Klingt auf dem ersten Schritt glaube ich wilder wie es eigentlich ist. Ich würde heute gerne mit dir ein biss­chen über Daten­schutz, Infor­ma­tion­ssicher­heit, Risiko­man­age­ment und vielle­icht sog­ar durch dich als IT-Profi prak­tis­che Umset­zung und prak­tis­che Reduzierung von IT-Risiken sprechen.

Passt dir das?

[René]

Na klar.

[Michael]

Klingt reg­u­la­torisch, klingt nor­ma­tiv, klingt erst­mal drama­tisch, aber ich glaube, dass man ganz viel davon mit dem gesun­den Men­schen­ver­stand erk­lären und auch beschreiben kann, so dass es wahrschein­lich hof­fentlich viele Zuhör­er einen entsprechen­den Zugang dazu kriegen. Und natür­lich gle­ich vor­weg, Fra­gen, Anre­gun­gen, etc. pp.

Schickt uns gerne eine Nachricht, schreibt unten in die Kom­mentare rein. Wir wür­den uns bei euch melden und das wäre schön, wenn wir ein biss­chen Feed­back kriegen wür­den. René, Risiko­man­age­ment in der Infor­ma­tion­ssicher­heit.

Worum geht es? Was wollen wir betreiben? Wir hat­ten im let­zten Pod­cast ganz kurz das The­ma mit dem IT-Vor­fall bzw.

mit dem Aus­fall von Com­put­er­sys­te­men an Flughafen etc. pp., was durch die Medi­en gegan­gen ist. Wir hat­ten einen ganz leicht­en Anschnitt gemacht schon zum The­ma Risiko­man­age­ment, wo wir gesagt haben, was hät­ten wir getan oder was kön­nte man tun, um irgendwelche Risiken zu betra­cht­en, irgendwelche Risiken zu min­imieren, um halt ein­fach solche Sachen für mich zu ver­hin­dern.

[Michael]

Und das ist auch, glaube ich, schon im Kern das Wichtig­ste, wenn ich ins Risiko­man­age­ment reinge­he oder wenn ich Risiko­man­age­ment Infor­ma­tion­ssicher­heit mache, ist der erste Schritt, den ich immer so machen müsste und ich meinem Unternehmen immer klar mache, ist, schreibt mal auf, was ihr habt und macht euch mal den Risiken bewusst, die ihr über­haupt im Unternehmen habt. Du betreust ja auch viele Unternehmen im Bere­ich IT. Wie geht ihr an dieses The­ma dran?

Werdet ihr das The­ma bei deinen Kun­den ange­sprochen? Macht ihr was in diese Rich­tung? Wie läuft es bei euch ab?

[René]

Sagen wir mal so, es ist eher sel­ten, dass der Kunde uns anspricht. Das muss man ehrlicher­weise sagen. Ja, also es gibt da ver­schiedene Dinge, die man ein biss­chen betra­cht­en muss.

Ein­mal ist es so, das hat­te ich vor, ich glaube, in der vor­let­zten Episode mal genan­nt, bei den Man­aged Ser­vices ist es so, dass wir kri­tis­che Prozesse abfra­gen. Das ist ja auch ein Teil schon der eige­nen Risiko­pla­nung. Das heißt, wenn wir wis­sen, was sind die kri­tis­chen Prozesse, dann kann man darauf einge­hen und schauen, dass man diese also bei Aus­fall möglichst schnell wieder in Betrieb hat, beziehungsweise kom­plett diesen Aus­fall ver­sucht zu ver­hin­dern.

Auch da muss man sich immer klar sein, wie lang ist meine Zeitspanne, die ich wirk­lich auf diese Sys­teme, auf die Prozesse verzicht­en kön­nte. Der ist auch immer völ­lig unter­schiedlich.

[Michael]

Und darüber hin­aus, ja. Das sind aber schon Maß­nah­men, die ihr macht im Auf­trag eines Kun­den, weil der Kunde schon das Risiko für sich erkan­nt hat. Wo ich am Anfang mal raus will, okay, dann weit­er.

[René]

Ja, also es ist ja ganz oft so, grund­sät­zlich, nehmen wir mal an, wir wür­den jet­zt über einen Man­aged Ser­vice sprechen. Dann ist es ja so, der Kunde sagt, okay, wir möcht­en unseren Serv­er, meinetwe­gen über euch ver­wal­ten lassen und ja, kom­plett in eure Hände übergeben. Dann ist es ja so, dass wir für uns ja abwä­gen müssen, welche Prozesse sind denn so kri­tisch.

Dass, wenn es aus­fällt, dass wir darauf entsprechend reagieren oder schon Maß­nah­men in der Tasche haben. So, und das ist halt etwas, das ist dem Kun­den meis­tens so nicht bewusst. Und wenn man sich da hin­set­zt, ist es ganz oft so, ja, ist kein Prob­lem.

Also wir kön­nten einen Tag darauf verzicht­en und dann ja. Aber was macht ihr denn, wenn ihr, ich sag mal, wenn das jet­zt ein großes Unternehmen ist, was jeden Tag wirk­lich viele Rech­nun­gen rauss­chick­en muss, die auch auf diese Zahlun­gen zeit­nah angewiesen sind. Dann ist es ja ein­fach so, wenn man dann mal fragt, so ja, wie lange kannst du denn wirk­lich darauf verzicht­en?

Was würde passieren? Also was wäre das für euch für eine Kon­se­quenz, wenn das eben nicht, also wenn ihr jet­zt wirk­lich einen Tag darauf verzicht­en müsstet. Was würde dann passieren?

Was hat das bei euch für Auswirkun­gen? So, und dann nähert man sich meist so diesen Punkt an, wo man dann sagt, okay, ja, zwei Stun­den kön­nten wir, aber eben nicht den ganzen Tag oder ähn­lich­es. Also da meis­tens ist es dem Kun­den nicht ganz so bewusst.

Und das ist jet­zt wirk­lich nur, das ist jet­zt die reine Risiko­analyse, was zum Beispiel Ser­vices bei uns ange­ht. Und darüber hin­aus bieten wir zum Beispiel noch Not­fallpla­nung. Also das wäre dann möglich, ja, wo man dann bes­timmte Sys­teme durch­leuchtet und sagt, okay, wenn dieser Fall ein­tritt oder dieser Fall, also man durch­läuft da unter­schiedliche Möglichkeit­en des Aus­falls oder der Aus­fal­lur­sache auch und schaut dann eben, wo das höch­ste Risiko ist und sorgt dann dafür, dass man eben für diese Fälle dann eben auch eine mögliche Lösung schon in der Tasche hat.

Das heißt, ich sage mal, der Serv­er fällt aus und dann haben wir als ersten Ansatz eine Reparatur. Keine Ahnung, wenn jet­zt ein Hard­ware-Defekt da ist, dass man eben was aus­tauscht. Okay, das ist ja rel­a­tiv schnell, aber es gibt auch gewisse Prozesse.

Also ich sage mal, wenn jet­zt irgend­wann der Serv­er startet nicht mehr, son­dern ist die erste Analyse Hard­ware. Okay, Hard­ware ist es nicht. Gut, dann ist es vielle­icht irgend­wie entwed­er das Betrieb­ssys­tem oder keine Ahnung irgend­was.

Und das sind so Sachen, daran hangelt man sich dann lang. Also es gibt so einen gewis­sen Leit­faden, der führt einen da durch. Und die Not­fallpla­nung ist tat­säch­lich auch so aufge­baut, dass sie nicht nur von uns durchge­führt wer­den kann, son­dern von jedem x‑bedebigen Dien­stleis­ter, weil also das ist jet­zt keine Schritt-für-Schritt-Anleitung, son­dern ein­fach nur ein Weg, der da aufgezeigt wird, wie man da vor­ange­ht.

Und wenn irgend­wann gibt es so einen Punkt, der dann erre­icht ist, wenn wir diesen Punkt erre­ichen, dann ist es nicht mehr rentabel, also sowohl für den Kun­den den Aus­fall zu tra­gen. Man kön­nte sich ja jet­zt dumm und dus­selig suchen, bis man irgend­wann die Ursache gefun­den hat. Aber irgend­wann gibt es so einen Punkt, wo man sagt, okay, und hier ist jet­zt der Schnitt.

Wenn wir diesen Punkt erre­ichen, dann kommt ein neuer Serv­er, dann wird kom­plett neu aufge­set­zt oder, oder, oder, oder. Also da gibt es ja auch viele Möglichkeit­en. Und all das, das ist eben die Not­fallpla­nung.

Also dass man wirk­lich für gewisse Fälle ein­fach sofort einen Plan in der Hin­ter­hand hat, dass man da drauf reagieren kann. Okay.

[Michael]

Viel Input, viel reinge­wor­fen, viel Teilthe­men. Sor­ry. Teilthe­men, Risiko.

Kein Prob­lem. Viel Teilthe­men, Risiko­man­age­ment. Ich will mal guck­en, ob wir ein biss­chen Ord­nung in das ganze The­ma reinkriegen.

Was wichtig ist und was du auch schon richtig gesagt hast, ist im allerersten Schritt, und das hast du eben ganz gut beige­bracht, wie du gesagt hast, wir sprechen dann mit dem Kun­den, wie lange kannst du wirk­lich darauf verzicht­en und was kann aus­fall­en. Also hier ist ganz wichtig, wenn ich, wenn ich Risiko­man­age­ment betreibe und nen­nen wir es gar nicht Risiko­man­age­ment, reden wir mal vom gesun­den Men­schen­ver­stand, reden wir davon, ich bin ein Geschäfts­führer, ich habe ein Unternehmen, dann muss ich mir schon mal klar sein, was mein Unternehmen macht, das habe ich in der Regel, welche Tools ich dazu brauche und wie lange ich the­o­retisch auf so ein Tool verzicht­en kön­nte, beziehungsweise was ich immer sehr gerne in Unternehmen mache, ist mit Mitar­beit­ern zu reden im Schritt und zu guck­en, was muss denn passieren, dass eure Bude still­ste­ht. Also was muss wirk­lich passieren, damit das Unternehmen ste­ht und nicht mehr arbeits­fähig ist.

Und dann kom­men schon Aus­sagen, entwed­er vom Geschäft­sleit­er oder von Mitar­beit­ern, der sagt, ja, wenn die Pro­duk­tion­s­mas­chine ste­ht vorne, ganz am Anfang die Pro­duk­tion­s­mas­chine einen Aus­fall hat, kön­nen alle nachge­lagerten Prozesse nicht mehr gehen, dann ste­ht die ganze, da ste­ht das ganze Band. Oder jet­zt kommt garantiert immer die Aus­sage, ja, wenn bei uns das Inter­net aus­fällt, kön­nen wir die Mitar­beit­er nach Hause schick­en. Oder wenn der Strom aus­fällt, kön­nen wir heimge­hen.

Oder wenn der Serv­er aus­fällt, das ist dein Beispiel, der Serv­er ste­ht, dann kön­nen wir nicht mehr weit­er arbeit­en. Das heißt, das Wichtig­ste, was man am Anfang machen muss, wenn man einen Ein­stieg kriegen will in das Ganze, man muss sich mal über­legen, was macht mein Unternehmen, was set­ze ich für Geräte und Tech­niken ein, um das zu machen, was mein Unternehmen aus­macht, also Geld zu ver­di­enen. Und was muss passieren, damit ich in meinem Unternehmen nicht mehr hand­lungs­fähig bin.

[Michael]

Das ist so der Ein­stieg. Das ist auch das, was du eben gesagt hast. Und dann, das ist so die erste Auf­nahme der Risiko­er­fas­sung, dass ich mir ein­fach meinen Risiken bewusst werde.

Stro­maus­fall, Net­zw­erkaus­fall, Server­aus­fall, Tele­fon ist weg, also Inter­netverbindung ist weg, Mitar­beit­er sind nicht ver­füg­bar, Mas­chine 1 bleibt ste­hen, what­ev­er. Diese Risiken nehme ich mir auf. Das sind meine Risiken, die ich mir dann in dem ersten Moment erst mal greife und die ich mir bewusst werde.

Und ich finde, das ist ein ganz wichtiger erster Schritt für das gesamte Risiko­man­age­ment und die Basis für alles, was weit­erge­ht. Nur wenn ich meine Risiken kenne, kann ich meine Risiken im näch­sten Schritt bew­erten und behan­deln. Und das ist ja das, was du eben auch gesagt hast, ganz klar.

[René]

Da auch ein gutes Beispiel. Wurde mir mal auf ein­er Schu­lung sel­ber genan­nt. Da ging es tat­säch­lich auch um Not­fallpla­nung.

Da fand ich mal ein Parade­beispiel. Was ist, wenn, du hast jet­zt, keine Ahnung, Strom­net­zan­bi­eter, also Stro­man­bi­eter und er hat sein Strom­netz oder ste­ht irgend­wo ein Mast. Was ist, wenn da jet­zt jemand hin­läuft und da mit dem Ham­mer rein­haut?

Schraubt die Kappe ab und haut da mit dem Ham­mer rein. Oder da schlägt der Blitz ein, oder ich habe Hochwass­er, oder das Ding fällt um, wie auch immer. Was passiert, wenn dieses Ding aus­fällt?

Wie gehen wir da vor? Das ist halt eine reine Not­fallpla­nung. Da passt das ganz gut.

Beispiel fand ich sehr, sehr tre­f­fend. Das kann man halt auf sehr viele Dinge ummünzen. Natür­lich ist das jet­zt auf Worst Case, aber es passt halt sehr gut.

Also dieses Beispiel kann man halt wirk­lich auf alles andere über­tra­gen.

[Michael]

Ich habe als Beispiel immer, und mit dem Beispiel kön­nen wir wegen mir auch gerne uns durch­hangeln durch die ganze Num­mer, Aus­fall Inter­net. Und was muss passen? Also Risiko Inter­net fällt aus.

Was kön­nen die Ursachen sein für einen Aus­fall vom Inter­net? Und dann komme ich sehr schnell. Im näch­sten Step ist, was kön­nen die Ursachen sein, warum etwas aus­fällt, was ich drin­gend erforder­lich brauche?

Und dann gibt es halt, die Telekom ist nicht ver­füg­bar. Voda­fone hat eine Net­zstörung. Da ist auch der typ­is­che Bag­ger an der Straße immer so, dass der Run­ning Gag und der Beispiel bei irgendwelchen Schu­lun­gen, bei irgendwelchen Sem­i­naren, das ist, wenn die Straße aufgeris­sen wird und er reißt das Kabel ab und es ist halt ein­fach nicht mehr ver­füg­bar.

Also ich muss mir klar wer­den, was sind meine Assets, meine Werte im Unternehmen, die schützenswert sind, die ich haben muss, die ich brauche? Was kann dazu führen, dass in meinem Unternehmen diese Werte nicht mehr zur Ver­fü­gung ste­hen bzw. mein Betrieb­sprozess unter­brochen ist?

Und wenn ich das aufge­lis­tet habe, dann set­ze ich mich im näch­sten Schritt klas­sisch Risiko­man­age­ment hin und sage, wie wahrschein­lich ist es, dass das wirk­lich passieren kann und welche Auswirkun­gen hätte das auf mein Unternehmen? Und dann sind in der Regel unter­schiedliche Kat­e­gorien. Also ich sage jet­zt mal Ein­trittswahrschein­lichkeit von sel­ten bis häu­fig und Auswirkun­gen von ger­ing bis katas­trophal, wobei katas­trophal wäre unternehmensge­fährdend, ger­ing wäre es halt mal eine kurze Unter­brechung oder es juckt mich im Prinzip gar nicht, es ist halt da, es kratzt mich nur ganz kurz.

Das muss ich klas­si­fizieren, dass ich ein­fach weiß, ich habe ein Risiko, also ich habe ein Asset, ich habe auf dem Asset ein Risiko und das Risiko, dass das Risiko ein­tritt, hat diese Wahrschein­lichkeit und hätte im Ein­tritt diese Auswirkun­gen und das muss ich mir anguck­en. Und dann habe ich schon Risiko­man­age­ment ganz schön viel gemacht und da bin ich immer noch ganz, ganz weit, da bin ich noch gar nicht in 27, noch nicht in 31.000, noch nicht richtig tief im Risiko­man­age­ment drinne, son­dern da habe ich mir ein­fach nur Gedanken gemacht, was habe ich in meinem Unternehmen, was kann passieren, um gewisse Dinge zum Still­stand zu brin­gen, wie wahrschein­lich ist es und wie weh würde mir das tun als Unternehmen? Und dann habe ich schon ganz, ganz viel gemacht, weil dann habe ich schon die Risikoiden­ti­fizierung und die erste Risikok­las­si­fizierung schon gemacht und erledigt und habe ein sehr trans­par­entes Bild von meinem Unternehmen und von meinen Risiken. Und dann, wenn ich das habe, dann mache ich mir im näch­sten Schritt Gedanken, wie IT-Dien­stleis­ter ins Boot kom­men und wie ich welche Risiken nach unten drücke, um halt eben in einen akzept­ablen Bere­ich reinzukom­men.

[René]

Genau. Was auch oft­mals ein­fach schon ein The­ma ist, nehmen wir mal diese Not­fallpla­nung. Wie ich ger­ade schon gesagt habe, es ist wirk­lich sel­ten so, dass der Kunde auf uns zukommt und sagt, hey, wir müssten mal eine Not­fallpla­nung ange­hen.

Es kommt meist aus dem Gespräch her­aus. Und ich glaube, dass die Not­fallpla­nung an sich, dass man erst mal nieder­schreibt, welche Sys­teme habe ich, wie kri­tisch sind die Prozesse, die da drauf laufen und wie kön­nen wir da über­haupt mit umge­hen, wie lange kön­nen wir?

[René]

Das ist eigentlich schon ein Riesen­punkt.

Also es ist nicht nach­her das Nieder­schreiben, dass wir grund­sät­zlich sagen, okay, dann instal­lierst du den Serv­er neu, dann, keine Ahnung, baust du hier einen Teil neu ein, son­dern es ist meist schon dieser Weg dahin, der ein­fach ein Riesen­schritt ist, sich über­haupt bewusst zu wer­den, wie kri­tisch eigentlich gewisse Sys­teme sind und wie egal vielle­icht andere im Gegen­satz dazu sind. Das ist schon immer ein sehr, sehr großer Schritt und deswe­gen ist es auch wichtig, dass man sich da von außen unter­stützen lässt. Du sagst es ja ger­ade, man muss das erst mal sel­ber irgend­wie nieder­schreiben.

Ich glaube, dass es da ein biss­chen schwierig ist, wenn man sel­ber aus dieser Rich­tung nicht kommt, als IT-Leit­er sich da hinzuset­zen und vielle­icht das zusam­men­zuschreiben. Das ist gar nicht so ein­fach, weil man für sich, es ist ja immer klar, es sind die gle­ichen Sys­teme, man ken­nt die halt, ja und dann macht man hier dies und dann macht man da das und dann läuft das schon wieder. Aber ger­ade wenn von extern dann jemand dabei sitzt und man wirk­lich so die gewis­sen Fra­gen gestellt kriegt, dann wird man schnell darauf stoßen, dass das auch sin­nvoll ist, dass dann noch jemand anders sitzt, weil der das von außen ja auch nochmal anders betra­chtet.

Auch diese Ein­schätzung von, wie kri­tisch das Ganze eigentlich ist und dass man auch mal hin­ter­fragt, wie viele Benutzer sitzen denn dahin­ter, die damit arbeit­en. Es mag sein, dass da manch­mal ein ganz kleines Tool auf dem Serv­er läuft und es ist halt eigentlich nur eine Kleinigkeit. Aber wenn ich dieses Tool nicht hätte, dann kön­nen dahin­ter 100 Leute nicht arbeit­en.

Es sind halt so Sachen, darüber muss man dann auch mal ganz gezielt sprechen. Da ist es wirk­lich gut, wenn man sich jeman­den dazuholt, der eben diese Fra­gen dann auch stellt und auch mal einen Fin­ger in die Wunde legt. Das gehört ein­fach dazu.

[Michael]

Wobei ich gel­ernt habe, jet­zt im Zusam­men­hang mit Infor­ma­tion­ssicher­heit und IT, dass IT-Leit­er sehr wohl sehr genau wis­sen, in der Regel, wo ihre Prob­leme sind. Und der, der sehr genau sagen kann, hier pass auf, der Switch ist seit acht Jahren alt, der Chef gön­nt dem Unternehmen keinen neuen. Oder da unten haben wir eine Fritzbox ste­hen, die ist schon End-of-Life-Cycle.

Oder wenn die Fritzbox da unten zum Ste­hen kommt, haben wir 100 Mitar­beit­er, auf ein­mal kein Inter­net mehr etc. pp. Das heißt, solche IT-Leit­er haben in der Regel schon ein gutes Gefühl dafür, was für Risiken oder was für Gefahren, ich nenne es mal Gefahren, im Unternehmen beste­hen.

Die brauchen aber einen und da bin ich bei dir, wenn die nicht so affin sind für, wie fasse ich was zusam­men, wie bringe ich es auf Papi­er, wie greife ich, wie mache ich es greif­bar. Dann ist das immer ganz gut, wenn die einen Spar­ing-Part­ner an der Hand haben, der ein­fach da reinkommt, gezielte Fra­gen stellt und sie ein­fach so ein biss­chen durch diese Ist-Auf­nahme und durch diese erste Risikobe­w­er­tung ein­fach begleit­et und mit durch­führt. Da bin ich vol­lkom­men bei dir.

[René]

Was auch auf jeden Fall unter­stützend ist, und das ist auch für IT-Leit­er ger­ade sehr unter­stützend, wenn die im Unternehmen, wie du ger­ade sagtest zum Beispiel, der Switch, der ist ja halt jet­zt acht Jahre alt und man gön­nt mir keinen neuen. Ja, da kann das von extern, die Mei­n­ung von extern, die da nochmal mit rein spielt, kann dann natür­lich nochmal unter­stützend sein. Also ist es ja, ver­ste­he mich nicht falsch, wenn man von außen eine Mei­n­ung hört und diese Mei­n­ung sagt, dass in meinem Net­zw­erk etwas geän­dert wer­den muss, dann liegt das nochmal ein biss­chen schw­er.

Das soll nicht heißen, dass der Geschäfts­führer meinetwe­gen nicht auf den IT-Leit­er hört. Darum geht es nicht, son­dern ein­fach, man möchte sich dann, die Blöße ist jet­zt auch falsch. Naja, aber man hört halt auf die externe Mei­n­ung nochmal zusät­zlich und wird der noch eher nachkom­men, als wenn es die Per­son sagt, die in meinem Unternehmen tätig ist.

Das ist schon so. Also das ist so meine Erfahrung.

[Michael]

Ja, genau. Und Schritt weit­er, ich habe meine Risiken erfasst, ich habe das Risiko, also ich habe es iden­ti­fiziert, ich habe es klas­si­fiziert und dann über­lege ich mir Maß­nah­men, wie ich das Risiko nach unten drück­en kann. Und wenn ich davon rede, dass ich Maß­nah­men ergreife, um das Risiko zu reduzieren, ist es in der Regel so, dass ich immer einen Ein­flussfak­tor reduzieren kann.

Also entwed­er sage ich, ich reduziere die Ein­trittswahrschein­lichkeit nach unten oder ich reduziere die Schaden­shöhe nach unten. Dass ich bei­de Fak­toren auf einen Schlag mit­greife, ist sehr sel­ten. Meis­tens konzen­triere ich mich, wenn ich Risiken behan­dle, entwed­er auf die Auswirkung oder auf die Ein­trittswahrschein­lichkeit.

Bleiben wir beim Inter­ne­taus­fall. Wenn ich eine Maß­nahme tre­ffe, zwot­er Rud­er nochmal über 5G etc. pp., dann reduziere ich ja auch nur die Ein­trittswahrschein­lichkeit, dass es passiert und eben nicht die Auswirkung. Wenn es dann trotz­dem noch passiert, ist die Auswirkung trotz­dem noch genau­so schlimm wie vorher auch. Aber die Ein­trittswahrschein­lichkeit durch ein redun­dantes Sys­tem wird halt nochmal nach unten gesenkt, weil ich es halt ein­fach redun­dant unter­wegs habe. Und da, wie gesagt, da greife ich mir, da muss ich mir immer über­legen, wie behan­dle ich das Risiko?

Was mache ich mit dem Risiko? Und da bevorzuge ich immer, und da ist Uso, ich gucke immer, dass ich in allererster Stelle, dass ich tech­nis­che Maß­nah­men ergreifen kann, um das entsprechende Risiko nach unten zu brin­gen. Bleibt beim Server­aus­fall oder nehmen wir mal ein Net­zteil von einem Serv­er, Net­zteil Serv­er raucht ab, dann tre­ffe ich die tech­nis­che Maß­nahme.

Ich habe zwei Net­zteile im Serv­er, der Serv­er arbeit­et mit den redun­dan­ten Net­zteilen. Oder beim Inter­ne­taus­fall, um das The­ma weit­erzunudeln, ich habe halt wirk­lich noch einen zweit­en Rud­er, der unab­hängig über LTE ver­sorgt etc. pp.

da ist, um tech­nisch sich­er zu stellen, dass ich das Risiko min­imiere. Das ist immer der zu bevorzu­gende Weg.

[René]

Ja. Und in den aller­meis­ten Fällen, das muss man auch sagen, reduziert man die Ein­trittswahrschein­lichkeit. Das ist ganz sel­ten, dass man wirk­lich die Auswirkun­gen reduziert, son­dern eher die Wahrschein­lichkeit.

[Michael]

Ja. Und erst, wenn die Mit­tel aus­geschlossen sind oder aus­geschöpft sind, also irgend­wann komme ich an einen Punkt, ich muss halt immer auch, Geschäfts­seite, Wirtschaftlichkeit, ich muss also auch immer Risiko gegen mein Risiko, Appetit abwä­gen, abwä­gen, was kostet das, Nutzen und Kosten.

[Michael]

Und irgend­wann komme ich wahrschein­lich an einen Punkt, wo ich sage, tech­nisch habe ich das getan, was ich tun kon­nte, was sin­nvoll ist, was in Ord­nung ist, was vertret­bar ist.

Ich bin aber damit immer noch nicht hap­py. Und wenn ich an diesem Punkt angekom­men bin, dann greife ich mir es organ­isatorisch und dann kommt ein Not­fall­hand­buch ins Spiel, weil ich dann mit dem Not­fall­hand­buch Risiken organ­isatorisch reduziere, die ich tech­nisch nicht mehr reduzieren möchte oder reduzieren kann. Dann kriege ich sie mit organ­isatorischen Maß­nah­men nochmal ein Stück weit­er nach unten.

Und dann habe ich genau solche Dinge wie das, was du erzählst, da habe ich Not­fall­hand­büch­er, wo ich organ­isatorisch nochmal das Risiko nach unten drücke.

[René]

Genau. Ganz klas­sisch. Und da nimmt man sich natür­lich dann auch nur die Sys­teme, Prozesse, die man vorher als hoch eingestuft hat, so möchte ich es mal sagen.

Also die kri­tis­chsten Sys­teme und Prozesse eigentlich. Da, wo die Wahrschein­lichkeit mit dem höch­sten Impact qua­si ist, das sind die Sys­teme oder Prozesse, die man da eben behan­delt und dann wirk­lich sich durch­hangelt, wie die Maß­nah­men da ausse­hen kön­nen.

[Michael]

Ja, das ist klas­sisch. Du machst ja logis­cher­weise, wir haben ja eben über Risikoiden­ti­fizierung gesprochen, wenn du deine Risiko iden­ti­fiziert hast, dann machst du in der Regel, je nach­dem, was du für eine Matrix nimmst, wie du es ver­wen­d­est. Aber am Ende vom Tag hast du ein Ampel­sys­tem, hast hohe Risiken, hast mit­tlere Risiken, hast geringe Risiken.

Und natür­lich fängst du bei den hohen Risiken an und ver­suchst, die run­terzu­drück­en. Und das sind in der Regel auch am ehesten die, die du in so einem Not­fall­hand­buch abdeckst, weil es halt ein­fach um deine Kern­prozesse geht und um deine Kern­risiken geht. Dass du ein­fach sagst, mit einem Not­fall­hand­buch oder mit einem Not­fallplan tre­ffe ich nochmal organ­isatorische Maß­nah­men, nochmal, was weiß ich, Aus­fallserv­er, Aus­fall irgendwelche Soft­waresys­teme, das eine Tool, was nur auf einem Pro­gramm läuft.

Ich habe einen Kun­den, der hat nur ein iPad zur Ver­fü­gung gestellt von seinem exter­nen Dien­stleis­ter oder von seinem exter­nen Kun­den, für den er arbeit­et. Die haben nur dieses eine iPad, da ist nur eine E‑Mail-Adresse drauf. Ange­blich kann ich die E‑Mail-Adresse nir­gend­wo anders dahin machen.

Da sage ich schon seit Monat­en, was ist denn, wenn das iPad abbraucht? Kön­nt ihr für den Kun­den dann nicht mehr arbeit­en und nicht mehr tätig sein? Kriege ich nur eine Achse zuck­en und kriege gehört, ey, das iPad geht nicht kaputt.

Das sind so die Dinge, die ich abwä­gen muss und das sind so Dinge, die ich als allererstes auch dann organ­isatorisch in so einem Not­fallplan mir greife, was wirk­lich wichtig ist und was ich wirk­lich für mein Unternehmen brauche. Das ist sehr wahrschein­lich in Unternehmen nicht die Funk­tion von der Soft­ware, wo ich Arbeit­szeit­en ein­trage. Das ist wahrschein­lich dann geschenkt.

Wenn das mal aus­fällt eine gewisse Zeit lang, ist mir das rel­a­tiv egal. Das heißt, das ist ein anderes Risiko-Kri­tikalität wie ein Serv­er-Aus­fall oder ein Inter­net-Aus­fall.

[René]

Ja, das kann ja eigentlich alles sein. Also, wie du ger­ade gesagt hast, Inter­net-Aus­fall, da lässt sich ja schnell daran arbeit­en. Was heißt schnell daran arbeit­en?

Aber in den meis­ten Fällen gibt es ja dann eben Smart­phones oder eben einen zweit­en Router oder wie auch immer. Es gibt aber auch so Fälle, die halt sehr, sehr schw­er sind dann zu ver­hin­dern, also wenn es da wirk­lich ein Prob­lem gibt. Land­maschi­nen­her­steller bei uns aus der Ecke, die haben ja auch weltweit Nieder­las­sun­gen.

Und da ist es halt so, dass die von einem Hack­eran­griff betrof­fen waren, der die Tele­fo­nan­lage in Ameri­ka betrof­fen hat. Und dadurch mussten wir selb­st bei uns in der Ecke alle Pro­duk­tio­nen still­gelegt wer­den. Das heißt, da wurde nichts mehr pro­duziert.

Dieser Aus­fall war sehr, sehr teuer, logis­cher­weise. Und ja, da ist es halt so, auch bei sowas, das muss man halt ganz klar mal gegenüber­legen, also da mal wirk­lich in sich gehen und ein­fach mal sagen, okay, wenn das ein­tritt, wie kriegen wir das irgend­wie rel­a­tiv schnell wieder an den Start? Also, wie kann dieser Fehler einge­gren­zt wer­den?

Wie kön­nen wir dann sagen, okay, jet­zt ist klar, das ist meinetwe­gen die Tele­fo­nan­lage gewe­sen, jet­zt kön­nen wir alles wieder online nehmen, wo die Tele­fo­nan­lage bzw. die Sys­teme wer­den noch ges­can­nt. Dann gehen sie langsam wieder ans Netz, damit wir schnell wieder in die Pro­duk­tion kom­men.

Und genau der Weg dahin, das wird halt beschrieben. Und das ist schon nicht ohne. Also, das ist auch nichts, das ist das, was ich vorhin meinte, das ist halt nichts, was man mal eben zusam­men dahin oder eben da zusam­men­schreibt, son­dern was man wirk­lich mit jeman­dem, mit einem guten Gegenüber, der sich in diesem Bere­ich ausken­nt, dann eben deut­lich bess­er funk­tion­iert.

[Michael]

Ja, also du brauchst in jedem Unternehmen, musst du dir zu guten Zeit­en und zu allen funk­tion­ieren­den Zeit­en ein Not­fall­hand­buch in die Ecke leg­en und musst dir Gedanken machen, wie. Was kön­nte passieren? Wie laufen Sys­teme wieder an?

Wer ist ver­ant­wortlich? Was für Maß­nah­men ergreifen wir, wenn es passiert ist? Inter­ne­taus­fall schickt die Leute ins Home­of­fice.

Also, kurz­er Aus­flug, Jahr 2024, dezen­trales Arbeit­en ist in der Regel die IT so aus­gelegt oder die Sache so aus­gelegt, dass du die Mitar­beit­er mal ins Home­of­fice jagen kannst und die da mal im Moment arbeit­en kön­nen.

[Michael]

Server­aus­fälle, du wirst mich vielle­icht gle­ich steini­gen, aber ich bin der Mei­n­ung, je nach­dem, welche Unternehmen du hast, dass Server­aus­fälle immer egaler wer­den in Anführungsstrichen oder immer weniger von der Pri­or­ität sind, weil du viele Serv­er inzwis­chen virtuell hast, nur noch wenige Kun­den oder immer weniger Kun­den den Serv­er wirk­lich physisch im Schrank ste­hen haben, son­dern da geht es immer mehr in Cloud, in andere Sys­teme rein, wo halt diese Risiken nach unten gedrückt wer­den, weil du halt eben tech­nisch Maß­nah­men getrof­fen hast, dass das eben nicht mehr passieren kann. Du kannst mich gle­ich gerne kor­rigieren.

Und das sind alles so Dinge, das muss man sich halt anguck­en und dann muss man für Not­fall­szenar­ien entsprechende Pläne da haben und die muss man dann machen, wenn man die Zeit und die Muße hat, die gescheit zu beschreiben.

[René]

Also, du hast auf jeden Fall recht, klar, das wan­dert alles immer mehr in die Cloud, aber es gibt dur­chaus Soft­ware- oder Anwen­dungs­fälle, die man eben nicht in die Cloud leg­en kann, ein­fach weil die Band­bre­it­en da noch gar nicht da sind. Also, entwed­er gibt es eine schlacke Leitung oder das Sys­tem braucht eben so viel, dass man selb­st mit ein­er 100er Leitung nicht weit kommt. Das gibt es dur­chaus.

Aber du hast natür­lich recht, wenn man jet­zt mal den Durch­schnitt nimmt, dann ist es alleine schon so, dass ich mein Risiko mit jed­er Anwen­dung oder mit jedem Ein­satz teile, den ich aus­lage und natür­lich senke. Ob das jet­zt meine Dateiablage ist, ob das jet­zt, keine Ahnung, eine Soft­ware, die ich jet­zt als Ser­vice nutze, dass ich die aus­lage und so, natür­lich sinkt mein Risiko immer weit­er.

[Michael]

Stopp, ganz kurz, behalte deine Rede. Dein Risiko sinkt in der Ver­füg­barkeit der Dat­en, aber auch nicht wirk­lich, son­dern das Risiko ver­lagert sich. Du hast das Risiko nicht mehr, dass dein Serv­er aus­fällt.

Du hast aber bei Cloud-Dien­stleis­tun­gen und bei SASS-Anbi­etern auch andere Risiken, die du betra­cht­en musst. Ist die DSGVO sichergestellt? Haben die Back­up-Sys­teme dahin­ter?

Passen die Verträge? Also, du hast andere Risiken, die ver­lagern sich. Die gehen nicht weg.

Also, es gibt nicht weniger Risiken, nur weil du in die Cloud gehst, son­dern es gibt andere Risiken, wenn du in die Cloud gehst.

[René]

Ja, das stimmt. Aber der Impact ist dadurch klein­er, weil ich dann nicht mehr… Also, nehmen wir mal an, du hast vorher alles auf einem Serv­er und dann vir­tu­al­isiert und der Serv­er fällt aus, dann ist alles weg.

So, wenn ich jet­zt aber meine ganzen Sys­teme ja aufteile, also ich sag mal, wenn ich Soft­ware als Ser­vice nutze beim Her­steller von der Soft­ware meinetwe­gen, wenn ich meine Dateiablage M365 nutze, wenn ich, keine Ahnung, also die Sachen so aufteile, dann fällt sich alles auf ein­mal aus. Das heißt, mein Risiko-Impact ist viel, viel geringer.

[Michael]

Ja, ist verteilt. Du verteilst die Risikop­unk­te. Du hast keinen zen­tralen Punkt, der richtig wehtut, son­dern du hast mehrere Punk­te, die ein biss­chen wehtun.

[René]

Ja, bis auf die Inter­netleitung, wenn die natür­lich sowohl bei mir im Haus tot ist, als auch per LTE meinetwe­gen. Ja, das ist dann immer noch das gle­iche Prob­lem. Dann ist es, als wenn der Serv­er aus­ge­fall­en wäre.

Aber auch da muss man ja ein­fach sehen, klar, Inter­net kann aus­fall­en, aber dass alle Net­ze und das Inter­net aus­fall­en, das ist ja, also das Risiko ist sehr ger­ing. So muss man es dann ja ein­schätzen. Und klar, die Auswirkun­gen sind immer noch die gle­iche, da hast du recht.

Aber das Risiko, dass das ein­tritt, dieser Fall, das ist ja dann schon mal gesenkt. Ja, das ist richtig. Dass ein einzel­ner Anbi­eter mal offline ist, okay, ja, das ist dur­chaus möglich.

Deswe­gen ja auch bei Cloud-Anbi­etern diese 99,9‑Prozent-Regel. Das heißt, diese 99,9‑Prozent-Verfügbarkeit, die da garantiert sind, bedeutet, dass man auch im Jahr, und da sprechen wir nur von den unge­planten Din­gen, geplante Wartun­gen und so sind da, also die fall­en ja trotz­dem in diese 99,9 Prozent. Also das heißt, es kann dur­chaus sein, dass die Sys­teme mal offline sind oder nicht erre­ich­bar sind, aber da muss man halt, ja, das ist noch mal eine andere Pla­nung, aber grund­sät­zlich, dass es über­all nicht funk­tion­iert.

Und deswe­gen wäre es auch vielle­icht gar nicht so schlau, dann zu sagen, okay, ich lege alle meine Sys­teme an einen Ort, weil es ist das Gle­iche, als wenn ich einen Serv­er bei mir habe. Aber auch das ist ja, wenn wir jet­zt mal das Risiko­man­age­ment oder die Risiko­analyse vom Anfang nehmen, genau das ist ja ein Teil davon.

[René]

Wenn ich vorher einen Serv­er hat­te und ich sage, okay, meine Ver­füg­barkeit soll so und so ausse­hen, dann gehört in diese Pla­nung nach­her auch rein, dass man entwed­er, also dass man in die Cloud aus­lagert und dass man dann die Sys­teme und die einzel­nen Lösun­gen etwas auseinan­derzieht, um das Risiko zu verteilen.

[Michael]

Ja, das ist Risiko­man­age­ment, genau das. Sich das betra­cht­en und sich klar wer­den oder Lösun­gen find­en und Optio­nen find­en, wie ich Risiken, die ich vorher iden­ti­fiziert habe, eben nach unten drück­en kann, wie ich die Auswirkun­gen oder die Antrittswahrschein­lichkeit entsprechend reduziere. Genau.

Und das ist halt nochmal, das ist halt super wichtig für alle Unternehmen und da sollte sich jedes Unternehmen mal wirk­lich einen Moment Zeit nehmen und mal in sich gehen. Das muss kein, wir haben, ich werfe mir ein paar Nor­men um mich, es muss jet­zt echt nicht nach 27.000, 31.000 etc. pp sein mit Maß­nah­men­plan und vor und nach und son­dern ein­fach mal für den Anfang gesun­der Men­schen­ver­stand aufnehmen, was macht mein Unternehmen, was habe ich für Ein­flussfak­toren, was muss passieren, dass mein Unternehmen still ste­ht, was gibt es für Dinge und dann ein­fach mal nieder­schreiben, zusam­men­fassen etc. pp und das Ganze gerne mit einem, der es vielle­icht dann regelmäßig macht, in die Struk­tur rein­brin­gen. Und die Mitar­beit­er befra­gen, auch das ist nochmal so ein Tipp für die Geschäft­sleitung, meis­tens haben die Mitar­beit­er, meis­tens wis­sen die Mitar­beit­er sehr genau, wo die Achilles­ferse ist und was passieren muss, dass der Laden ste­ht, ob es jet­zt, wie du gesagt hast, das eine kleine Pro­gramm ist, was auf dem Serv­er liegt, ob es die vere­inzelte Fritzbox ist oder ob es auch nur die Zweileit­er­ver­tratung ist von der Post­dose zur Fritzbox hin, die irgend­wie über Freiluft liegt oder etc. PP. Es gibt so viele Dinge und es gibt so viel Wis­sen über Risiken im Unternehmen, die die Mitar­beit­er im Kopf haben, das sollte man nutzen als Unternehmen.

[René]

Ja, wichtig bei der Not­fallpla­nung ist ja auch nach­her, also die meis­ten denken dann, okay, dann haben wir alles niedergeschrieben und damit ist es getan. So ist es ja nicht. Also zum einen gehört ganz klar ein Schludung­steil dazu, das heißt die Mitar­beit­er, die im Unternehmen dann in der Regel mit dem Sys­tem arbeit­en, denen am ehesten dann auf­fall­en dürfte, es funk­tion­iert nicht mehr, die müssen klar geschult wer­den, was ist zu tun im Fall der Fälle, die müssen einen Zugriff auf die Not­fallpla­nung haben, die müssen nicht alles sel­ber koor­dinieren kön­nen, aber die brauchen halt einen Zugriff auf diese Not­fallpla­nung, wo dann drin­ste­ht, wen muss ich anrufen im Fall der Fälle und es ist auch so, dass man diesen Worst Case auch durch­spielt, das heißt Serv­er fällt aus, so würde man es mal darstellen, also man würde den Serv­er wirk­lich mal abschal­ten oder den Zugriff darauf nicht mehr gewähren und dann ein­fach mal durch­spie­len, was passiert denn, also funk­tion­ieren meine Abläufe hier oder müssen wir auch daran noch irgend­wie ein biss­chen pfeilen.

Das ist halt auf jeden Fall mit ein Teil der Not­fallpla­nung, also es ist nicht damit getan, ein­fach nur mal eben das niederzuschreiben, es gehört auch genau­so dazu, das immer wieder zu aktu­al­isieren, jede kleine Änderung, also alles, was ich in meinem Net­zw­erk ändere, kann ja an mein­er Not­fallpla­nung und auch an mein­er Risiko­analyse an sich, kann es ja schon große Auswirkun­gen haben, genau und das muss halt auf jeden Fall mal aktuell gehal­ten wer­den und ganz wichtig, wenn so eine Not­fallpla­nung gemacht wird, ist auch wichtig, dass diese zum Beispiel nicht alleine in Teams oder irgend­wo online bere­it­ste­ht, bitte auch aus­ge­druckt, auch wenn wir dig­i­tal­isieren wollen, aber kein Inter­net, keine Not­fallpla­nung, das wäre dann schlecht.

[Michael]

Ja, also das ist ein ganz wichtiger Punkt, den du ange­sprochen hast, grau ist alle The­o­rie, ger­ade so eine Not­fallpla­nung, wenn ich mir das the­o­retisch am Reißbrett mal über­legt habe, am Com­put­er, ich habe es mir wegen dem IT-Dien­stleis­ter noch mal durchge­spielt, ich muss das, wenn ich das the­o­retisch fer­tig habe, ich muss das testen, also ich sollte das testen, funk­tion­iert das, was habe ich mir gedacht für, wenn mal ein Serv­er aus­fällt, klappt das, klap­pen Meldewege, sind die Mitar­beit­er geschult, wis­sen die Mitar­beit­er über­haupt Bescheid, wis­sen die, wo die Tele­fon­num­mer von den Ver­ant­wortlichen hängt, gibt es über­haupt einen, ich kenne Unternehmen, die haben Not­fall­man­ag­er, das sind Leute, die Not­fälle koor­dinieren kön­nen, die dafür, die ste­hen da als Not­fall­rufnum­mer genau da drin­nen, genau­so wie die Wasser­w­erke und Durch­gangsarzt und die Feuer­wehr mit da drin ste­hen, gibt es halt da auch so einen Koor­di­na­tor, der sagt dem Unternehmen, Not­fälle zu mir, ich weiß, was zu tun ist, ich kann anfan­gen zu koor­dinieren, alles das muss ganz klar im Unternehmen kom­mu­niziert, geschult und auch trainiert wer­den, dass es halt ein­fach sitzt, wenn es passiert, weil eins sind wir uns bei allen Din­gen klar, wenn ein Not­fall in Anführungsstrichen wirk­lich passiert, ist jed­er froh, wenn er klare Struk­turen, klare Regeln hat und klare Anweisun­gen hat, nach denen er vorzuge­hen hat, damit das so schnell wie möglich von der Bühne ist. Wenn dann das Kopflose da rum­ren­nen los­ge­ht, ist Chaos größer, wie alles wert ist.

[René]

Das ist das. Ganz oft stellt man sich jet­zt natür­lich so ein biss­chen Büro­be­trieb vor. Das kann ja jed­er Betrieb sein.

Ich weiß ja nicht, wie es jet­zt wirk­lich in den Läden aus­ge­se­hen hat. Ich war nicht dabei, aber ich weiß, dass es ja auch Aus­fälle in den ganz nor­malen Märk­ten gab, also in den Einkauf­s­lä­den. Ich habe da ein Team aus fünf Leuten, die sind IT-fern, bis auf die Kasse, weil die da gar keine Berührungspunk­te mit haben, und sind nor­maler­weise im Kun­den­man­age­ment oder eben auch bei der Waren­be­we­gung.

Woher sollen die denn wis­sen, was sie zu tun haben, wenn die das nie durchge­spielt haben und auch irgend­wie keine Anweisun­gen haben? Das heißt, die sind ja ein­fach schlichtweg völ­lig aufgeschmis­sen, dass sie dann so ein biss­chen panisch wer­den. Das kann ich völ­lig nachvol­lziehen.

Deswe­gen ist es ja umso wichtiger, das durchzus­pie­len.

[Michael]

Genau. Das gibt denen die Sicher­heit. Und was halt auch ist, ist, wenn die wis­sen, was sie tun, ist die Wahrschein­lichkeit, dass sie irgendwelchen groben Sch­aber­nack treiben, aus Unwis­senheit sehr ger­ing.

Was ich damit sagen will, ist, du kannst halt auch, wenn du kopf­los Dinge tust, viele Sachen noch ver­schlim­mern und ver­schlimmbessern.

[René]

Ja, defin­i­tiv. Das auf dem Reißbrett bringt ja auch nie­man­dem was. Also klar, man muss es erst­mal für sich struk­turell irgend­wie dargestellt haben, keine Frage.

Aber es ist ja dur­chaus so, das ist ja das Gle­iche wie beim Back­up. Was bringt es mir, ein Back­up einzuricht­en und zu sagen, ja, haben wir gemacht. In der Pla­nung sieht alles super aus, funk­tion­iert.

Dann ist es so weit, Sys­tem startet nicht mehr, ich brauche mein Back­up und es funk­tion­iert nicht. Was habe ich dann gewon­nen? Also es bringt mir ja nichts, dass ich toll geplant habe.

So was muss man testen und durch­spie­len.

[Michael]

Ganz klar. Und die Schu­lung gehört dazu. Ich über­lege ger­ade, wenn irgend­was aus­fällt. Ich bin ger­ade, hänge ger­ade noch gedanklich bei dein­er Mitar­bei­t­erin an der Kasse, wo sie das Inter­net aus­fällt oder was.

Wenn die auf ein­mal anfängt, irgend­wie kopf­los hin­ten alle Kabel rauszuziehen und son­st irgendwelche Dinge zu tun und irgendwelche Steck­er zu ziehen und Knöpfe zu drück­en, macht die wahrschein­lich mehr noch Schaden und mehr Durcheinan­der, als wenn sie struk­turi­ert ihren Not­fallplan rausholt und sagt, alles klar, unten im Keller ist ein Knopf, den musst du drück­en oder musst du einen Steck­er ziehen und dann ruf bitte den Mann an oder die Per­son an, die leit­et dich durch.

Das ist zehn­mal bess­er und zehn­mal sicher­er.

[René]

Auf jeden Fall. Du, ich hat­te jet­zt, als das mit Crowd­strike war, den Tag, da habe ich mor­gens von einem Bekan­nten eine Rück­frage zu bekom­men. Da wurde ich halt auch gefragt, ja hier, sag mal, was kann das sein bei uns?

Laufen alle Sys­teme nicht? Kon­nte ich nicht beant­worten, weil ich war ja nicht vor Ort. Ich habe es ja alles nicht gese­hen.

Das zeigt ja ganz klar, dass die IT da auch noch nicht Bescheid wusste, woher der Fehler kam, weil son­st hät­ten sie es ja gewusst. Und wie sollen die Mitar­beit­er dann reagieren? Mor­gens begin­nt der Betrieb da und wenn die, was weiß ich, um sieben Uhr fan­gen die an, einzu­pack­en oder pack­en dann die let­zten Sachen irgend­wie, damit sie um acht öff­nen oder was weiß ich, um sechs fan­gen sie an zu pack­en, damit sie um sieben öff­nen, je nach­dem welch­er Laden das ist.

So und dann ste­hen die halt da und dann sind die aufgeschmis­sen und das kann ich völ­lig ver­ste­hen. Wie ich ger­ade gesagt habe, das The­ma ist ihnen ja völ­lig fern. Damit haben die ja nichts zu tun und dann sind die damit so ziem­lich allein­ge­lassen, weil nie jemand mit denen darüber gesprochen hat.

Son­dern wis­sen die nicht, wer ist der Ansprech­part­ner oder son­st was.

Was sollen die denn machen?

Die wollen ja auch nur ihren eige­nen Job erfüllen, aber das kön­nen sie nicht.

[Michael]

Ich wollte es ger­ade sagen, die haben einen Job und der Job ist nicht IT-Admin­is­tra­tion und nicht Not­fall­man­age­ment, son­dern der ihr Job ist, erbringt eine Dien­stleis­tung für das Unternehmen und wenn die hän­gen an dieser Stelle, weil Tech­nik nicht funk­tion­iert oder Dinge nicht das tun, was Dinge tun sollen, dann brauchen die einen Struk­tur­plan und brauchen ein struk­turi­ertes Vorge­hen und Ansprech­part­ner, an die sie sich wen­den kön­nen, um das eben laien­haft durchzus­pie­len.

Ich denke ger­ade an das Beispiel, vielle­icht mag es echt ein saudoofes Beispiel sein, aber im Not­fallmedi­zin Bere­ich gibt es diese IEDs, diese Linede­fib­ril­la­toren. Da musst du auch nichts anderes machen, wie das Gerät ein­schal­ten und der erzählt dir alles, was du tun und lassen musst und führt dich durch das Sys­tem durch. Und ähn­lich sage ich jet­zt ein­fach mal, dass du so einen Ein­stieg hast, einen ganz ein­fachen Ein­stieg, ruf den und den an oder guck dir das und das Stück Papi­er an, da ste­ht ein Flow­chart drauf, da ste­ht was drauf.

Den Ein­stieg, der muss sehr nieder­schwellig sein, um dem Mitar­beit­er die Chance zu geben, kor­rekt zu han­deln, um ihm die Sicher­heit zu geben, um die Angst zu nehmen.

[René]

Genau, also wir machen das bei so einem Not­fallplan. Da ste­hen auch Schritt für Schritt, also jet­zt nicht wie man die Sys­teme wieder­her­stellt, aber es ste­ht Schritt für Schritt drin, wie eben der Vor­gang ist. Wenn jet­zt ein Not­fall auftritt, melde ich bitte da.

Wenn, was weiß ich, das und das passiert, dann melde ich da. Und dann geht das immer so weit­er. Es muss ein­fach ganz, ganz sim­pel sein, dass jemand, der dann zum Beispiel in Panik ver­fällt, wie gesagt, ich kann das nachvol­lziehen, das ist völ­lig nor­mal, dass die Per­son ein­fach dann sagen kann, okay, hier ste­ht Schritt eins, den befolge ich jet­zt, Punkt.

Ich muss mir nichts aus­denken oder so, ich rufe ein­fach da an, da wird mir geholfen entsprechend.

Dann ist alles fein.

[Michael]

Sehr schön. Dann würde ich sagen, ich hoffe, wir haben ein biss­chen Licht ins Dun­kle gebracht zum The­ma Risiko­man­age­ment und Not­fallpla­nung. Vielle­icht auch eben nicht. Vielle­icht war es auch zu viel, wer weiß.

Vielle­icht auch eben nicht. Was uns wichtig ist oder was erst­mal von mein­er Seite, ich mache, glaube ich, mal die Risiko­seite und dann kannst du die Not­fall­seite machen, was mir wichtig ist, vom Risiko­man­age­ment ist, wie schon mehrfach gesagt, man muss sich im Unternehmen darüber im Klaren sein, was im Unternehmen passieren kann und was ich für Risiken im Unternehmen habe und was das für Auswirkun­gen auf mein Unternehmen haben kann.

[Michael]

Dann kann ich, je nach­dem, wenn ich Geschäfts­führer bin, what­ev­er, kann ich immer noch bes­tim­men, welche Risiken gehe ich an, was ist mein Risikoap­petit, was bin ich bere­it als Risiko zu tra­gen, wo sage ich, ich will Maß­nah­men ein­leit­en und dann sollte ich sehr schnell und sehr zügig entsprechende Maß­nah­men organ­isieren und tre­f­fen und im ersten Fall würde ich immer dazu tendieren, tech­nis­che Maß­nah­men zu tre­f­fen, dass kein Men­sch mit involviert ist, son­dern es tech­nisch sichergestellt ist.

Ist das aus­geschöpft oder ich habe keine Möglichkeit, tech­nisch zu tre­f­fen, tre­ffe ich organ­isatorische Maß­nah­men, dass ich in ein­er organ­isatorischen Maß­nahme, wie gehe ich mit was um, was muss ich beacht­en etc. pp., dass ich dann Maß­nah­men tre­ffe, um das Risiko entsprechend zu min­imieren, das ist mir super wichtig und das kann man sehr rudi­men­tär abhan­deln, man kann es aber auch, wenn man in der 27 reinge­ht oder nor­ma­tiv unter­wegs ist, die 9001 fordert auch mal, dass man sich über Risiken und Chan­cengedanken macht, das kann man, wie gesagt, rudi­men­tär machen, man kann aber auch richtig ins Eingemachte und ins Detail reinge­hen und wenn es da mal Fra­gen geben sollte, gerne melden. So, du machst jet­zt die Not­fallpla­nung.

[René]

Ja, das ist ja eigentlich schon sehr ähn­lich. Not­fallpla­nung ist wirk­lich, also von mein­er Seite aus sehr, sehr wichtig, dass, wie du ger­ade schon gesagt hast, dass man sich der Risiken bewusst ist, dass man die kri­tis­chen Sys­teme iden­ti­fiziert und diese halt nach­her auch durch­plant, also die einzel­nen Schritte durch­plant und eben darüber hin­aus, also die Schritte durch­pla­nen gehe ich jet­zt mal nicht ins Detail nochmal, son­dern darüber hin­aus ist für mich ein­fach wirk­lich wichtig, Mitar­beit­er mit ins Boot holen, diese Schulen, denen die Möglichkeit geben, diese Schritte zu verin­ner­lichen und denen auf jeden Fall auch diese Unter­la­gen nochmal bere­itzustellen, dass sie im Not­fall nochmal darauf schauen kön­nen und eben klaren Leit­faden haben, wie dann damit gear­beit­et wer­den kann. Und ich denke, wenn bei­de Punk­te, also sowohl dein Risiko­man­age­ment als auch jet­zt meine Not­fallpla­nung dann vernün­ftig durch, ja ein­mal von hin­ten bis vorne durchge­spielt wur­den, dann ist man da auf ein­er deut­lich sicher­eren Seite und bringt halt auf jeden Fall nicht nur fürs Unternehmen, son­dern auch für alle Mitar­beit­er und alle Beteiligten da auf jeden Fall deut­lich mehr Sicher­heit in ihrem Han­deln auch mit ins Unternehmen.

[Michael]

Ja, beziehungsweise es ver­ringert den Reiz des Neuen, weil wenn man sich den Risiken bewusst ist, ist ja schon mal ein Anfang und wenn man auf dem Schirm hat, bleibt mal kurz bei dem Beispiel von eben, auf dem Schirm hat, das ist das einzige iPad, was ich habe, um mit dem Kun­den zu kom­mu­nizieren und wenn das dann kaputt geht, dann ist das Risiko halt eingetrof­fen, aber ich habe mein Risiko schon gekan­nt. Das ist nicht über­raschend, dass das jet­zt passiert, son­dern mir war die ganze Sache bewusst und ich habe das Risiko, bin das bewusst einge­gan­gen.

Das heißt, wenn ich Risiko­man­age­ment, Not­fall­man­age­ment ein­ständig mache, habe ich weniger Über­raschun­gen im Unternehmen, um es mal ket­zerisch zu sagen.

[René]

Ja, das auf jeden Fall. Ich wollte damit nur ein­fach sagen, nehmen wir mal an, jet­zt die Pla­nung war halt wirk­lich über einen IT-Leit­er, IT-Abteilung, wie auch immer und meine Mitar­beit­er kriegen schon eine Schu­lung und wis­sen dann grund­sät­zlich Bescheid, was da, also wie die Abläufe sind. Dann bringt es den Mitar­beit­ern auf jeden Fall mehr Sicher­heit in ihrem Han­deln und nach­her natür­lich fürs Unternehmen, weil meine Mitar­beit­er entsprechend auch sicher­er sind.

Also das zieht sich dann nach­her durch. Deswe­gen, also für mich ist mal ganz wichtig, dass man die Mitar­beit­er mit rein­nimmt.

[Michael]

Auf jeden Fall.

[René]

Und das dann so Hand in Hand qua­si löst und dass natür­lich alles immer wieder aktu­al­isiert wird. Hat­te ich jet­zt ger­ade noch nicht gesagt, aber das ist auf jeden Fall auch wichtig. Auch so eine Schu­lungs­maß­nahme darf keine ein­ma­lige Geschichte sein.

Mitar­beit­er ver­lassen das Unternehmen, Mitar­beit­er kom­men dazu und da kann es dur­chaus notwendig sein, dass man dieses Spiel, also diese Schu­lung qua­si auch immer mal wieder wieder­holt, um da alle auf dem gle­ichen Stand zu hal­ten.

[Michael]

Sehr schön. Vie­len Dank. Dann sage ich schon mal vie­len lieben Dank fürs Zuhören.

Vie­len Dank an dich, René. Und wir hören uns, ich meine, in 14 Tagen wieder. Und die let­zten Worte sind dir.

Vie­len Dank und tschüss.

[René]

Ja, Michael, war wie immer schön mit dir. In 14 Tagen geht es ja schon wieder weit­er. Und bis dahin gerne auf LinkedIn, Ins­ta, Tik­Tok, bei uns über die Web­site, über alle Por­tale gerne unseren Pod­cast hören, sich unsere Videos anschauen, offen in die Diskus­sion gehen.

Wenn Fra­gen sind, uns gerne anschreiben, bevorzugt auf LinkedIn, würde ich fast behaupten. Und da ist auch egal, ob Michael oder mich, wir tauschen uns dann da schon aus, dass wir euch die passenden Infor­ma­tio­nen geben kön­nen. Und anson­sten würde ich sagen, bis zum näch­sten Mal, alles Gute und schönes Woch­enende.

Tschüss. Tschüss.