Bonusfolge 05: Überleben in der Cyberkrise – Business Continuity Management im Fokus

Lisa Fröhlich: Lisa Fröhlich und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, ich bin Unternehmenssprecherin bei Link11 und es freut mich natürlich total, dass ihr auch heute wieder dabei seid und mit mir in den digitalen Kaninchenbau Cybersecurity steigt. Heute geht es tatsächlich weniger konkrete Cybergefahren oder IT-Sicherheitstechniken, sondern ein Thema, das bei vielen Unternehmen oft im Hintergrund läuft. Aber im Ernstfall bei einem erfolgreichen Cyber-Vorfall über Erfolg oder Scheitern des Unternehmens entscheiden kann, nämlich Business Continuity Management oder kurz BCM. Außerdem werfe ich mit meiner Gästin heute noch einen Blick auf einen grundlegenden, aber oft unterschätzten Baustein im BCM, nämlich die Business Impact Analyse. Warum ist sie gerade für jedes Unternehmen so unverzichtbar, egal ob Start-up oder Konzern? Und noch wichtiger, was können wir tun, typische Fehler zu vermeiden und vor allen Dingen die Ergebnisse einer solchen Business Impact Analyse richtig zu nutzen. Was soll ich sagen? Wir sehen Cyberangriffe jeden Tag, wir sehen Störungen in der Lieferkette, wir sehen natürlich auch Naturkatastrophen und andere Gefahren für Unternehmen tagtäglich. Und umso entscheidender ist es, dass Unternehmen darauf vorbereitet sind. Wie gesagt, wie man sicherstellt, dass der Betrieb weiterläuft, selbst wenn irgendetwas Unerwartetes eintritt, das bespreche ich heute mit meiner Gästin Lea Calmano. Sie unterstützen nämlich Unternehmen dabei, auch in Krisen handlungsfähig zu bleiben. Doch bevor wir jetzt hier spannende Einblicke liefern, Lea, stell dich doch bitte kurz unseren Hörerinnen und Hörern vor.

Lea Calmano: Lea Calmano Sehr gerne. Hallo auch noch mal von meiner Seite. Mein Name ist Lea Calmano. Ich bin Managerin bei Materna im Bereich Informationssicherheitsberatung, also Cyber Security. Und unterstütze, wie du auch schon gesagt hast, insbesondere Unternehmen auch im Bereich Business Continuity Management. Das heißt, eben wirklich auf den Notfall vorzubereiten. Genau, das mache ich hauptberuflich. Ich habe auch noch eine Nebentätigkeit. Da bin ich Dozentin an der FOM Hochschule und lehre da Studierende im Bereich Awareness in Social Engineering. Die studieren Cyber Security Management, was mittlerweile ja wirklich sehr gefragt ist, sowohl im Master als auch im Bachelor. Genau, das rundet so mein Portfolio nochmal ab und auch meine Expertise. Das heißt, es kommt auch immer wieder so bisschen was Neues mit rein, neue Anregungen, ob jetzt von Kundenseite oder eben auch manchmal von den Studierenden und das macht den Berufsalltag so spannend.

Lisa Fröhlich: Lisa Fröhlich Ja super, ich freue mich auf jeden Fall, dass du da bist und dir die Zeit nimmst. Dank dafür. Bevor wir jetzt irgendwie einsteigen, also laut einer Studie von Gartner können Unternehmen, die eine ordentliche und sehr fundierte Business Impact Analyse durchführen, ihre Ausfallzeiten im Krisenfall bis zu 40 Prozent reduzieren. Lea, erklär uns doch mal kurz, was genau ist eine Business Impact Analyse und warum ist sie so wichtig und was hat das im Großen und Ganzen auch mit der Sicherstellung der Geschäftskontinuität zu tun.

Lea Calmano: Lea Calmano Genau, da hast du schon einen ganz wichtigen Punkt genannt, also Business Impact Analyse. Da geht es eben genau darum, die Geschäftskontinuität weiter fortbestehen zu lassen. Was bedeutet das im Konkreten? Man will überhaupt erst mal herausfinden, welche Prozesse braucht denn ein Unternehmen, welche sind wirklich notwendig auch in der Krise, eben weiter Geschäfte führen zu können.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Lea Calmano: Lea Calmano Und klar, wenn man da die einzelnen Experten fragt, dann würde erst bei jeder sagen, sein Prozess ist der wichtigste. Wenn man dann aber wirklich mal konkreter wird und nachfragt, natürlich ist es unangenehm, wenn der eigene Prozess ausfällt, aber am Ende bleiben wirklich noch so ein paar übrig, die wirklich die Geschäftskontinuität widerspiegeln eines Unternehmens. Also das heißt, wenn die ausfallen, auch über einen längeren Zeitraum, dann ist das Unternehmen gefährdet. Und genau die möchte man eben analysieren, eben dann rauszufinden, welche man besonders schützen muss und welche man sich dann auch konzentriert im Notfall. Weil ich kann nun mal nicht alles auf einmal retten. Jeder Mitarbeiter hat nur so viele Kapazitäten und eben in der Krise noch mal weniger. Und deswegen ist es umso wichtiger, eben vorab schon mal zu analysieren, welche sind denn wirklich die kritischen Geschäftsprozesse.

Lisa Fröhlich: Lisa Fröhlich Wenn wir uns das mal sozusagen in der Praxis anschauen oder sozusagen mal, überlegen uns mal ein fiktives Unternehmen, beispielsweise in der Logistikbranche. Die sind ja zum Beispiel ziemlich abhängig von ihren Lieferketten. was würdest du sagen, so eine Business Impact Analyse, die muss aus meiner Perspektive ja auch immer unternehmensspezifisch gemacht werden. Und je nachdem, in welchem Bereich das Unternehmen tätig ist, also unser fiktives Unternehmen aus der Logistikbranche, was wäre denn da so, wenn wir in die Praxis gehen und du hast von den Prozessen gesprochen, die sozusagen unabdingbar sind, damit das Unternehmen weiterläuft im Falle einer Krise. Welche wären das denn zum Beispiel aus deiner Perspektive, wenn wir uns jetzt ein fiktives Logistikunternehmen anschauen?

Lea Calmano: Lea Calmano Ja, absolut. Also am Ende ist es natürlich immer individuell. Es gibt so ein paar Prozesse, wo es schon klar ist, dass die wahrscheinlich wichtig sein werden. In der Logistik ist es eben so was wie der Transport, der Versand. Also das ist ja dieses Kerngeschäft. du sagst es ja selbst, die Lieferkette. Das heißt, man hat auch Abhängigkeiten. In dem Fall eben ja auch wieder vom Kunden, aber dann ...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lea Calmano: Lea Calmano eben auch vom Lieferanten selbst, also das heißt in beide Richtungen. Und genau das gilt es eben in der Business Impact Analyse zu prüfen. Nicht nur die eigenen Prozesse oder den kritischen Prozess, sondern am Ende eben auch vorgelagerte oder auch nachgelagerte Prozesse. Also das heißt, wenn ich einen Prozess als kritisch definiere, kann das eben auch zufolge haben, dass vielleicht der vorgelagerte Prozess dadurch auch kritisch wird, weil ich eben einfach noch Informationen benötige.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lea Calmano: Lea Calmano die genau aus diesem Prozess herauskommen. Und deswegen macht es so eine Business Impact Analyse dann doch etwas komplexer, als es auf den ersten Blick eben erscheint, weil ich das Gesamtpaket eben und den Gesamtüberblick da betrachte.

Lisa Fröhlich: Lisa Fröhlich Also es geht ja im Grunde vor allen Dingen darum, denke ich, dass die Unternehmen resilienter werden im Kern dieser Analyse. ich stelle mir das so vor, dass die Business Impact Analyse so eine Art medizinischer Checkup für Unternehmen ist, die eben zeigt, wo Schwachstellen bestehen, bevor es irgendwie zu einem Herzinfarkt oder Ähnlichem kommt. Ich glaube, und das hast du eben auch gesagt, dass es sozusagen vorgelagerte, nachgelagerte Prozesse gibt, dass vielleicht der kritischste Prozess vielleicht auch gar nicht der ist, den wir sozusagen augenscheinlich als allererstes auf der vorderen Rille haben. wenn wir uns jetzt sozusagen so eine Business Impact Analyse anschauen, würde ich gerne nochmal von dir wissen, was der Unterschied ist, auch zwischen einer Risikoanalyse oder einem Risikomanagement, weil das ist für mich auf den ersten Blick sehr ähnlich, weil natürlich muss jedes Unternehmen immer auch Risiken bewerten, Risiken einordnen, sich auf Risiken vorbereiten. Was ist denn da deiner Meinung nach der größte Unterschied zu so einer klassischen Risikoanalyse beispielsweise?

Lea Calmano: Lea Calmano Genau, also ich meine, das Thema Risikomanagement spielt ja in der gesamten Informationssicherheit immer eine tragende Rolle. Das ist immer Teil eigentlich von allen Prozessen, die man da so angeht, von allen Methodiken, die man anwendet. Und deswegen ist natürlich auch Risikomanagement ein Teil von der Business Impact-Analyse. Und ich bewerte am Ende ein Risiko, ja. Die Bewertungskriterien, die ich nutze, sind eben einfach andere als jetzt in anderen Bereichen. Das ist eigentlich der größte Unterschied.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lea Calmano: Lea Calmano In der Business Impact Analyse überprüfe ich das über einen festgelegten Zeitraum. Auch der ist sehr individuell. Ich kann entweder bei einer Stunde starten oder bei vier Stunden oder acht Stunden und dann eine Unterscheidung machen, wie weit gehe ich, gehe ich bis zu 30 Tagen Ausfall oder sieben, überhaupt erst mal einen Vergleichswert zu schaffen. Das heißt, in dieser Zeitspanne schaue ich dann für den Prozess, wenn er jetzt eine Stunde ausfällt, was hat das für Auswirkungen?

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lea Calmano: Lea Calmano Dann gehe ich wieder in die nächste Zeitspanne in acht Stunden. Was hat das dann für Auswirkungen? Bis es dann irgendwann eben diesen Punkt erreicht, das mal nicht das Untragbarkeitsniveau. Das ist der Punkt, wo ich sage, ab hier ist es für das Unternehmen nicht mehr tragbar, wenn der Prozess ausfällt. Da haben wir eigentlich den Punkt, an den wir ansetzen müssen und wissen dann eben, welche Maßnahmen können wir auch

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lea Calmano: Lea Calmano proaktiv oder auch präventiv einleiten, zu verhindern, dass dieser Prozess ausfällt und dann eben das Reaktive, also was können wir tun, wenn er dann ausgefallen ist. Und genau, das ist eigentlich so der Kern dieser Business Impact Analyse und man kann dann eben noch verschiedene Schadensszenarien eben definieren, aus denen ich das Ganze betrachte. Ein gutes Beispiel ist da finanzielle Betrachtung. Was hat das für ein finanzieller Auswirkungen, wenn der Prozess auswählt? Ich kann aber auch zum Beispiel Image Schaden bewerten, den das haben könnte oder wie meine eigenen Geschäftsprozesse da beeinträchtigt sind oder vielleicht auch die persönliche Unversehrtheit könnte auch ein Thema sein. Genau, also da gibt es eben verschiedene

Lisa Fröhlich: Lisa Fröhlich Mhm, mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, Mhm, klar.

Lea Calmano: Lea Calmano Schadensszenarien, die ich definieren kann. Auch da gibt es wieder einige, die sehr oft vertreten sind, aber ich kann auch meine eigenen hier wieder definieren, weil ich sage, die sind für mein Unternehmen einfach nicht.

Lisa Fröhlich: Lisa Fröhlich Mhm. Jetzt hast du ja sozusagen von der ... Untragbarkeits ... von dem Untragbarkeitsszenario gesprochen. Das ist im Grunde so der Point of No Return. Also, wenn's da bis ... wenn's dahin kommt, dann ist es ja tatsächlich so, dass das Unternehmen ... ich will jetzt nicht sagen, den Bach runtergeht, aber vermutlich schon den Bach runtergegangen ist. Also, weil, ich glaube, jedes Unternehmen hat ja so eine kritische ... eine kritische Phase, oder? Macht man da ...

Lea Calmano: Lea Calmano Genau.

Lisa Fröhlich: Lisa Fröhlich Macht man da so Art Reverse-Engineering? Guckt man sich an, was wäre sozusagen das schlimmstmögliche Szenario, und geht man dann in der Business-Impact-Analyse von diesem schlimmstmöglichen Szenario aus und rechnet das quasi zurück und schaut sich die Prozesse dahingehend an? Oder schaut man sich die Prozesse an und fragt sich, wenn die jetzt ausfallen, wie lange dauert das, bis wir sozusagen den Point-of-No-Return erreicht haben? Wie geht man denn da vor?

Lea Calmano: Lea Calmano Nein, sage ich jetzt mal. Also es sind tatsächlich mehrere Schritte, die wir da eingehen. Als erstes das Untragbarkeitsniveau ist tatsächlich erst mal das, ab dem ich sage, ab hier ist es ein Notfall. Davor ist erst mal ein Incident und es ist auch schwierig und blöd, aber es ist noch nicht an dem Punkt, wo ich jetzt den Notfall ausrufen würde. Aber es bewegt sich dahin. Auch da ergreife ich ja schon Maßnahmen. Also es ist jetzt nicht der Fall, dass da alle stillsitzen und erst mal nichts tun.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lea Calmano: Lea Calmano sondern da ist schon die Stimmung eine andere. wenn halt absehbar ist, dass dieses Untragbarkeitsniveau immer näher rückt, dann rückt auch der Notfall näher. Und ich kann dann eben noch mal höher bewerten, ab hier ist es wirklich so weit, dass das Unternehmen gefährdet ist. dazwischen ist noch eine Spanne. Glück. Weil man reagiert ja auch schon vorher. Man leitet ja vorher schon Maßnahmen ein.

Lisa Fröhlich: Lisa Fröhlich Okay. Ja, ist es klar. Ja, ja. Man dreht nicht Däumchen.

Lea Calmano: Lea Calmano Genau, ja. Und in der Business Impact Analyse ist der erste Schritt tatsächlich erst mal nur zu analysieren, welche Prozesse sind das und in welchem Zeitpunkt werden sie kritisch. Also wirklich mal herauszufinden, in welcher Zeitspanne. Das, was du beschrieben hast, sind genau die Punkte, die danach kommen. Also wenn ich das jetzt bestimmt habe, an jedem Prozess, darunter liegen ja Systeme. Ich meine mittlerweile Unternehmen sind digitalisiert.

Lisa Fröhlich: Lisa Fröhlich Mhm. Okay.

Lea Calmano: Lea Calmano Das heißt dahinter liegen Systeme, die das ganze Jahr am Laufen halten. Und dann muss ich eben da auch wieder überprüfen, welche Ressourcen benötige ich denn für einen Prozess. Das sind einmal Systeme, aber es können auch Personen sein. Also auch hier haben wir vielleicht auch alle schon mal erlebt, wenn eine Person ausfällt und die auf einmal, also dieses Single Point of Failure, also wenn die nicht zu ersetzen ist, dann habe ich auch ein Prozess.

Lisa Fröhlich: Lisa Fröhlich Ja.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lea Calmano: Lea Calmano Da können meine ganzen Systeme funktionieren, aber der Prozess läuft trotzdem nicht, weil diese Person ausgefallen ist. Das heißt, auch da schaue ich schon wieder über einen weiteren Rahmen und überprüfe dann eben, was hat das dann für Anforderungen auch an meine Systeme. wenn jetzt mein Prozess schon nach vier Stunden kritisch wird, dann muss ich ja auch meine Systeme so aufstellen, dass sie eben keinen Ausfall...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, klar.

Lea Calmano: Lea Calmano haben von. Also dann ist schon ein Ausfall von zwei Stunden, geht irgendwann in Richtung dieser vier. Also muss ich dann auch bestimmte Maßnahmen ergreifen, sicherzustellen, dass das gar nicht erst passiert.

Lisa Fröhlich: Lisa Fröhlich Ja, ist, ich sag mal, damit sind wir jetzt auch schon so bisschen in das nächste Thema reingerutscht, dass ich gerne noch mal ein bisschen näher mit dir erläutern würde. Und zwar, wie du schon so schön gesagt hast, damit die Ergebnisse dieser Business Impact Analyse ja auch wertvoll sind und vor allen Dingen sinnvoll und dann auch wirken am Ende des Tages, müssen sie ja in eine strategische Planung überführt werden. Also sozusagen eine Business Kontinuitätsplanung. Wie setzt man denn quasi dieses Wissen, was ich jetzt beispielsweise aus dem Risikomanagement, aus einer Business Impact Analyse sammle, wie setze ich das in eine umfassende quasi BCM-Planung Wie sieht es aus? Welche strategischen Schritte müssen denn Unternehmen oder sollten Unternehmen da gehen, sie eben ein effektives Business Continuity Management haben?

Lea Calmano: Lea Calmano Genau, also was du ansprichst, ist der Business Continuity Plan oder Generalmanagement. Und da geht es eben wirklich darum, das Ganze, man muss sich das vorstellen wie eine Organisation. Das heißt, es bedeutet auch sehr viel Vorbereitung. Die Business Impact Analyse ist auf jeden Fall ein Teil davon. Und dann noch so viel mehr. Also wenn wir weitergehen in diese Systemlandschaft zum Beispiel, dann brauche ich da Notfallpläne. Also wir können dieses Thema wieder hochgefahren werden. Und ich brauche auch eine Definition des Notbetriebes. Also was bedeutet denn für mich überhaupt ein Notbetrieb? Und welche Systeme priorisiere ich? Womit fange ich an? Und wie sind so die Abläufe dann? Und das ist eben genau das. Also das BSI nennt das

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Lea Calmano: Lea Calmano Die AO, die normale Aufbauorganisation und dann eben die BAO, also die besondere Aufbauorganisation, die im besten Fall dann eintritt. Und diese BAO ist eben eigentlich auch wieder organisiert und hat halt Prozesse, die sind nur anders, im Normalfall sind. Und das heißt, am besten bereite ich auch das alles vor. Das heißt, ich mache mir überhaupt erst mal einen Plan.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lea Calmano: Lea Calmano von so einer Hierarchieebene, welche Rollen gibt es denn im Notfall, weil die sind auch unterschiedlich teilweise als im Normalfall. Da müssen auch die Leute schneller agieren. Ich muss die abholen dürfen. Ich brauche eben ganz andere Handlungsbefugnisse auch, als ich die in der normalen Organisation habe.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Ja.

Lisa Fröhlich: Lisa Fröhlich Also ich würde mal sagen, ich glaube tatsächlich, dass so eine Business-Continuity-Planung ja auch oft mit so einer Art Versicherung verglichen wird. Man hofft sie nie zu brauchen, aber wenn der Ernstfall eintritt, rettet sie im Zweifel die Unternehmensexistenz. Ich sag mal, es gibt ja auch besonders regulierte Branchen, wie jetzt beispielsweise im Finanzsektor oder im Gesundheitswesen. Da gibt es sicherlich viel strengere Vorgaben auch zur Kontinuitätsplanung als in anderen Bereichen. Wie ist denn das Verhältnis oder hast du den Eindruck quasi, dass die Unternehmen da branchenweit gut aufgestellt sind oder machst du die Erfahrung, dass da durchaus das ein oder andere Unternehmen noch Nachholbedarf hat?

Lea Calmano: Lea Calmano Ja, also ich meine auch Business Continuity Management ist eben auch etwas, was lebt. Von daher ist es wie immer in der Informationssicherheit, die hundertprozentige Sicherheit gibt es eben einfach nicht. Von daher ist eigentlich jedes Unternehmen wahrscheinlich so, dass es da noch etwas zu verbessern hat, einfach weil es sich auch immer wieder weiterentwickelt, weil es immer wieder Änderungen intern ergeben, wodurch auch mein Notfallplan sich am Ende wieder ändert.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Das heißt aber ja auch, wenn ich da kurz einhaken darf, dass diese Pläne regelmäßig überprüft werden müssen und Notfallpläne und Krisen müssen ja sowieso auch geprobt werden. Da frage ich mich häufig, wie bilden das Unternehmen ab, die jetzt beispielsweise nicht eine Konzernstruktur haben, wo es eine eigene Abteilung mit, sage ich jetzt mal, 50 Mann und 40 Frauen hat, die sich ausschließlich dieses Thema kümmern?

Lea Calmano: Lea Calmano Ja, klar, da spricht sie schon was an, gerade für kleine und mittelständische Unternehmen. Die sind bei solchen Themen oft von Herausforderungen gestellt, weil es erstmal so riesig wirkt und dann die Frage ist, wie sollen wir das überhaupt umsetzen? Aber auch da gibt es eben Möglichkeiten und klar, die haben natürlich jetzt nicht so diese Personenstärke. Aber ich mache mal Beispiel, eine Feuerübung macht auch jedes Unternehmen. Und ähnlich, also für den Brandfall sind wir auch alle vorbereitet. Und ähnlich sollte das eben auch für Business Continuity Management sein. Also am Ende, wenn ich das gut vorbereitet habe, dann dauert auch so eine Übung eben gar nicht mal so ewig lang. Aber es ist eben einfach wichtig, dass jeder Mitarbeiter auch weiß, wieso da sich denn verhalten. Weil ansonsten kommt dieses, hast du bestimmt schon mal gehört, Headless Chicken Mode. Genau.

Lisa Fröhlich: Lisa Fröhlich Mmh, mmh.

Lisa Fröhlich: Lisa Fröhlich Ja, den mag ich sehr, den habe ich hier auch schon zitiert. Den Headless Chicken Mode.

Lea Calmano: Lea Calmano Den wollen wir halt vermeiden. Und wie vermeidest du den? Ja, indem du das trainierst und übst und da auch wirklich jeden Einzelnen mitnimmst. Weil das ist das Spannende. Du kannst das auch auf dem Papier erstmal so gut vorbereitet haben. Wenn du eine Person oder ein Personenkreis erstmal wirklich in eine Krise schickst, dann kommen oft noch ganz andere Dinge dazu.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lea Calmano: Lea Calmano die du vorher überhaupt gar nicht bedacht hast. Und das können so Kleinigkeiten sein. Was ich auch gerne als Beispiel bringe, was die meisten vergessen, ist dieses Thema, haben eine Krise, alle arbeiten jetzt viel länger, aber was ist denn mit Essen? Also, wer organisiert das? Wer besorgt jetzt für alle nachts drei, irgendwas zu essen und zu trinken? Das klingt so banal, aber am Ende ist es gerade in so einer Situation total wichtig, weil die Leute brauchen dann was.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Lea Calmano: Lea Calmano Das macht dann einen Unterschied, weil du deine Leute bei Laune hältst. Dann brauchst du auch jemanden, der genau diese Aufgabe hat.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ich glaube tatsächlich, mein Gefühl ist, ich habe da ja keine sozusagen, Realszenarien vor Augen und ich bin da auch nicht in dem Bereich tätig, aber mein Gefühl ist es, dass Unternehmen zeitweilig auch ein bisschen zu optimistisch sind, was so die Zeit angeht, die es braucht, den Betrieb nach einem Ausfall einmal wieder hochzufahren und überhaupt erst mal sozusagen in in diesen Krisenmodus zu kommen und im Krisenmodus zu agieren und vor allen Dingen reaktionsfähig zu bleiben. Weil eine Krise ist ja nicht das, was wir tagtäglich erleben, sondern wie du sagst, wenn man das übt, dann muss man eben auch diese Kleinigkeiten bedenken, wie die essentielle Bedürfnisversorgung mit Essen etc. pp. meiner Mitarbeitenden, die halt sich bis nachts drei irgendwie die Systeme kümmern und die Recovery, die Wiederherstellung des Ganzen. Jetzt ist es tatsächlich auch so, ich habe ein Krisen-Kommunikations-Seminar gemacht, weil das ist ja mehr so mein Home-Turf, die Kommunikation, und da ging es eben auch exakt solche Übungen. Und die Dozentin hat ein Beispiel von einem größeren Unternehmen geschildert, wo die das wirklich geübt haben und tatsächlich auch vor die Konzernzentrale hier die RTL-Übertragungswagen hingestellt haben. Und die haben natürlich nicht vorhergesagt, ach, übrigens übermorgen machen wir die Übung, sondern die haben die wirklich eiskalt erwischt und das ist ja genau das, was es braucht. So ein Ernstfall, muss geübt werden, aber so, dass auch jeder sich vorstellen kann, es ist ein Ernstfall. Weil wenn ich irgendwie, wie du sagst, das auf dem Papier stehen habe oder vielleicht ein-, zweimal im Jahr den Krisen starb oder die entsprechenden Leute, den Personenkreis, der sich im Zweifel in der Krise die notwendigen Prozesse und Strukturen kümmert, zusammenrufe und die sitzen irgendwie bei einer Pizza zusammen und gehen mal so die Schritte durch, dann wird das ja nicht am Ende des Tages funktionieren. ich glaube tatsächlich, dass häufig auch unterschätzt wird, wie reagiere ich denn selbst in einer Krise und manchmal ist vielleicht derjenige, ein super Teamleader ist, in so einer Situation aber vollkommen überfordert, weil er mit dieser, sag ich jetzt mal, mit dem Unbekannten nicht mich gerne agiert oder? Also hast du da Beispiele oder wenn sozusagen und du unterstützt ja Unternehmen dabei, gerade in Krisen handlungsfähig zu bleiben und gibt es da sozusagen die top drei Fragen, die an dich gerichtet werden, wie sowas gut implementiert wird oder wie sowas am Ende des Tages eben entsprechend gut umgesetzt werden kann oder vertrauen die einfach darauf, dass die Leute das schon hinbekommen.

Lea Calmano: Lea Calmano Na ja, also das, was du gerade angeschaut hast, sind ja eigentlich verschiedene Reife gerade von so einem Business Continuity. Und natürlich, wir darüber sprechen, wenn Unternehmen darüber sprechen, dann wollen die direkt die 100 % Lösung haben. Am besten alle Mitarbeiter reagieren direkt so, wie es gewollt ist, wir haben den perfekten Plan. Nur das ist ja nicht realistisch in der realen Welt. Also das heißt,

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Perfekt. Mhm.

Lea Calmano: Lea Calmano Du fängst eben stückweise an und ganz ehrlich, am Anfang ist auch vielleicht das Ziel, naja, wenn wir da durch unsere Planung, die wir jetzt hier machen, zwei Stunden gewinnen, dann ist das schon viel. Wenn du aber davon ausgehst, also nehmen wir das Beispiel, du bist schon nach vier Stunden, wird der Prozess kritisch. Wenn du zwei Stunden gewonnen hast, ist das ja schon wirklich was. So, und das heißt...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Lea Calmano: Lea Calmano sich am Anfang davon verabschieden, dass die Ziele zu hoch sind. Jede Stunde, die du gewinnst, ist super. Weil der hast du halt wirklich auch wieder die Möglichkeit, zu erreichen. Schon wieder viel herzustellen, irgendwie die Geschäftskontinuität wieder herzustellen. Das heißt, da so ein bisschen den Wind aus dem Segel nehmen und zu sagen, fangt erst mal an, und dann ist das der Reifegrad, der entsteht, wenn du mehr Leute dazuholst, wenn du es besser definiert hast, wenn die Prozesse genauer werden. Und das ist immer so Stück für Stück. Am Anfang fängst du vielleicht wirklich an mit so einer Tabletop-Übung, wo du sagst, na ja, lass uns das erstmal auf dem Papier durchsprechen. Und dadurch ergeben sich ja schon so viele Maßnahmen, die du erstmal umsetzt. Und im nächsten Szenario machst du dann mal so eine kleine...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja. Ja. Mhm.

Lea Calmano: Lea Calmano Übung. Die ist vielleicht am Anfang auch noch angekündigt, aber auch da verspreche ich dir, wir finden da auch noch Möglichkeiten, die Leute aus dem Konzept zu bringen. Das ist ja genau die Idee, die eben mal in so einer Position zu bringen, es vielleicht erstmal unangenehm ist, aber aus der man dann wachsen kann. Und da nimmst du so viel mehr mit, wenn du mal in diese Situation warst. Und am Ende ist es genau das, was wir trainieren, Resilienz.

Lisa Fröhlich: Lisa Fröhlich Hmm...

Lea Calmano: Lea Calmano Weil du kannst nicht jedes einzelne Szenario durchspielen oder kannst du schon, aber am Ende wird es trotzdem immer noch Sachen geben, die unvorhergesehen da reinkommen. Und da wird es eben diese Krisenfestigkeit aufzuweisen und einfach trainiert zu sein, dass du darauf entsprechend agieren kannst. Und genau das machen wir ja. auch in der Business Impact Analyse schon. Wir schauen uns die Sachen an und danach gucken wir uns Ausfall-Szenarien an.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Lea Calmano: Lea Calmano Und dann schaut man eben immer, was könnten wir hier tun? Und dann nimmst du das nächste Ausfallszenario und irgendwann hast du da wie so eine Routine drin. Aha, und was du eigentlich trainierst, ist eben Out-of-the-Box-Denken. In der Krise eine richtige Lösung finden. Und genau darum geht es. Am Ende musst du eben in dem Moment die passende Lösung

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ich finde das sehr spannend, weil Resilienz bedeutet ja nicht, das Bekannte vorbereitet zu sein, sondern eben auf das Unerwartete. Und dass eben auch vor allen Dingen, wie du gesagt hast, dass ja mit jeder Krise deine Resilienz auch gestärkt wird. im Zweifel, glaube ich, muss sich jeder Unternehmenslenker auch überlegen, abgesehen von irgendwelchen Positionen, ich im Unternehmen bereits besetzt habe, gibt es ja vielleicht auch Leute, die in Krisen besonders gut agieren, die ja vielleicht gar nicht im täglichen Doing auffallen. Also es geht ja auch darum zu gucken, ähm, wen könnte ich denn beispielsweise in so einen Krisenstab setzen, der vielleicht nicht den besonderen XY-Titel hat, sondern jemand, der handfest, pragmatisch, krisensicher und vor allen Dingen stressresistent ...

Lea Calmano: Lea Calmano Gute Nacht.

Lisa Fröhlich: Lisa Fröhlich da agieren und irgendwie die Prozesse wieder zum Laufen bekommt oder eben sich die anderen kümmert, dass die die Prozesse zum Laufen kriegen. Und ich finde das ziemlich spannend, weil ich glaube, dass das am Ende des Tages macht es schon viel aus, wie du gesagt hast, da einen gewissen Reifegrad zu erreichen. Natürlich hat vermutlich jedes Unternehmen, wie du sagst, die Erwartung, hey, wir machen irgendwie zwei Trainings und dann zack, haben wir den Reifegrad 100 plus X. Aber am Ende des Tages ist es ja wichtig, du sagst, mal anzufangen und sich auch mal hinzusetzen und einfach auch mal die Krise auf dem Papier durchzuspielen und zu sagen, okay, was könnte uns denn im schlimmsten Fall passieren?

Lea Calmano: Lea Calmano In der Max können wir gerne mal ein Praxisbeispiel machen, was wir alle kennen. Für eine Krise Covid, also die Corona-Krise von E.V. Ich glaube, die wenigsten Unternehmen waren damals darauf vorbereitet, mittlerweile vielleicht mehr. Aber auch wenn wir uns das als Privatperson überlegen, ich meine, wir haben das alle durchlebt. Was würden wir diesmal anders machen? Stellen wir uns vor, es würde noch mal passieren, wir wären alle besser vorbereitet, weil wir das einfach schon mal durchlebt haben und diese Erfahrung mitnehmen und dann anwenden.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, das glaub ich auch.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Lisa Fröhlich: Lisa Fröhlich Ja, ich finde das auch extrem, extrem wichtig, wie du sagst. meine, aber ich finde jetzt, wenn wir bei dem Beispiel Covid bleiben, so eine weltweite Pandemie, also ich weiß nicht, ob selbst der beste Risikomanager so was jemals auf seinem Papier stehen hatte. Also natürlich, ich sag mal so, die in bestimmten, ich habe jetzt auch

Lea Calmano: Lea Calmano Wir sind die Außenmauer.

Lisa Fröhlich: Lisa Fröhlich Ich war letztes Jahr auf einer Veranstaltung, da ging es auch das Thema Sicherheit. Da war ein Vortragener vom Bundesnachrichtendienst. Als ich dem zugehört habe, habe ich gedacht, die Welt liegt noch nicht ganz in Schutt und Asche. Aber man hat ja gefühlt wirklich den Eindruck, alle ...alle Tage kommt irgendeine andere schlechte Nachricht aus irgendeiner Ecke, sei es jetzt aus dem Osten, aus dem Norden, aus dem Süden, aus dem Westen. Also das ist ja gerade auch wirklich eine Zeit, der vielleicht auch gerade weil wir noch irgendwie so Post-Covid-Auswirkungen haben, sei es jetzt wirtschaftlicher Art oder überhaupt gesellschaftlich, sozialer, politischer Art, glaube ich einfach, dass es immer wichtiger wird, auch auf Krisen, die wir jetzt noch gar nicht auf dem Schirm haben, vorzubereiten, auch wenn sie vermeintlich super unrealistisch klingen. Und es wäre jetzt hier kein IT-Security-Podcast, wenn wir zum Schluss nicht zumindest mal einen kurzen Blick auf eine der potentiellen Krisen, nämlich Cyberbetrohungen oder Cyber-Vorfälle, werfen würden. Also tatsächlich sind Cyberangriffe ja inzwischen so alltäglich, dass quasi gefühlt jede Sekunde irgendwo auf der Welt ein Unternehmen angegriffen wird. 2023, glaube ich, lag der Schaden durch Cyberkriminalität global über 8 Billionen US-Dollar. Also das sind ja Zahlen, haben so viele Nullen, das kriegt man schon kaum mehr in irgendwie eine Excel-Spalte. Und wenn du jetzt sozusagen mit Blick auf Business-Continuität dir nochmal so dieses Thema Cyberangriffe und am Ende steht ja immer die Frage, wie schaffen wir es, dass ein Unternehmen widerstandsfähiger ist, egal welche Krise kommt. Was wäre denn von deiner Seite die wichtigste Botschaft, die unsere Zuhörer und Zuhörerinnen mitnehmen sollten, wenn wir so einen Blick speziell mal auf Cyberangriffe werfen?

Lea Calmano: Lea Calmano Ja, also ich mein, gerade Cyberangriffe, auch da gibt es ja wieder Unterschiede, ob das jetzt Ransomware ist, das heißt, wo verschlüsselt wird oder Advanced Persistent Threat, wo jemand eben viel länger auch schon im Unternehmensnetz weg ist und erstmal Informationen sammelt. Also das heißt, was ist überhaupt so das Ziel der Angreifer oder ob es eben über Phishing geht, was mittlerweile ja fast tagtäglich passiert, diese Phishing-Angriffe. Und auch da ist eben das Thema wieder sich darauf

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lea Calmano: Lea Calmano Einzustellen, also Risikomanagement zu schauen, wo sind Angriffspunkte, wo hat mein Unternehmen vielleicht auch Schwachstellen und die eben erstmal zu kennen und dann Maßnahmen zu ergreifen, sich zu schützen. Und da zählt eben am Ende auch wirklich jeder einzelne dazu. Also wir hatten es ja eben schon mal Übungen, aber eben auch wirklich da einfach so eine Awareness schaffen im Unternehmen, dafür, dass eben kein Unternehmen dafür 100 % geschützt ist davor. Und dass da jeder Einzelne auch gefragt ist, eben auch zu melden, wenn er was Merkwürdiges sieht. Am Ende geht es ja auch darum. Klar, man hat auch ganz viel Technik dahinter liegen, die das alles analysiert und einem da Alerts schickt. Aber trotzdem, auch bei so physischen Angriffen zum Beispiel, geht es darum, dass der Mitarbeiter erkennt, dass da etwas nicht so ganz richtig läuft.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lea Calmano: Lea Calmano Und das ist eigentlich am wichtigsten, dass man da aufmerksam bleibt, Dinge auch mal einfach hinterfragt und vor allem da keine Angst vorhat, eben blöde Fragen zu stellen. Also ich sag das auch lieber immer, es ist auch ein Thema der Unternehmenskultur, aber am Ende ist eben viel wichtiger, dass der Mitarbeiter sich da eben sicher fühlt und was melden kann, auch wenn er es irgendwie neun von zehnmal vielleicht nichts ist, aber das eine Mal wo er richtig lag, eben so viel wichtiger. Und da eben auch zu bestärken und das zu unterstützen, das ist eben ganz wichtig und ist eben auch ein Teil der Resilienz.

Lisa Fröhlich: Lisa Fröhlich Ja, das stimmt. finde ich, ein schöner Rausschmeißer aus unserer heutigen Folge. Vielen Dank, Lea, dass du da warst. Also Resilienz ist definitiv kein Zustand, sondern eher ein kontinuierlicher Prozess. Und es ist enorm wichtig, dass man eben auch die Mitarbeitenden als Teil des großen Impact-Szenarios betrachtet. Weil, wie du schon sagtest, das eine Mal, wo der Mitarbeiter was meldet, was vielleicht hätte gefährlich werden können, das ist auf jeden Fall zehnmal wichtiger als die neunmal, die es vielleicht falsch Alarm war. in diesem Sinne bleibt mir wie immer an dieser Stelle nur zu sagen da draußen, wenn euch der Podcast gefallen hat, lasst mir gerne ein Like da oder abonniert das weiße Kaninchen und an dieser Stelle geht wie immer ein Keep Come Get Protected an euch raus und wir hören uns beim nächsten Mal. Vielen Dank Lea, dass du da warst. Bis dann. Tschüss.

Lea Calmano: Lea Calmano Tschüss!