Archiv Datenschutz

    Geschäftskontinuität im Zeitalter des neuartigen Coronavirus

    Q&A mit dem Business-Continuity-Experten Ross Jackson, VP, Organizational Resilience, für Mimecast: was funktioniert gut, was ist schwach, was kommt, was muss überdacht werden.

    by Mike Azzara
    900-getty-woman-in-dark-conf-room.jpg

    Wichtige Punkte

    • Große Unternehmen mit ausgereiften business continuity Plänen und SaaS-Unternehmen im Allgemeinen sind wahrscheinlich besser vorbereitet als die meisten anderen.
    • Aber wahrscheinlich hat niemand in seinem Kontinuitätsplan die monatelange Arbeit der Mitarbeiter von zu Hause aus berücksichtigt.
    • Einige Technologieanbieter unterstützen ihre Kunden - zum Beispiel mit neuen Angeboten, die es ermöglichen, dass das Volumen der Remote-Mitarbeiter die Anzahl der bezahlten VPN-Lizenzen übersteigt.

    Die weltweite Pandemie COVID-19 verursacht sowohl bei Arbeitnehmern als auch bei Unternehmen enorme Sorgen, Stress und Ängste. Das Leben geht weiter, während Millionen von Menschen angewiesen werden, in ihren Häusern zu bleiben, und inmitten der Pandemie müssen Unternehmen versuchen, den Betrieb aufrechtzuerhalten und einen Business-Continuity-Plan umzusetzen, den niemand geplant hat. Je nachdem, wie das Leben wieder aufgenommen wird - ob es zur Normalität zurückkehrt oder eine "neue Normalität" erreicht -, wird dies zum Teil der Geschäftskontinuitätsplanung zu verdanken sein.

    Ich habe mich mit dem Business-Continuity-Experten Ross Jackson, VP, Organizational Resilience bei Mimecast, unterhalten, um herauszufinden, wie widerstandsfähig sich die Weltwirtschaft inmitten dieser beispiellosen Gesundheitskrise bisher gezeigt hat. Hier sind bearbeitete Auszüge:

    MA: Aus Sicht der Geschäftskontinuität scheint die neue Coronavirus-Pandemie so neu zu sein, dass ich mich frage, ob der Geschäftskontinuitätsplan einer Organisation darauf vorbereitet war. Würde der Geschäftskontinuitätsplan eines Unternehmens ein solches Ereignis berücksichtigen?

    RJ: Ich denke, dass es wahrscheinlich nur 15-20 % sind, grob aufgeteilt auf zwei sehr unterschiedliche Arten von Organisationen. Erstens sollten sehr große Organisationen, die über ausgereifte Notfall- und Business-Continuity-Teams verfügen, über Infektionskrankheiten nachgedacht haben. Nicht unbedingt in diesem Ausmaß, aber was wäre, wenn die Masern oder eine örtlich begrenzte Grippeepidemie ein bestimmtes Team in einer Region auslöschen würde? Das sollte Teil ihrer Planung sein. Diese Pläne sollten Antworten auf die Frage enthalten: "Wie teilen wir unsere Aufgaben? Wie stellen wir sicher, dass wir abgedeckt sind?" "Was sind die Probleme bei der Fernarbeit ? Nicht viele Unternehmen werden sich mit der Frage "Was tun wir auf globaler Ebene?" befassen, aber man kann davon ausgehen, dass es auf Teamebene eine gewisse Art von Überlegungen zu Infektionskrankheiten gibt.

    An zweiter Stelle stehen SaaS-Unternehmen aus der neuen Welt. Kleinere SaaS-Unternehmen sind daran gewöhnt, Dienstleistungen virtuell und aus der Ferne zu erbringen, was natürlich zu einer allgemein höheren Resilienzperspektive führt. Sie haben sich wahrscheinlich zumindest Gedanken über die Planung von Infektionskrankheiten gemacht und überlegt, was passieren würde, wenn "mein Team X" vorübergehend ausfällt oder unter Quarantäne gestellt wird.

     

    MA: Wodurch zeichnen sich die Business-Continuity-Pläne dieser Unternehmen aus und tragen sie dazu bei, dass das Geschäft weiterläuft?

    RJ: Die meisten Unternehmen werden natürlich nicht über die Details ihrer Business-Continuity-Pläne öffentlich sprechen, vor allem nicht über die Teile, die letztendlich nicht funktioniert haben. Aber im Großen und Ganzen tun die Leute relativ dasselbe - es gibt eine ganze Reihe von Informationen und Anleitungen zum Coronavirus/COVID-19 aus vertrauenswürdigen Quellen wie der Weltgesundheitsorganisation oder der CDC [US Centers for Disease Control and Prevention]. Die Johns Hopkins Coronavirus Tracking Website wird natürlich von allen bombardiert, und Worldometer's ähnliche Website ist eine sehr nützliche Seite, um die Auswirkungen auf regionaler Ebene zu ergründen.

    Die Teams für die Aufrechterhaltung des Geschäftsbetriebs und die Reaktion auf Zwischenfälle untersuchen diese Standorte, um die möglichen Auswirkungen auf den Geschäftsbetrieb und insbesondere die Gesundheitsrisiken für die Mitarbeiter zu verstehen. Man muss sich auf die Fürsorgepflicht und die Sorge um die Mitarbeiter konzentrieren, natürlich aus menschlicher Sicht, aber auch aus der Perspektive der Geschäftskontinuität, denn das ist wichtiger als die Technologie. Eine effektive Geschäftskontinuität umfasst Backup-, Overflow- und sich wiederholende Technologielösungen. Wenn eine Videokonferenzlösung geschäftskritisch ist und nicht wie gewohnt funktioniert, sollten Sie eine oder mehrere andere Videokonferenz- oder Collaboration-Lösungen bereithalten. Wenn Ihr gesamtes Technik- oder Kundensupportteam nicht verfügbar ist, weil es krank ist, ist das ein viel größeres Problem, da es kein Ersatztechnik- oder Kundensupportteam gibt. Der Schutz der Mitarbeiter ist dann von größter Bedeutung.

    Dann, und das kann ich nicht genug betonen, ist Kommunikation der Schlüssel, wie immer. Die Fülle der Nachrichten und das Unbekannte haben so viel Angst ausgelöst, dass die Menschen zu Recht verängstigt sind. Es gibt zu viele Informationsquellen, von denen einige unzuverlässig sind, und viele Menschen verbreiten Gerüchte. Die Unternehmen müssen dem entgegentreten, zum einen durch häufige und konsistente Unternehmensmitteilungen und zum anderen, indem sie ihre Mitarbeiter auf gute, offizielle Quellen verweisen - sie müssen nicht unbedingt versuchen, die Quelle für ihre Gesundheitsberatung zu sein, sondern ihnen helfen, die offizielle Quelle zu finden. Unternehmensmitteilungen sind besonders wichtig, d. h. konsistente und transparente Mitteilungen aus einer Hand, die die Mitarbeiter an eine Stelle, z. B. eine Intranetseite, verweisen, die ihnen sagt: "So gehen wir vor, so gehen wir vor, das können Sie Ihren Kunden sagen oder Ihren Mitarbeitern mitteilen. Das Business-Continuity-Team ist vielleicht daran gewöhnt, mit dem hohen Druck umzugehen, wenn etwas schief geht, und die Scherben wieder aufzusammeln, aber alle anderen versuchen, herauszufinden, wie sie ihre tägliche Arbeit in einer neuen Umgebung erledigen können, während sie sich Gedanken darüber machen, was mit ihren Kindern oder mit ihren älteren Eltern passiert. Allein die Aufrechterhaltung des Kommunikationsflusses trägt dazu bei, ein gewisses Maß an Vertrauen zu schaffen.

     

    MA: Wie sieht es mit mittelständischen und kleineren Unternehmen aus? Wie halten sie sich in dieser Krise und was ermöglicht es ihnen, sich zu behaupten, wenn sie es tun?

    RJ: Zunächst befolgen sie wie größere Unternehmen die Gesundheitsrichtlinien der WHO und des CDC sowie ihrer regionalen Regierungen, um alles in ihrer Macht Stehende zu tun, um die Gesundheit ihrer Mitarbeiter zu schützen. Danach geht es um die Umstellung auf Fernarbeit. Für einen typischen mittelständischen Kunden von Mimecast bedeutet Geschäftskontinuität wahrscheinlich, dass er sich mit den Herausforderungen auseinandersetzen muss, wer tatsächlich kritisch ist und wer im Büro sein muss. Sie versuchen, ihre Mitarbeiter in die Kategorien 'unternehmenskritisch kann remote arbeiten' und 'unternehmenskritisch kann nicht' einzuteilen. Das ist der Schwerpunkt für kleinere Unternehmen: Es gilt herauszufinden, wer aus welchen Gründen immer noch Zugang zu einem physischen Büro haben muss und wer nicht, und sich auf die richtige Infrastruktur und Sicherheit zu konzentrieren, um bei Bedarf remote arbeiten zu können.

     

    MA: Auf welche Weise haben Sie gesehen, dass bösartige Akteure versuchen, das Coronavirus für ihre Zwecke zu nutzen?

    RJ: Wir sehen Malware Kampagnen, wir sehen gefälschte Lösungen für den Virus, wir sehen direkte Umleitungen, wir sehen Domain-Übernahmen. Es ist eine ganze Menge im Gange. Die Angreifer nutzen die Ängste, die Nerven und den Wunsch der Menschen aus, die neuesten Nachrichten zu sehen. [Weitere Informationen finden Sie unter "Vorsicht vor sich schnell entwickelnden Coronavirus-E-Mail-Phishing-Angriffen."]

     

    MA: Welche neuen Probleme ergeben sich aus dieser massiven und ausgedehnten Fernarbeitssituation für Sicherheitsexperten? Wie müssen sie bei der Gewährleistung der Integrität von Unternehmensnetzen anders denken?

    RJ: Lokale Sicherheit ist eine große Herausforderung. Während viele Menschen an einem oder zwei Tagen in der Woche von zu Hause aus arbeiten, verlangen wir jetzt von Menschen, die normalerweise fünf Tage im Büro sind, dass sie jeden Tag von zu Hause aus arbeiten. Wir wissen nicht, wie sicher ihr WiFi ist oder ob sie überhaupt WPA2 verwenden. Wenn ja, ist es ein sicheres Passwort? Wem haben sie ihr Passwort mitgeteilt, ihren Freunden und Nachbarn? Und dann gibt es noch Probleme, wie z. B. die Tatsache, dass man seinen Laptop unverschlossen lässt, und selbst so etwas Einfaches wie vertrauliche Informationen, die der Mitbewohner nicht sehen sollte; und dann gibt es noch die kleinen Finger der Kinder, die zu Hause sind, wenn die Schulen geschlossen sind. All diese Fernarbeit bringt eine ganze Reihe neuer Sicherheitsprobleme mit sich.

     

    MA: Sind die Unternehmensnetzwerke darauf vorbereitet, dass sich alle Mitarbeiter von zu Hause aus per VPN einloggen können?

    RJ: Einige Unternehmen haben möglicherweise nicht genügend VPN-Benutzerlizenzen, aber das wird durch einige Faktoren gemildert. In einem typischen Unternehmen gibt es viele Mitarbeiter, die reine Online-Produkte nutzen, wie Videokonferenz-Tools und Online-ERP- oder CRM-Lösungen wie Salesforce, Hubspot oder Netsuite. Für 9 von 10 Anwendungen braucht man keine VPNs, man surft einfach im Internet, und schon ist es da. Sie belasten also weder Ihre Büroumgebung noch Ihre Bürohardware oder das VPN-Gerät zusätzlich.

    Wenn Sie auf interne Laufwerke oder Anwendungen zugreifen müssen, müssen Sie sich über VPN wieder in ein Gerät einwählen. In der Regel ist eine Firewall der VPN-Terminator, für den man eine Reihe von Lizenzen erwerben muss. Es gibt jedoch einige Anbieter, und ich glaube, dass weitere folgen werden, die es Unternehmen ermöglichen, automatisch auf eine höhere Stufe zu gehen, als sie bezahlen. Nehmen wir an, Sie sind ein Unternehmen mit 1.000 Arbeitsplätzen und 200 VPN-Lizenzen. SonicWALL zum Beispiel hat gesagt: "Keine Sorge, wir lassen Sie auf eine höhere Stufe aufstocken". Wenn es also zu einem plötzlichen Anstieg kommt, weil alle Mitarbeiter von zu Hause aus arbeiten und auf eine gemeinsame Festplatte zugreifen müssen, können sie trotzdem weiterarbeiten.

     

    MA: Die Technologiebranche kommt also zusammen, um die Geschäftskontinuität aller zu unterstützen?

    RJ: Ja. Wir sehen ein echtes Gefühl von "Wir wissen, was los ist, wir wissen, was ihr durchmacht, und wir werden versuchen, mit euch zusammenzuarbeiten". Das sieht man an der Fähigkeit, die VPN-Lizenz zu nutzen. Oder das Verständnis dafür, dass die Berichterstattung langsamer erfolgen wird, weil man sich mehr darum kümmert, dass die Kernfunktionen verfügbar sind. Man ist sich darüber im Klaren, dass jeder auf die eine oder andere Weise beansprucht wird, und dass man nicht unbedingt die schönen Dinge am Rande erwarten sollte. Konzentrieren wir uns auf den Kern.

     

    MA: Wie sieht es mit der weltweiten Netzbandbreite aus? Wie sieht es damit aus, wenn die gesamte entwickelte Welt in den letzten zwei Wochen auf Fernarbeit umgestellt hat?

    RJ: Die großen Internetanbieter haben sich geäußert und gesagt: Ja, uns geht es gut, wir können das bewältigen, wir haben hier genug Kapazität. Aber schon bald werden wir bei einigen kleineren Anbietern eine Überlastung feststellen. Da immer mehr Menschen im Ausland leben, werden die Internetanbieter anfangen müssen, die Bandbreite zu drosseln. Es wird zu Problemen kommen, bei denen die Videoanrufe etwas abgehackt werden, weil plötzlich die ganze Straße gleichzeitig versucht, einen Videoanruf zu tätigen. Wir haben bereits gesehen, dass YouTube und Netflix die Streaming-Qualität in Europa reduziert haben, um die Bandbreitennutzung zu verringern.

     

    MA: Abgesehen von den 15-20 % der Unternehmen, die aus Sicht der Geschäftskontinuität sehr ausgereift sind, muss der Rest der Geschäftswelt die Geschäftskontinuität nach COVID-19 neu überdenken?

    RJ: Ich denke, dass sie das natürlich tun werden. Die COVID-19-Pandemie wird dazu beitragen, dass Fragen der Geschäftskontinuität stärker in den Vordergrund rücken. Die Leute in Ihrem IT-Team, die sich schon lange nach einer hochverfügbaren Firewall oder einem zweiten Server sehnen, bekommen vielleicht plötzlich etwas mehr Budget. Bis jetzt haben sie sich gefragt: "Wie viel will ich für die Versicherung ausgeben, wenn ich sie nie nutzen werde? Diese Veranstaltung wirft ein Licht genau auf diesen Punkt, und ich denke, dass die Budgets ein wenig geöffnet werden und die Leute anfangen, über ein Tabletopping oder eine vollständige Simulation für einige der Szenarien nachzudenken, die sie jetzt ins Auge gefasst haben.

     

    MA: Wenn wir von fünf oder sechs Monaten sprechen, bevor die Mitarbeiter in ihre Büros zurückkehren können, wie verändert das die Art und Weise, wie Unternehmen über Business Continuity denken?

    RJ: Ich weiß nicht, ob es fünf oder sechs Monate dauern wird, die menschliche Natur kommt uns vorher in die Quere, aber sechs bis acht Wochen sind ein mögliches Szenario, und Sie haben völlig Recht, dass niemand auch nur für sechs Wochen Fernarbeit geplant hat. Alle diese Pläne waren viel kleinerer Natur, etwa eine Woche oder 10 Tage, wie bei einem Unwetter. Wenn Büro X durch einen Terroranschlag oder einen Gasausfall oder was auch immer nicht verfügbar ist, würde man davon ausgehen, dass man in ein verwaltetes Büro umzieht, wo man einfach ein anderes Büro finden kann. Bei diesem Szenario können wir das natürlich nicht tun.

    Es wird also eine umfangreiche Überarbeitung der Pläne erforderlich sein, die auf eine Erweiterung des Plans zur Bekämpfung von Infektionskrankheiten zurückgeht, bei dem es um die Aufrechterhaltung des Geschäftsbetriebs auf Team- oder Abteilungsebene geht, und dann auf ein stadtweites, landesweites oder bundesweites Szenario ausgeweitet wird. Viele Business-Continuity-Pläne müssen überarbeitet werden, wenn wir diese ausgedehnte Krise der öffentlichen Gesundheit durchlaufen.

     

    MA: Richtig. Welches wichtige Thema haben wir noch nicht angeschnitten?

    RJ: Ich denke, die einzige andere Sache aus organisatorischer Sicht ist, sicherzustellen, dass Sie eine funktionsübergreifende Gruppe haben, die sich mit all dem beschäftigt. Setzen Sie sich nicht nur mit einem reinen Business-Continuity-Team zusammen, sondern stellen Sie sicher, dass Sie Leute aus Abteilungen haben, die es nicht gewohnt sind, von zu Hause aus zu arbeiten, also ob es sich um die Finanzabteilung, die Anlagen oder ein Team mit Kundenkontakt handelt, und stellen Sie sicher, dass Sie eine funktionsübergreifende Vertretung haben, damit Sie an das Unternehmen als Ganzes denken und nicht nur an Ihre übliche Business-Continuity-Crew. Aber ansonsten haben wir die wichtigsten Themen zur Geschäftskontinuität angesprochen, die die Mitarbeiter kennen müssen.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang