CIO 063 – Business Continuity Management mit IT-Management Fokus – Interview mit Robert Osten

Robert Osten

Zum Thema Business Continuity Management und insbesondere (IT-)Notfall- und Krisenmanagement spricht Petra Koch mit Robert Osten, Geschäftsführer der IUGITAS GmbH. Robert Osten hat 20 Jahre Erfahrung im Katastrophenschutz, war IT-Leiter und berät heute Unternehmen rund um Themen des (IT-)Notfall- und Krisenmanagements.

Folgende Aspekte werden in der Podcast-Folge besprochen:

  • Grundlagen zum Business Continuity Management (BCM) (00:00)
  • Ziele des Business Continuity Managements (00:00)
  • Beispiele von IT-Notfall- und Krisenszenarien (00:00)
  • Präventionsmaßnahmen und Reaktionsmuster bei Notfall- und Krisenszenarien (00:00)
  • Vorgehen bei der Einführung bzw. Optimierung des Business Continuity Managements (00:00)
  • Lessons Learned aus der aktuellen Lage hinsichtlich Krisenstabsarbeit (00:00)
  • Einen Tipp für CIOs und IT-Manager zum Thema (IT-)Notfall- und Krisenmanagement – BCM (00:00)

Robert Osten ist Geschäftsführer der IUGITAS GmbH und Experte für (IT-)Notfall- und Krisenmanagement und unternehmerische Resilienz. Er und sein Team beraten kleine und große Mittelständler bis zu DAX Konzernen in allen Branchen, von Luftfahrt über Produktion über Banken, Dienstleister und Versicherungen bis zu Energieversorgern und Krankenhäusern und andere kritischen Infrastrukturen zu diesen Themen.

Sein Leitspruch ist:

„Wenn Sie denken Notfallvorsorge ist teuer, dann versuchen Sie es mal mit dem Notfall“

Robert Osten

Robert Osten ist Diplom Wirtschaftsinformatiker und hat an der Fachhochschule der Wirtschaft in Bergisch Gladbach studiert. Er war zunächst ab 2008 IT Berater für gewachsene Mittelständler und Konzerne in Transformations- und Digitalisierungsprojekten. Ebenfalls beriet er diese Unternehmen im IT Service Management und IT Notfallmanagement, da Wichtigkeit der IT in Unternehmensnotfallprozessen erkannt wurde.

Anschließend war er von 2014 bis 2018 als IT Leiter eines großes Automotive Dienstleisters mit 12.000 MA an 120 Standorten in 21 Ländern aktiv bevor er sich 2018 mit der IUGITAS GmbH selbstständig gemacht hat. 

Robert Osten hat 20 Jahre Erfahrung im Katastrophenschutz, zu Beginn im Rettungsdienst zur Finanzierung des Studiums, dann im ehrenamtlichen Bevölkerungsschutz mit diversen Führungsausbildungen und dort ist er nach wie vor als Führungskraft und Ausbilder ehrenamtlich tätig. In diesem Rahmen war er u.a. Einsatzabschnittsleiter bei Loveparade in Duisburg, der Hochwasserkatastrophe in Ostdeutschland und ist regelmäßig Einsatzleiter bei Großveranstaltungen.

Freuen Sie sich auf ein spannendes Interview. Wir freuen uns auf Ihre Kommentare zum Interview, diskutieren Sie mit.

Transkript des Interviews zum Nachlesen

  1. Petra Koch:

    Hallo Robert, schön, dass du da bist!

    00:02:48.4

  2. Robert Osten:

    Hallo Petra, vielen Dank für die Einladung.

    00:02:50.2

  3. Petra Koch:

    Gerne. Was ist Business Continuity Management und was sind die Aspekte, die die IT-Organisation insbesondere betreffen?

    00:02:57.9

  4. Robert Osten:

    Oh, das ist eine sehr umfassende Frage direkt für den Einstieg. Also Business Continuity Management, wenn man es wörtlich übersetzen würde, geht es um Geschäftsfortführung. Also was muss ich im Unternehmen tun, damit mein Geschäft möglichst am Laufen bleibt? Im Deutschen geht man da so ein Schrittchen weiter und übersetzt das meistens mit Notfall- und Krisenmanagement. Man merkt, das ist keine wörtliche Übersetzung, aber man spricht so ein bisschen mehr über die Themen, wie gehe ich denn eigentlich in meinem Geschäft oder mit meinem Geschäft damit um, wenn mal was schiefläuft? Notfall und Krise eben. Und letztendlich ist Business Continuity Management, was natürlich auch ein unfassbar toller Zungenbrecher ist, was man nachher in einem Business Continuity Managementsystem eben auch überführt, im Prinzip alle Fragestellungen rund herum, wie ich ein Unternehmen überhaupt erstmal fit mache, resilient mache, robust mache, um mit widrigen äußeren Einflüssen und inneren Einflüssen umzugehen und den Geschäftsbetrieb am Laufen zu halten.

    00:03:59.3

  5. Petra Koch:

    Hast du da so ein paar Eckdaten, wo man sagt, das hat eigentlich so ein Business Continuity Management auf jeden Fall oder sind so Eckpfeiler oder Bausteine, die das auf jeden Fall beinhaltet?

    00:04:09.7

  6. Robert Osten:

    Also erstmal muss so ein Business Continuity Managementsystem in einem Unternehmen natürlich etabliert werden. Also irgendwann muss mal jemand an möglichst hoher Stelle sagen und verstehen, wir brauchen so etwas, um die entsprechenden Ressourcen und Möglichkeiten Unternehmen auch freizugeben. So, was gibt’s dann? Meistens eine sogenannte Leitlinie, wo man erklärt, was wollen wir eigentlich mit unserem Business Continuity Management erreichen, wofür ist das gut? Und natürlich auch so ein bisschen den Business Case, was haben wir eigentlich als Unternehmen davon? Der erste Schritt, den man dann meistens macht, wenn man relativ auf der grünen Wiese anfängt, ist, dass man eine sogenannte Business Impact Analyse durchführt. Das heißt, es ist so ein bisschen eine Erweiterung zum klassischen Risikomanagement, wo man letztendlich erst mal nur davon, sag ich mal, der kleinste gemeinsame Nenner Risikomanagement ist immer Eintrittswahrscheinlichkeit x Schadenshöhe. Ich glaube, das hat jeder mal irgendwo auch im Projektmanagement-Umfeld gehört.

    00:05:04.3

  7. Petra Koch:

    Ja.

    00:05:04.5

  8. Robert Osten:

    Im Business Continuity Management geht man noch so ein Stückchen weiter und überlegt eben auch: Was sind eigentlich meine tolerablen Ausfallzeiten? Gibt es Prozesse, gibt es IT-Systeme, die auch einfach mal eine ganze Zeit ausfallen können, ohne dass dem Unternehmen überhaupt irgendwas Großes passiert? Also der Drucker, auf dem ich meine Weihnachtskarten drucke, fällt im Februar aus, da habe ich erst mal relativ lange Zeit das wiederherzustellen, muss also nicht die Krise ausrufen. Es sei denn, ich bin vielleicht eine Druckerei für Weihnachtskarten, die das gegenläufig im Jahr schon irgendwie machen.

    00:05:37.1

  9. Petra Koch:

    Eher unwahrscheinlich dann, aber …

    00:05:39.5

  10. Robert Osten:

    Genau, aber diese Betrachtung ist immer da. Also gerade Drucker, es gibt ja den und den. Wir haben ein Unternehmen beraten aus der Automobilwirtschaft, die hatten zum Beispiel Drucker, die ganz normalen Office-Drucker, wo man gesagt hat, gut, wenn der Drucker ausfällt, dann geht man eben ins Nachbarbüro und druckt da. Es gab aber eben auch Drucker, die haben Labels ausgedruckt, um Fahrzeugteile und Fahrzeuge zu beschriften für den Versand, für die Logistik. Und wenn diese Drucker ausgefallen sind, hat man im schlimmsten Falle einen Bandstillstand verursacht oder ein Riesenchaos in der Logistik. Also deshalb …

    00:06:11.2

  11. Petra Koch:

    Da wird es teuer.

    00:06:12.3

  12. Robert Osten:

    Genau, da wird es sehr teuer. Das heißt, auf einmal ist vielleicht das gleiche Druckermodell im gleichen Unternehmen an zwei verschiedenen Stellen eingesetzt in einer völlig unterschiedlichen Priorität. Und das ist etwas, was man in der Business Impact Analyse eben auch herausfinden möchte. Dazu kommen eben auch, was ist eigentlich mein Notfallniveau? Das ist das, wo sich die wenigsten so Gedanken drum machen. Gerade in der IT sind alle sehr digital unterwegs, also an oder aus. Das heißt, das Rechenzentrum funktioniert in Gänze oder es funktioniert gar nicht. Aber sind wir mal ehrlich, es gibt auch eine Welt dazwischen, also es funktioniert ein bisschen. Ein System funktioniert vielleicht gerade nicht super performant, aber es funktioniert. Und gerade, wenn ich einen Komplettausfall von einem System oder von einem Rechenzentrum habe, dann möchte ich vielleicht erstmal das System zu einem Grad wiederherstellen, dass der Geschäftsprozess grundsätzlich wieder funktioniert. Also sagen wir mal, ich habe 10 Exchange-Knoten, die meinen E-Mail-Versand und Empfang superschnell machen im Unternehmen, meine E-Mail-Umgebung fällt aus. Jetzt möchte ich die wiederherstellen und stelle vielleicht erst mal nur 3 Knoten wieder her. Das E-Mail ist langsamer, aber es funktioniert. Und damit habe ich meinen grundsätzlichen Prozess erst mal wieder ans Laufen gebracht. Und bevor ich jetzt die restlichen 7 E-Mail-Server wiederherstelle, brauche ich die Ressourcen und die Zeit vielleicht noch an anderen Stellen, um ein SAP-System oder andere Systeme auch erstmal wieder auf ihr Notfallniveau zu heben. Und dafür muss ich natürlich erst mal wissen, was das überhaupt ist, also wo muss ich minimal mit meinen Geschäftsprozess hin? Das heißt, wir drängen sehr häufig die Kunden dazu, sich genau zu überlegen: Was brauche ich eigentlich minimal an Prozessen und IT-Systemen, damit mein Geschäft funktioniert? Bei einigen Kunden sind das dann erstaunlich wenig Systeme, die dann feststellen, gerade in einem Produktionsumfeld oder sowas, na ja, so viel brauche ich eigentlich streng genommen gar nicht, ich kann doch noch relativ viel auch manuell machen, auch wenn es mehr Zeit kostet. Das ist natürlich dann in dem Fall gut. Es gibt aber auch Unternehmen, die gerade dabei dann feststehen: Oha! Wir sind doch schon ganz schön krass abhängig von unserer IT.

    00:08:15.0

  13. Petra Koch:

    Aber wenn jetzt der findige IT-Leiter hergeht und sagt, du hast ja eben gesagt, Exchange-Knoten, die haben wir ausgelagert in der Cloud, die haben wir im Managed Service, brauche ich dann auch sicherlich einen Notfallplan. Ich kann das aus eigener Erfahrung sagen, mir ist mal der E-Mail-Provider ausgefallen, da war ich froh, als ich noch ein Backup irgendwie hatte. Also auch vor allen Dingen einen zweiten E-Mail-Provider, den ich schnell aktivieren konnte. Also wie siehst du sowas?

    00:08:38.3

  14. Robert Osten:

    Mit jeder Form von Outsourcing macht man sich natürlich in irgendeiner Form abhängig von entsprechenden Outsourcing-Anbietern, Providern und Dienstleistern. Was wir ganz häufig sehen, ist, dass die Anforderungen an den Geschäftsprozess, also Geschäftsprozess darf niemals länger als eine halbe Stunde ausfallen, mit dem SLA, den man da geschlossen hat, irgendwie eine Time to Repair von 8 Stunden, überhaupt nicht zusammenpasst. Das heißt, aber auch in die andere Richtung. Also dass ich teilweise Prozesse habe, wo ich sage: Eigentlich ist das Wurscht, wenn das irgendwie mehrere Tage nicht zur Verfügung steht, haben aber da ein SLA darauf geschlossen mit 4 Stunden Time To Repair. Was wir versuchen dann, und das ist dann so ein erster Benefit, der sich sofort aus so einer Risikoanalyse dann auch herstellt, alleine mal diese SLA-Struktur zu durchleuchten und mit tatsächlichen Anforderungen der Geschäftsprozesse abzugleichen. Und das führt dazu, dass man vielleicht an der einen Stelle den SLA ein bisschen nachschärfen muss und vielleicht auch ein bisschen mehr Geld ausgibt, aber gleichzeitig an einer anderen Stelle eben auch das Geld spart und damit eine viel passgenauere Struktur eben auch bekommt. Auf der anderen Seite muss man natürlich auch hingehen und den Dienstleister einfach mal fragen: Hey Leute, wie seid ihr eigentlich mit Notfall- und Krisenmanagement aufgestellt? Das gegebenenfalls eben auch mal zu überprüfen, beüben, solche Prozesse eben auch abstimmen, Begrifflichkeiten zu klären und ähnliches, das macht, je größer und komplexer die Umgebung ist und je mehr Dienstleister da vielleicht auch in einem Prozess mit verschiedenen Systemen eben auch zusammenwirken müssten, ist es umso wichtiger, dass da alle die gleiche Sprache sprechen und am gleichen Strang ziehen und man nicht die ersten Stunden, Tage mit irgendwelchen Schuldzuweisungen zwischen den Dienstleistern verbringt. Das sieht man leider auch viel zu häufig.

    00:10:22.1

  15. Petra Koch:

    Ja. Das heißt, was würdest du jetzt kurz und knapp sagen, was ist das Ziel von so einem Business Continuity Management? Also wenn man jetzt so das auf so ein paar Kernziele oder ein Kernziel unterbrechen müsste?

    00:10:31.6

  16. Robert Osten:

    Das Hauptkernziel ist, dass das Unternehmen weiterbesteht. Das ist das härteste Ziel, aber eben natürlich auch das Risiko einer Unternehmenskrise ist, dass ein Unternehmen eben aus so einer Krise in Teilen oder in Gänze eben gar nicht mehr hervorgeht. Und das Kernziel ist eben als Business Continuity Management zu verhindern, dass so etwas passiert.

    00:10:54.1

  17. Petra Koch:

    Du hast eben schon ein paar Beispiele genannt mit den Exchange-Knoten. Da gibt es wahrscheinlich noch andere Sachen außer jetzt quasi einfach IT-Ausfälle, sage ich mal, es geht immer mal vielleicht irgendwie eine Komponente kaputt, das kann durchaus passieren. Ich glaube, das ist auch vielen IT-Managern und CIOs bewusst. Was gibt es dann noch in dem Repertoire, was du vielleicht schon erlebt hast oder als Beispiele anführen kannst?

    00:11:15.5

  18. Robert Osten:

    Also wir betrachten so eine Risikoanalyse immer so ein bisschen wie einen Eisberg. Wenn man zu einem Kunden geht und den fragt, was sind eigentlich so deine Hauptrisiken für dein Unternehmen, für deinen IT-Umgebung, dann fallen meistens wirklich so die ersten fünf bis zehn sprudeln da sofort raus, die kann man sofort aufschreiben. Und wenn man dann so ein bisschen nachbohrt, dann kommt man auf einmal auch noch zu so Themen, das ist dann eben, was beim Eisberg unter der Wasseroberfläche nicht sofort zu sehen ist, wie zum Beispiel eine gute Krisenkommunikation. Also eben auch die Kommunikation mit den Dienstleistern, mit den Kunden, mit den eigenen Mitarbeitern, die vielleicht auch einen ganzen Teil dazu beitragen können. Einfachstes Beispiel: Wenn ich eine gute Kommunikation zu meinen Mitarbeitern habe, dass es gerade ein IT-Problem gibt und nicht alle gleichzeitig den Support anrufen und fragen, was denn los ist mit der IT, dann kann ich diese Ressourcen anders verwenden. Das ist so ein Minimum an Kommunikation, eben irgendeine Möglichkeit an die Mitarbeiter zu schaffen, selbst wenn der E-Mail-Server ausgefallen ist per SMS oder App oder Teams oder was auch immer, den Mitarbeitern mitzuteilen: Hey, wir wissen, wir haben da gerade ein Problem. Wir sind dran. Bitte haltet die Leitungen frei! Das ist so ein Minimum an interner Kommunikation. Und natürlich auch nach außen, bevor der Kunde mich fragt, hast du ein Problem, vielleicht dem Kunden auch schon mitzuteilen, wir sind schon längst dran, wir haben das Thema hier, wir sind gerade dabei zu analysieren, oder wir haben das Thema sogar schon im Griff. Für dich geht keine Gefahr aus oder für unseren Prozess haben wir uns schon einen Parallelprozess überlegt, sodass für dich als Kunde eigentlich an der Dienstleistung oder an dem, was du von uns an Leistung beziehst, gar nichts kaputtgeht oder beeinträchtigt ist. Das macht natürlich immer einen sehr schlanken Fuß, wenn man so etwas gut vorbereitet hat. Bis zu dem Punkt, dass es vielleicht dem Unternehmen gerade wirklich an den Kragen geht und man sogar mit Behörden und Aufsichtsbehörden zum Beispiel in eine Kommunikation treten muss mit Stakeholdern, mit Anteilseignern et cetera, die man natürlich lieber früher vernünftig ins Boot holt als später in einer Rieseneskalation. Also das ist zum Beispiel ein ganz wichtiger Punkt. Einen anderen Punkt, den wir in der IT immer wieder oder verstärkt beobachten, aktuell muss man sagen, der aus meiner Sicht sehr sträflich vernachlässigt wird, ist auch sowas wir nennen als Vertrauensverlust-Management. Es gibt so den harten Begriff von Korruption. Den benutzen wir gar nicht so gerne, weil der sehr gerne fälschlich mit dem Thema Bestechung so in einen Topf geworfen wird. Also da gibt jemand irgendwelche Informationen preis und bekommt dafür irgendwie ein bisschen Geld und das ist so das, was im Volksmund gemeinhin als Korruption bekannt ist. Das ist aber Bestechung. Korruption als solches ist gar nicht strafbar, also es ist kein Delikt, sondern es gibt eben Delikte wie Geheimnisverrat, Bestechlichkeit und ähnliches, die nachher strafrechtlich geahndet werden können. Aber es gibt eben auch ganz viele Verhaltensweisen, wo zum Beispiel ein Mitarbeiter, ohne es zu wissen, ein korruptives Handeln an den Tag legt. Mein plastisches Beispiel an der Stelle ist immer, ich sag jetzt mal ganz, wir sind ja hier im Podcast unter uns, …

    00:14:24.2

  19. Petra Koch:

    Genau.

    00:14:25.2

  20. Robert Osten:

    … mal ganz aus dem Nähkästchen. Der typische ITler, der vielleicht noch bei Mutti zu Hause im Keller wohnt, das Tageslicht eher scheut und die sozialen Kontakte eher digital wahrnimmt. Und auf einmal, wie es so will, tritt da eine bildschöne Frau ins Leben und interessiert sich auf einmal wahnsinnig für das, was der da den ganzen Tag so macht. Lässt sich das erklären, schaut dem mal über die Schulter und stellt ganz viele Fragen. Und auf der Wolke 7 stellt dieser Mitarbeiter gar nicht in Frage, was die denn da eigentlich von ihm möchte. Auf einmal fließen vielleicht Informationen von Unternehmen weg oder auch ins Unternehmen hinein, weil man vielleicht dann den Rechner doch nicht so sorgfältig sperrt. Die dann nachher letztendlich einen Schaden fürs Unternehmen verursachen können. Das kann von der Sabotage bis zur Spionage alles Mögliche sein. Und je mehr Geld auf der Security-Seite ausgegeben wird, desto wahrscheinlicher ist es, dass man eben, wenn man Angriffsziel wird, auch über diese soziale Schiene irgendwie ins Visier gerät. Also man muss sich immer überlegen, so eine Cyber-Mafia denkt auch betriebswirtschaftlich und die überlegen sich dann, wieviel kostet es mich einen technischen Angriff, also wirklich den gemeinhin genannten Hack zum Unternehmen durchzuführen oder wieviel Geld kostet es mich stattdessen irgendwie einen Admin zu kompromittieren oder sogar gar als Person zu kaufen oder jemanden, den ich schon auf der Payroll stehen habe, in das entsprechende Unternehmen einzuschleusen. Fachkräfte sind ja gerade aktuell extrem gesucht, gerade im Security-Bereich. Das heißt, da jemanden, der auf einmal irgendwie so zwei Gehaltsschecks bekommt, in einem Unternehmen unterzubringen, ist so schwierig aktuell gar nicht. Das ist so eine Gefahr, die man natürlich auch mit betrachten muss und die man vor allem auch mit managen muss, wo man dahinterkommen muss, weil letztendlich der Schaden im Prinzip genau der gleiche ist, als ob ich von außen gehackt werde, ist, wenn einer von innen die Tür aufhält.

    00:16:27.9

  21. Petra Koch:

    Vielleicht sogar noch viel schwerer, weil man erkennt es im Zweifel gar nicht. Du hattest eben schon gesagt, ihr macht dann diese Impact Analyse, aber das ist ja jetzt was, wo sich sicherlich auch einiges CIOs und IT-Manager fragen, gut, ich meine, jetzt kennt man vielleicht in kleineren Firmen seine Mitarbeiter und weiß da genaueres, je größer das Unternehmen wird, desto unübersichtlicher wird es auch manchmal. Wie geht ihr da vor? Habt ihr da irgendwas, wo man gesagt, so kann man das erkennen oder so kann man sich vielleicht auch ein Stück weit schützen davor?

    00:16:55.4

  22. Robert Osten:

    Was man auf keinen Fall machen darf, ist natürlich seine Mitarbeiter, sein Team irgendwie auf einmal unter Generalverdacht zu stellen. Also jeder Mitarbeiter ist auf einmal potenziell kriminell, das darf natürlich dabei auf gar keinen Fall rauskommen. Aber es ist gerade bei Führungskräften, aber auch in Richtung Mitarbeiter natürlich ein großes Stück Awareness, wie es so schön neudeutsch heißt, dabei. Also zu erkennen, habe ich da Leute, die aufgrund ihres sozialen Umfeldes oder wie sie so als Typ agieren, vielleicht für solche Aktionen anfälliger sind als andere. Entsprechende Signale eben auch zu deuten, also das können durchaus auch Stimmungsschwankungen sein oder auf einmal sehr unerklärliche Veränderungen von Verhaltensweisen, die man dann eben feinfühlig, aber frühzeitig eben auch monitort. Also es hat viel damit zu tun, dass man sich eben auch mit den Mitarbeitern ein ganzes Stückchen beschäftigt. Das heißt nicht, das Privatleben ausspioniert. Je mehr Vertrauen eine Führungskraft zu einem Mitarbeiter hat, desto mehr kriegt man vielleicht über so einen Weg dann eben auch raus, wo man sagt: Hey, Vorsicht, pass auf! Gucke dir das Mädel da noch mal genau an, um mal das Beispiel von eben aufzugreifen. Was will die denn eigentlich? Wo kommt die her? Wie habt ihr euch kennengelernt? Und überleg mal, kann das alles so zusammenpassen? Das ist natürlich das eine. Und auf der anderen Seite als Unternehmen natürlich auch, durchaus auch mit technischen Mechanismen, die Admins vor sich selbst zu schützen. Also ein SEAM, was gerne im Bereich der Informationssicherheit dann eingeführt wird und irgendwie mehr oder weniger einschläft in vielen Unternehmen, ist ja nicht nur ein Tool, um Angriffe von außen zu überwachen, sondern damit kann ich auch Aktivitäten eigener Mitarbeiter, auch der eigenen Admins, und ich als Admin wäre immer dafür zu sagen, hey, da gibt es ein Tool, mit dem ich beweisen kann, ich war es gar nicht.

    00:18:41.2

  23. Petra Koch:

    Ja genau. Ich habe immer gesagt, ich will die Berechtigung gar nicht.

    00:18:44.6

  24. Robert Osten:

    Genau.

    00:18:44.7

  25. Petra Koch:

    Das ist auch schon, wie du sagst, ein gewisser Schutz, dass die Leute sagen können, ich kann auch nachweisen, dass ich es vielleicht gar nicht war, wenn irgendwas mal wäre.

    00:18:52.3

  26. Robert Osten:

    Genau. Wie du richtig sagst, also Berechtigungsmanagement gehört zum Beispiel auch dazu. Also das berühmte Need-to-Know-Prinzip, dann so dieses Buzzword Security by Design ist eben nicht nur ein Buzzword, sondern wenn man das wirklich lebt, schafft man Sicherheit fürs Unternehmen, aber auch für die Mitarbeiter selbst. Hat natürlich aber auch viel damit zu tun, dass man den Mitarbeitern, die vielleicht bisher alle Rechte hatten, eben auch mal Rechte wegnimmt und ihnen das vernünftig erklären muss. Also nicht im Sinne von, du wirst hier gerade degradiert, sondern wir schaffen zusätzliche Sicherheit für uns alle und eben auch für dich. Administratoren-Accounts zum Beispiel auch zu entkoppeln. Man sieht es leider immer wieder, dass das noch nicht passiert. Entweder wird sehr viel mit Gruppennutzern gearbeitet, dann gibt es den einen Unix-Admin, also das eine Root-Kennwort, was man dann auch noch, damit man es sich leichter merken kann, an verschiedensten Servern gleich benutzt.

    00:19:43.7

  27. Petra Koch:

    Ja. Oder die persönlichen Accounts, die einfach Admin-Rechte haben.

    00:19:47.9

  28. Robert Osten:

    Genau, genau. Das schafft dann zwar Komfort, weil man sich nicht irgendwie über einen Sprungserver oder über ein zweites Login irgendwie einloggen muss, aber auf der anderen Seite ein riesiges Sicherheitsloch, was man noch an ganz, ganz, ganz, ganz vielen Stellen findet.

    00:20:00.5

  29. Petra Koch:

    Auf jeden Fall. Kannst du ein paar Beispiele nennen, was wir sonst noch haben? Also wir haben jetzt ganz viel über die typischen IT-, Cyber- und IT-Sicherheits-Themen gesprochen. Gibt es ansonsten noch Krisenszenarien, die jetzt für die IT auch durchaus zu betrachten sind aus deiner Sicht?

    00:20:16.1

  30. Robert Osten:

    Ein ganz brandaktuelles Thema haben wir ja gerade.

    00:20:18.6

  31. Petra Koch:

    Genau. Corona.

    00:20:19.8

  32. Robert Osten:

    COVID-19 als Erkrankung aus der Corona-Familie. Also das Thema Pandemie, um es etwas allgemeiner zu machen, ist natürlich etwas, was bisher immer extrem belächelt wurde als Szenario. Das war dann in unserem Eisberg eher ganz weit unten als Risiko angesiedelt und wenn man das ein bisschen gestresst hat, wurde das eher belächelt. Gerade sind alle, die sich mit Pandemieplänen und Vorsorge und Reaktionen in dem Bereich beschäftigen, irgendwie sehr gefragt im Unternehmen. Und ein signifikanter Ausfall von IT-Personal, gerade wenn man ein ganzes Unternehmen im Home Office zum Beispiel hat, also alle irgendwie digital arbeiten und digital übers Netz, über VPN auf die IT-Systeme des Unternehmens zugreifen müssen, wenn ich dann auch noch einen eklatanten Ausfall in meiner IT-Umgebung habe, am besten noch gepaart irgendwo mit einem Ausfall auch von IT-Technik oder sogar eine Hacker-Attacke, dann komme ich natürlich ganz schnell in Probleme. Also dann habe ich häufig in der IT das berühmte Kopfwissen, also dass ich einzelne Personen habe, die extrem viel Wissen mit sich rumtragen, das relativ schlecht dokumentiert ist, weil man will die Zeit eher operativ verbringen und nicht dokumentieren. In der Operative auch durchaus nachvollziehbar, fällt einem aber natürlich in solchen Situationen dann extrem auf die Füße, wenn der jetzt zum Beispiel auf einmal irgendwie ins Krankenhaus muss, in richtig Quarantäne gestellt wird oder sonstig krankheitsbedingt ausfällt. Also das ist auf jeden Fall auch ein Szenario für jede IT, wo man sich Gedanken drum machen muss, was wäre, wenn eine eklatante Anzahl von Mitarbeitern bei mir ausfällt? Andere Themen sind natürlich auch solche Dinge, die sind schon eher in aller Munde, aber häufig auch eher belächelt, das Thema Stromausfall. Sind meine USVen eigentlich korrekt bemessen? Funktioniert das Herunterfahren, Herauffahren, das Bereitstellen von Grundsystemen? Und da sind wir wieder bei der Eingangsfrage: Welche sind das denn überhaupt? Welche Systeme müssen denn eigentlich minimal über welche Zeit am Laufen gehalten werden? Das muss natürlich designt werden, das muss getestet werden. Es wird immer schnell noch mal ein zusätzlicher Server in den Schrank geschraubt und irgendwo noch ein zusätzliches Device mit angeschlossen. Und die Anpassung der USV, die macht man dann später oder auch gar nicht. Und das sind dann so Themen, wo einem auf einmal dann auffällt: Huch! Wir hatten doch mal ausgerechnet, wir können irgendwie eine Stunde ohne Strom. Warum war dann nach zehn Minuten auf einmal alles aus? Und das passiert dann leider auch viel häufiger, als man denkt. Gerade wenn auch so Sachen wie der entsprechende Schwenk zwischen zwei Rechenzentren oder zu USV und Co. eben auch nicht geprobt werden, wo sowas dann vielleicht frühzeitig aufgefallen wäre. Weil eins ist klar, so Notfälle und Krisen kommen häufig nicht zur normalen Öffnungszeit, sondern irgendwie nachts und am Wochenende, das ist halt ganz fies, sodass ich eben auch nicht mal schnell um die Ecke in den Serverraum gehen kann und gucke, was da los ist. Und alleine dann eine Alarmierung zu haben, die mir sagt, oh, da ist ein großes Problem, du musst da mal schnell gucken, weil der Alarmierungsserver hängt vielleicht an der gleichen USV, die grad nicht mehr funktioniert.

    00:23:25.9

  33. Petra Koch:

    Ja, superwichtiges Thema mit der Alarmierung. Weil wenn das sonst einfach ausgeht und man kriegt es gar nicht mit, auch nicht so gut. Kommt man am nächsten Morgen vielleicht ins Büro und merkt es dann erst. Wäre ja nicht so clever.

    00:23:36.2

  34. Robert Osten:

    Genau. Das sieht man auch immer wieder. Monitoringsysteme, die im Prinzip auf dem gleichen Server installiert sind wie das System, was sie überwachen. Ist der Server weg, ist das Monitoring natürlich auch weg und damit auch im Zweifel die ganze Alarmierung dahinter. Also das sind natürlich Sachen, die man im Design berücksichtigen muss. Aber ich muss natürlich auch Möglichkeiten haben, mein IT-Personal in solchen Situationen zu erreichen. Und da stellt man dann auf einmal fest, dass auch viele Arbeitgeber eine wahnsinnige Angst haben vor irgendwelchen Bereitschaftsdienstregelungen, Rufbereitschaften, eben auch vertraglich irgendwie zu verankern. Aber dann muss man eben der Geschäftsführung auch klarmachen, was das eben bedeutet. Es gibt Unternehmen, die stellen sich knallhart hin und sagen: Gut. Wenn wir Freitagnachmittag gehackt werden, dann gucken wir mal am Montag, was noch da ist. Das ist natürlich wahnsinnig Mut zur Lücke, muss man sagen. Es gibt andere Unternehmen, die eben sagen: Nee, für so einen Fall müssen wir Vorkehrungen treffen. Wir müssen die vertraglichen Themen zum Thema Arbeitszeit und Co. geregelt haben, wir müssen einen Hintergrunddienst haben, der eben auch ans Handy geht, wenn es klingelt. Und wir müssen natürlich ein Alarmierungssystem haben, was zuverlässig uns dann eben auch da ins Boot holt, wenn es etwas gibt, was zu betrachten ist. Sowas kann man aber natürlich auch vielfach von außen abbilden. Man ist da immer ganz schnell bei dieser 110-60-Regel. Das haben ein paar Forscher herausgefunden, dass es im Schnitt, muss man immer sagen, für professionelle Hacker, also wir reden so über Cyber-Mafia-Niveau, noch nicht der Geheimdienst, aber auch schon deutlich mehr als der Freizeithacker, ungefähr 60 Minuten brauchen, um zum Lateral Movement in einem Netzwerk anzusetzen. Also sich anzufangen, in ein IT-System einzudringen und sich dort bewegen zu können. Wenn man das mal zurückrechnet, ist man darauf gekommen, dass man sagt, naja, wir müssen innerhalb von einer Minute detektieren können, dass wir angegriffen werden, dass wir da ein Problem haben. Und wir müssen in der Lage sein, innerhalb von 10 Minuten geeignete Gegenmaßnahmen zu ergreifen. Das kann sein, dass man ein Gerät zum Beispiel erst mal den Stöpsel zieht, aus dem Netzwerk ausgrenzt. Das kann physikalisch erfolgen, indem jemand das Kabel rausrupft. Kann aber natürlich auch technisch passieren, gibt es eine ganze Reihe von Systemen, die dann automatisiert, ein Device zum Beispiel in ein Quarantäne-Netz verschieben und dem Admin dann eine Alarmierung geben: Da ist was seltsam, guck dir das mal an! Das sind natürlich Themen, das muss man irgendwie abbilden können. Jetzt kenne ich nicht so viele Unternehmen, die in der Lage sind, wirklich 24-7-Monitoring und Alarming aus völlig eigener Kraft herzustellen. Das heißt, da sollte man natürlich dann auch schauen, ob es da nicht vielleicht Dienstleister gibt, die solche Themen anbieten und für einen dann ein solches Ereignis wahrnehmen, vielleicht eine erste Bewertung drauflegen, möglicherweise sogar gewisse Sofortmaßnahmen, wie so eine Quarantäne für ein Device sofort vornehmen und dann eben den Admin aus dem Bett klingeln, um dem zu sagen: Vorsicht hier! Ihr habt da grad ein Problem.

    00:26:29.0

  35. Petra Koch:

    Ja. Die Themen, die wir jetzt gerade haben, da gibt es immer, finde ich, auch so ein bisschen, wenn ich das bei den Kunden sehe, Unterschiede zwischen, ist das Unternehmen in der KRITIS-Infrastruktur, also bin ich sowieso schon in der kritischen Infrastruktur tätig als Unternehmen, oder habe ich ein Unternehmen, was nicht in der kritischen Infrastruktur ist? So wie ich das immer wahrnehme, sind die Unternehmen der kritischen Infrastruktur zumindest ein bisschen sensibilisierter für dieses Thema. Ich glaube, du hast da vielleicht einen größeren Einblick, wie detailliert das dann letztendlich immer umgesetzt wird. Aber wie siehst du das? Ist es für alle gleich relevant, ist es für KRITIS noch mal speziell viel relevanter? Kannst du das irgendwie einschätzen?

    00:27:09.7

  36. Robert Osten:

    Also die KRITIS-Unternehmen, die sogenannten kritischen Infrastrukturen, die nach der kritischen Infrastrukturen-Verordnung natürlich gesetzlich dazu angehalten sind, gewisse Vorsorgemaßnahmen eben auch zu treffen. Das ist in erster Linie im Bereich der Informationssicherheit angesiedelt, also das umfasst aus unserer Perspektive eher den präventiven Part als den reaktiven Part. Was schon mal eine ganz wichtige Einschränkung ist. Also es wird eher darauf geguckt, hat ein Unternehmen ein vernünftiges Risikomanagement und sind identifizierte Risiken eben auch in einer adäquaten Behandlung? Aber es wird ein bisschen weniger drauf geguckt, könnten die denn auch bei Risiken, die vielleicht geringer eingestuft werden, dann doch eintreten, adäquat reagieren? Das ist dann nicht ganz so der Fokus.

    00:27:54.0

  37. Petra Koch:

    Okay. Das heißt, auch die müssten im Grunde da dann noch mal gucken, dass die Reaktion auch gewährleistet ist?

    00:27:59.9

  38. Robert Osten:

    Richtig. Genau. Wobei natürlich darüber, dass man hier über Energieversorger, Wasserversorger, Krankenhäuser und ähnliches spricht, man dann natürlich vom grundsätzlichen Vorgehen oder von der grundsätzlichen Aufstellung meistens schon in die richtige Richtung denkt. Aber auch da sieht man immer wieder sehr erstaunliche Lücken in den Denkweisen, weil man gerade, wenn es in die privatwirtschaftlichen, betriebswirtschaftlichen Gedanken geht, man natürlich auch gerne nur so hoch springt wie der Gesetzgeber unbedingt fordert, und nicht zwingend auch die Sachen auch umsetzt, die man dann vielleicht identifiziert hat, aber wo man vielleicht nicht verpflichtet ist da was zu machen.

    00:28:37.4

  39. Petra Koch:

    Du hast das gerade auch schon angesprochen. Das ist ja auch, was man häufig in den privatwirtschaftlichen Firmen sieht, die jetzt nicht KRITIS haben. Also da wird auch gerade bei dem Thema, kostet ja immer Geld, auch vielleicht schon mal gern gespart.

    00:28:48.6

  40. Robert Osten:

    Richtig. Genau. Das ist natürlich immer das Thema, Vorsorge ist toll, aber der Geldtopf macht dann eben die Vorsorgemaßnahmen eben auch zu einem gewissen Punkt nur realistisch. Also komme ich gar nicht umhin, eben gewisse Risiken auch in Kauf zu nehmen. Da ist es dann eben extrem wichtig, dass ich dafür dann in der Lage bin, entsprechend zu reagieren, wenn ein solches akzeptiertes Risiko, wo ich eben keine oder nur eine geringe Maßnahme für etabliert habe, dann entsprechend auch aufgestellt bin. Das ist ganz wichtig. Und in Deutschland sind eben auch noch nicht alle Bereiche in der KRITIS drin. Also das ganze Thema wird erweitert, aber zum Beispiel bei Krankenhäusern ist es halt abhängig von Fallzahlen. Also nur große Krankenhäuser sind aktuell in der KRITIS-Verordnung verpflichtet oder große Energieversorger. Und so hatten wir zum Beispiel auch schon die Konstellation, dass ein großes Krankenhaus, was selbst KRITIS ist, aber im ländlichen Raum angesiedelt, von einem Nicht-KRITIS-Stromversorger mit Energie versorgt wurde.

    00:29:46.5

  41. Petra Koch:

    Oh schön.

    00:29:47.4

  42. Robert Osten:

    Das heißt, da ist man halt wieder beim Thema Business Impact Analyse. Man muss eben schon mal die Kette auch ganz bis zu Ende denken. Und es wird gerne auch immer vergessen, solche Sachen, da sind wir natürlich schon ein bisschen weg von der IT, aber im Bereich Trinkwasserversorgung zum Beispiel. Es wird immer so ein bisschen stiefmütterlich betrachtet, aber wenn ich persönlich mich entscheiden müsste zwischen Strom und Trinkwasser, würde ich, glaube ich, eher das Trinkwasser nehmen.

    00:30:10.5

  43. Petra Koch:

    Auf jeden Fall. Das brauchen wir auf jeden Fall schneller, wenn dann mal irgendwas wäre. Du hast gerade noch mal gesagt, akzeptiertes Risiko. Das finde ich auch total spannend, weil das ist was, das impliziert für mich schon mal, okay, so nach dem Motto, die Geschäftsführung hat das Risiko erkannt oder es wurde ihr mitgeteilt und sie hat es akzeptiert. Das heißt aber auch, sie hat das Risiko bewusst in Kauf genommen, oder?

    00:30:32.2

  44. Robert Osten:

    Genau. Und das ist eigentlich auch so der Hebel, den ich aus meiner Zeit als IT-Leiter als sehr wirkungsvoll kennengelernt habe. Wenn man möglichst objektiv mit einer guten Methodik eine solche Risiko-Betrachtung oder Business Impact Analyse aufstellt und nach einer Methodik, die sich an entsprechenden ISO-Normen orientiert, also die man sich nicht völlig aus den Fingern saugt, sondern entsprechende Referenzen hat, eine Risiko-Methodik aufstellt und dann die Risiken nichttechnisch, das ist immer ganz wichtig, also nicht erzählen, wir brauchen eine neue Firewall, die irgendwie drei Ports mehr hat und mehr Datendurchsatz und jetzt auch SSL andersrum verschlüsseln kann, das interessiert auf einer Managementebene überhaupt niemanden. Sondern dass man sagt: Der Geschäftsprozess XY ist dadurch gefährdet, dass wir in der IT folgende Systeme nicht richtig abgesichert haben. Potenzielles Risiko sind x Millionen Euro pro Woche, Monat, Tag, was auch immer. Das muss man natürlich versuchen, mal so ein bisschen zu schätzen. Und wir hätten eine Maßnahme dafür, die kostet 100.000 Euro. Das ist dann die besagte Firewall. Aber die braucht man eigentlich gar nicht benennen. Das heißt, wirklich objektiv hinzugehen, zu sagen, wir haben hier einen Geschäftsprozess, der ist gefährdet oder der hat folgende IT-Systeme und dadurch, dass die IT-Systeme dahinter gefährdet sind, ist dieser gesamte Geschäftsprozess quasi gefährdet. Und das Verkaufsgespräch am Ende in Richtung Geschäftsleitung ist dann eben: Hey Chef, wir haben hier ein Risiko identifiziert, das könnte uns 10 Millionen Euro kosten. Die Wahrscheinlichkeit, dass das eintritt, ist gar nicht mal so gering. Aber wir haben schon einen Plan, der kostet nur, in Anführungszeichen, 100.000 Euro, und damit können wir dieses Risiko mitigieren. Ist doch ein Super-Deal. Und das macht für einen Betriebswirt viel mehr Sinn als in irgendwelchen technischen Details zu versinken.

    00:32:16.5

  45. Petra Koch:

    Ja. Stelle ich auch immer wieder fest, das ist genau die Schwierigkeit, diese oft sehr technischen Sachen gerade in der IT-Sicherheit oder sonstigen IT-Themen so zu verpacken und zu transportieren, das es auch jemand nicht ITler oder jemand, der nicht in der Technik in der Tiefe drin ist, versteht und nachvollziehen kann.

    00:32:33.4

  46. Robert Osten:

    Genau. Aber über die Schiene, dass man eben über die Geschäftsprozesse spricht und gar nicht mehr nur über die IT-Systeme, man gleichzeitig sich natürlich als IT auch sehr stark damit beschäftigen muss, was tragen wie eigentlich für welchen Geschäftsprozess bei? Das ist ja nicht nur im Alltag.

    00:32:49.4

  47. Petra Koch:

    Nächster Punkt. Ja. Genau.

    00:32:50.9

  48. Robert Osten:

    Die IT ist ja nicht nur für sich selbst da, sondern die erfüllt einen Zweck Im Unternehmen, ist im Prinzip ein interner Service-Dienstleister in den meisten Unternehmen. Natürlich zu gucken, dass man den internen Kunden, nämlich die Geschäftsprozesse, möglichst gut unterstützt, hat mehrere Bewandtnisse. Das eine ist, ich muss meine IT entsprechend optimieren können und vielleicht auch verargumentieren können, warum ich irgendwo mehr Performance, mehr Speicherplatz, mehr was auch immer benötige, damit ich einen Geschäftsprozess besser unterstützen kann. Also für mich als Budgetverantwortlichen natürlich sehr wichtig, diese Argumente einfach zu haben. Und auf der anderen Seite für den Not- und Krisenfall, also wenn ich einen Ausfall in der IT habe oder durch welchen Grund auch immer, ich sehr schnell sehen kann, wie beeinflusse ich denn damit eigentlich das Unternehmen? Und in Friedenszeiten, in Anführungszeichen, also dann, wo ich mir nur die Gedanken mache, was wäre, wenn, kann ich das natürlich auch toll als Argument benutzen, warum ich welche Maßnahmen wie in der IT für sinnvoll halte und warum die umgesetzt werden sollen. Die meisten Ideen, die die IT-Manager und die IT-Mitarbeiter haben, sind ja sehr gut. Es hapert meistens daran, wie kriege ich das eigentlich meinem Chef und meinem Budgetverantwortlichen so transportiert, dass er mir die Gelder dafür nachher auch freigibt. Und dafür ist natürlich das, was du gesagt hast, im Zweifel sogar bis dahin zu gehen, zu sagen: Wir haben hier folgendes Risiko aufgedeckt. Du als Geschäftsführer, du darfst dieses Risiko akzeptieren, du darfst entscheiden, ob du dafür eine Maßnahme aufsetzt oder nicht, aber du bist da eben auch persönlich für haftbar, wenn das Ganze schiefgeht. Und da gibt es eben AG-Gesetze, GmbH-Gesetze, wo dann so Sachen, gemeine Sachen drinstehen über ordentliche Geschäftsführung und Haftungsrisiken et cetera. Das heißt, da überlegt sich dann auch ein Vorstand und ein Geschäftsführer sehr genau, ob man jetzt protokollarisch festhalten möchte, dass dieses Risiko bewusst eingegangen wurde. Und gleiches Spiel bei Datenschutz und ähnlichen Themen, ist auch ein Mittel, was man natürlich als Risiko eben auch heranführen kann. Wenn das und das und das passiert, machen wir als Unternehmen uns strafbar. Deshalb müssen wir vielleicht folgende Security-Maßnahmen bei uns einleiten, dafür brauchen wir noch Tools und Hardware und was auch immer an Maßnahmen, damit wir das gewährleisten können, damit wir nicht in dieses Risiko der Strafbarkeit oder einer sehr hohen Strafzahlung nach DSGVO reinlaufen. Gleiches Spiel.

    00:35:07.5

  49. Petra Koch:

    Ja. Jetzt haben wir schon viel über Prävention gesprochen, also Business Continuity Management, Prävention, Reaktion. Wenn jetzt die Krise, wir können es ja mal am aktuellen Beispiel vielleicht sogar machen, also der unwahrscheinliche Fall Pandemie ist jetzt tatsächlich eingetroffen. Was macht man dann im besten Falle?

    00:35:25.3

  50. Robert Osten:

    Im besten Falle hat man ein fittes Team zusammen, was man dann meistens Krisenstab nennt oder Notfallteam oder Cybersecurity Incident Team, was auch immer, da gibt es die tollsten Begriffe. Letztendlich geht es darum, dass man ein trainiertes Team zusammenbekommt, was weiß, was dann zu tun ist. Und da man die meisten Szenarien auch gar nicht bis zu Ende denken kann, also sich hinzusetzen und jedes erdenkliche Szenario für ein Unternehmen aufzustellen, das ist eine sehr müßige Arbeit. Deshalb ist es viel wichtiger, dass man allgemeingültig so aufgestellt ist, dass man nahezu mit jedem Notfall, jeder Krise umgehen könnte. Und dafür hat man dann ein entsprechend schlankes Notfallhandbuch. Ich warne immer davor, Notfallvorsorge, also wie oft ich meine USV überprüfe, wie mein Backup-Konzept aussieht, wie mein Berechtigungskonzept aussieht et cetera, das sind alles Vorsorgemaßnahmen, zu vermischen mit dem eigentlichen Reagieren. Und das findet im Notfallhandbuch statt. Das sollte möglichst schlank sein. Aber ganz ehrlich, man muss es eben auch trainieren. Also nur Notfallhandbuch im Schrank stehen zu haben, was sich alle erst mal dann in Ruhe durchlesen, wenn der Notfall eingetreten ist, das funktioniert halt nicht. Also man kann das so ein bisschen vergleichen mit, wenn die Feuerwehr kommt, dann schlagen die nicht erstmal einen großen Ordner auf, während sie vom brennenden Haus stehen und überlegen und lesen erstmal, was ist denn jetzt eigentlich zu tun? Nein, die trainieren das, und zwar täglich, wöchentlich, monatlich, damit, wenn es zu diesem Fall kommt, jeder Handgriff sitzt und man eben möglichst schnell helfen kann. Und das in bisschen abgespeckter Form trifft natürlich für jedes Notfallteam, für jeden Krisenstab auch ein. Man muss die Abläufe, man muss von der Alarmierung, das Zusammenkommen, ob jetzt physikalisch irgendwo vor Ort oder digital, entsprechend auch vorbereiten, man muss es trainieren. Die verschiedenen Rollen, die jeder einnimmt, müssen natürlich auch sitzen und mit Leben gefüllt werden. Also es muss jeder wissen, was er konkret zu tun hat, wem er wie zuarbeitet, von wem er was zu erwarten hat. Sowas kann man alles im Vorfeld schon abklären. Bis dahin, dass man eben auch gewisse Notfallkompetenzen auch schafft. Man muss sagen, wenn man sich in einem Notfall, in einer Krise befindet, ist das Unternehmen nicht mehr im Normalmodus. Man ist nicht mehr in, wie wir es nennen, der allgemeinen Aufbauorganisation unterwegs, also im normalen Linienbetrieb, sondern man schafft eine kleine Sonderorganisationsform, eine besondere Aufbauorganisation. Und in dieser Sonderorganisation müssen vielleicht auch Leute ein bisschen mehr Kompetenzen bekommen. Also der IT-Notfall-Manager muss vielleicht ein bisschen mehr Budget zur Verfügung bekommen, er muss vielleicht über Ressourcen entsprechend verfügen dürfen, gewisse Arbeitszeitdinge vielleicht dehnen oder ausweiten können. Er muss vielleicht auch in der Lage sein, die Entscheidung treffen zu dürfen, einen ganzen Standort vom Netz zu nehmen und damit irgendwo eine Produktion lahm zu legen und ähnliches, damit man im konkreten Falle keine Zeit damit verliert, dass man eben irgendwie sonntags nachts zu irgendeiner absoluten Unzeit versucht einen Entscheider ans Telefon zu bekommen. Das heißt, je mehr solcher Entscheidungen, die ich vielleicht im Vorfeld ganz in Ruhe und gut überlegt schon fällen kann und gewisse Schwellen mir einziehe, desto weniger Probleme habe ich dann, wenn es so weit kommt. Und dann muss man das ganze Thema auch entsprechend durchziehen.

    00:38:39.5

  51. Petra Koch:

    Du bist auch schon sehr lange in diesem Krisenthema unterwegs, sehr viel auch in Krisenstäben, auch im ehrenamtlichen Bereich unterwegs, aber auch natürlich in deinem Job. Wie trainiert man das, dass das gut funktioniert? Also das Notfallhandbuch, das leuchtet mir absolut ein, aber in Firmen, wie können die das trainieren? Sie müssten im Grunde vorher diese Teams definieren und die Leute auch regelmäßig dann wahrscheinlich schulen, trainieren oder überhaupt mal diesen, so wie man das schon mal häufiger hört halt beim Rettungsdienst, Evakuierungsübungen und bei der Feuerwehr Löschübungen und so weiter, dass man sowas einfach mal übt. Wie sieht das aus? Was kannst du da empfehlen?

    00:39:13.0

  52. Robert Osten:

    Genau. Also ich sag meinen Kunden immer: Man kann sich natürlich auch im Bereich Continuity Management rauf und runter zertifizieren lassen. Das ist auch wichtig, das ist auch toll, ist aber letztendlich eher ein Marketinginstrument nach außen. Das wird jetzt vielleicht etwas relevanter, wenn meine Kunden und meine Lieferanten auf solche Zertifikate eben auch gucken. Das können wir vielleicht gleich noch mal vertiefen.

    00:39:34.7

  53. Petra Koch:

    Gerne.

    00:39:35.4

  54. Robert Osten:

    Aber im Konkreten geht es darum, wir nennen das Simulationsübungen zu Veranstaltungen, also möglichst plastisch reell eine Lage, ein Szenario für ein Unternehmen aufzustellen und das einfach mal zu üben. Ganz wichtig ist, wir ziehen keinen echten Stecker. Es soll wohl Unternehmen geben, die das mal machen, wir ziehen mal irgendwo im Rechenzentrum einen Stecker und gucken, was passiert. Bitte nicht, sondern wir machen das nur virtuell und ziehen dann die Leute, die für den Krisenstab, die für das Notfallteam vorgesehen sind, in dieses Szenario eben auch hinein. Und die üben dann ein paar Stunden. Nach spätestens einer halben Stunde haben die, wenn es gut gemacht ist, vollkommen vergessen, dass es sich nur um eine Übung handelt, und die agieren so, wie sie es eigentlich in einem Notfall auch tun würden, mit allem Guten und allem Schlechten. Das Wichtigste ist, man befindet sich halt in so einem Sandbox-Modus. Man kann nichts kaputtmachen. Man darf eben verschiedene Entscheidungswege auch mal ausprobieren. Kommunikationspannen et cetera, die haben keine echten Auswirkungen, aber man lernt halt daraus. Und es gibt aus meiner Sicht nichts Besseres und das ist durch kein Papier der Welt und auch durch keinen Vortrag zu ersetzen, es einfach mal selbst zu erleben. Und dem werden alle beipflichten, die bei so einer Übung, bei so einer Simulation schon mal dabei waren. Und wenn das Ganze dann auch auf das eigene Unternehmen zugeschnitten ist, sodass man gar nicht auch in die technischen Diskussionen reinkommt, bei uns ist aber immer alles anders, sondern dass tatsächlich einfach mal auch ganz konkret an den eigenen Unterlagen, an den eigenen Prozessen, mit den eigenen Leuten und Ansprechpartnern beübt, ist der Lerneffekt daraus riesengroß. Wir hatten auch schon Kunden, die haben daraus eine Weihnachtsfeier gemacht. Also die haben gesagt: Wir machen das Ganze tatsächlich als gruppendynamisches Erlebnis. Wir gehen, mit unserem Team machen wir sowas mal mit, statt Action, weiß ich wo, im Lockroom oder wie das Ding heißt, wo man sich da mit Rätseln irgendwie befreien muss. Wir üben jetzt einfach mal Krisenstab und wir gehen tatsächlich als Krisenstab dann gestärkt danach raus und abends geht man dann zusammen einen trinken. Ein halbes Jahr später erzählen die Leute noch davon, was das für ein Erlebnis war. Es schweißt sie im Alltag zusammen und man pflanzt vor allem bei den Leuten auch dieses Business Continuity Management by Design ein. Also dass die Leute bei den Arbeiten, die sie auch im Alltag haben, immer auch ein bisschen mit im Hinterkopf haben, ach, ich war doch da mal in so einer Übung und wenn das und das und das passiert, da müssen wir da und darauf achten. Das nehmen die Leute wahnsinnig mit, auch in ihren Alltag. Also Entscheidungsprozesse, Lagebeurteilung und ähnliches sind alles Dinge, die man tagtäglich im Privaten, im Beruflichen brauchen kann. Also das sind keine Themen, die man nur für den Notfall trainiert.

    00:42:05.8

  55. Petra Koch:

    Super. Du hast jetzt gerade noch gesagt, dass die Lieferanten und Kunden auch teilweise nach Zertifizierungen fragen. Kommt wahrscheinlich auch darauf an, dem welcher Branche man unterwegs ist oder wie man als Unternehmen selber am Markt auch agiert und auftritt, oder?

    00:42:18.4

  56. Robert Osten:

    Das auf jeden Fall. Aber wir sehen halt auch, wir haben Anfang 2019 einen großen Kunden, einen großen produzierenden Kunden begleitet, der von einer Cyberattacke heimgesucht wurde. Das hat dazu geführt, dass deren Kunden aus der Luftfahrt- und Automobilbranche auf einmal zu Material-Hamsterkäufen angesetzt haben. Und es ihnen aufgefallen ist, wie gefährdet, und das ist etwas, was gerade in der Corona-Krise auch noch mal ganz deutlich geworden ist, wie gefährdet so Lieferketten gerade in so Just in Time Produktionsprozessen sind, …

    00:42:49.9

  57. Petra Koch:

    Auf jeden Fall.

    00:42:50.6

  58. Robert Osten:

    … wenn da nicht alles rundläuft. Und die OEMs, die Automobilhersteller haben jetzt schon angefangen, und viele andere sind gerade auch dabei, entsprechende Stellen einzurichten, um die eigenen Lieferanten entsprechend nach Notfall- und Krisenmanagement zur auditieren, zu bewerten und zu gucken, wie sind eigentlich unsere Lieferanten, die wir ganz, ganz dringend für unsere Produktion brauchen, so aufgestellt? Und das wird, glaube ich, in nächster Zeit, so wie es jetzt im Prinzip in der Informationssicherheit schon die Frage nach, „Haben Sie ein 27001 Zertifikat?“ oder in der Automobilwirtschaft „Sind Sie nach TISAX zertifiziert?“ ist ja mittlerweile schon eine Standardfrage. Also die Unternehmen, die in dieser Branche unterwegs sind, da ist das das erste Ausschreibungs-Kreuzchen, was man eben erfüllen muss. Und ich glaube, in der nächsten Zeit, jetzt getrieben auch noch mal durch Corona und solchen Fällen wie eben beschrieben, wird man viel mehr darauf gucken, wie sind eigentlich meine Lieferanten aufgestellt? Und das zieht sich natürlich durch. Wenn ich als Lieferant meinem Kunden gegenüber eine gewisse Notfallmanagement-Kompetenz auch garantieren können möchte, muss ich mir wieder meine Lieferanten angucken, weil von dem bin ich ja dann abhängig.

    00:43:58.2

  59. Petra Koch:

    Genau.

    00:43:58.6

  60. Robert Osten:

    Also es zieht sich diese ganze Kette runter, geht nach links und rechts in die verschiedensten Verästelungen und Bereiche hinein. Das heißt, sich ganz frühzeitig damit zu beschäftigen, dass man da entsprechend gut aufgestellt ist und vielleicht sogar ein Zertifikat nach ISO 22301 zum Beispiel zu erwerben, um gegenüber einem Kunden im Einkauf eben auch marketingtechnisch vielleicht vertrieblich frühzeitig zeigen zu können, wir beschäftigen uns mit dem Thema, wir sind hier sehr gut aufgestellt, wir sind hier sogar zertifiziert, kann mit Sicherheit nicht schaden und wird in Zukunft wichtiger werden. Obgleich, das betone ich noch mal, das Zertifikat eine Übung niemals ersetzt. Da sehe ich auch die größte Gefahr, dass ein Unternehmen auch intern in der Kommunikation, wenn man denkt, hey, wir sind nach 22301 zertifiziert, auch eine Geschäftsführung denkt, dann kann uns nichts mehr passieren. Man erwirbt eben ein Zertifikat für ein Managementsystem und der Auditor wird mit einem keine Simulationsübung abhalten und nachher bewerten, ob das, was man da aufgeschrieben hat, auch wirklich funktioniert. Sondern dieses Interesse muss man ganz selbst mit aufbringen und sich selbst gegenüber eben auch beweisen, dass das, was man da aufstellt, in der Praxis mit den Leuten, die man dafür braucht, auch wirklich dann funktioniert und durchführbar ist. Und dem Auditor erklärt man, dass man das Ganze eben in ein sinnvolles strukturiertes Managementsystem gepackt hat und entsprechende Nachweise nachbringen kann. Und das zusammen bringt dann ein echt gutes Business Continuity Managementsystem auf die Straße.

    00:45:21.1

  61. Petra Koch:

    Genauso, wie du sagst, das Interesse sollte jede Geschäftsführung, sollte jede Führungsmannschaft im Grunde dann auch selber aufbringen. Robert, jetzt frage ich mich, wir haben ja jetzt ganz viel darüber gesprochen, wenn ich jetzt als CIO und IT-Manager in der Verantwortung bin und ich sage, ich möchte sowas haben, ich möchte so ein Business Continuity Management, vielleicht auch so eine Übung einfach mal proben, wie gehe ich so ein Thema an? Was sind die ersten Schritte?

    00:45:44.4

  62. Robert Osten:

    Also wir gehen tatsächlich immer hin und schauen uns erstmal natürlich an, was ist beim Kunden eigentlich schon da? In den seltensten Fällen ist man vollkommen auf der grünen Wiese, sondern mindestens ein paar Gedanken und vielleicht sogar schon ein paar Entwürfe, erste Bausteine von einem IT Incident Management sind da, man benutzt vielleicht schon ein Ticketsystem mit verschiedenen Prioritäten. Also so wirklich ganz auf der komplett grünen Wiese habe ich bisher noch keine IT-Abteilung erlebt, weil man gerade aus dem IT-Service-Management da meistens schon sehr gute Gedanken dabei hat. Das heißt, wir schauen uns eigentlich bei den Kunden immer erstmal an, wo wollen wir eigentlich hin, was wollen wir gemeinsam erreichen? Und dann, was ist eigentlich schon da? Sowohl in Papierform als auch in den Köpfen, also die typische Soll-Ist-Analyse, nur einfach mal zu schauen, was ist überhaupt zu tun? Und dann stellt man eben gemeinsam einen Plan auf, wo man sagt, okay, um folgendes Ziel und folgenden Reifegrad, wir bedienen uns da einem eigenen Best Practice Katalog, aber wir lehnen uns da natürlich ganz stark auch an die entsprechenden internationalen und nationalen Normen an. Gerade Begrifflichkeiten sehr, sehr wichtig. Schauen wir, in welchen Bereichen ist man schon gut und an welchen Stellen muss eigentlich noch was gemacht werden. Und dann, wenn man das gemacht hat und man einen Plan für das Projekt hat, steigt man ganz klassisch in die verschiedenen Punkte ein, das, was wir eben auch schon gesagt haben. Man geht eben über eine Risikoanalyse erstmal ins Unternehmen hinein, man versucht zu verstehen, was sind eigentlich unsere Risiken, unsere Maßnahmen? Was an welcher Stelle muss noch getan werden? Dann etabliert man das Business Continuity Management über eine Leitlinie, also man holt sich das Okay aus dem Top-Management und verankert dieses Ziel und dieses Vorgehen in einer entsprechenden Leitlinie, baut ein Vorsorgekonzept. Also wir gucken uns alles an, was aus dem Risikomanagement kommt und welche Maßnahmen darauf liegen. Und dann schauen wir uns an, was muss eigentlich ein Notfallprozess für all die Risiken, die ich akzeptiert habe, gebaut werden? Das ist dann im Prinzip das Notfallhandbuch, also der Reaktionsprozess. Und dann schauen wir uns an, wie können wir letztendlich aus reellen Notfällen, aus Übungen, über einen kontinuierlichen Verbesserungsprozess nachher auch wieder das Risikomanagement triggern. Und damit hat man genau diesen Kreislauf gebaut, den man vielleicht aus der Informationssicherheit auch schon kennt oder aus dem Projektmanagement als PDCA-Zyklus, dass man eben auch das, was nachher ein Auditor sehen wollen würde, man nie stehenbleibt, sondern dass man einen vernünftigen Weg hat aus entsprechenden Erkenntnissen zu lernen. Und wenn man das erstmal grundsätzlich theoretisch etabliert hat, dann geht es tatsächlich daran, das Ganze zu üben, zu simulieren. Wir fangen bei wenigen Kunden tatsächlich, die von sich aus sagen, wir sind da schon extrem gut aufgestellt, wir wollen eigentlich eher die Simulationsübung haben, auch gerne mit der an und bauen die dann so auf, dass es im Prinzip auch eine Überprüfung der vorhandenen Prozesse und Handbücher darstellt. Man fängt quasi in dem gleichen Kreislauf an einer anderen Stelle an und sagt, wir müssen vielleicht gar nicht so viel erstellen, sondern eher das, was da ist, überprüfen und optimieren und verbessern. Also das heißt, so ein Einstieg ist sehr schnell, sehr einfach machbar und hat in den meisten Fällen immer schon ein Riesen-Benefit, weil man ein paar Themen antrigget, man ein paar Gedanken miteinander austauscht, sodass man da auch die berühmten Low Hanging Fruits sehr schnell ernten kann und damit einem Top-Management auch sehr schnell präsentieren kann, dass es total sinnvoll ist mit so einem Thema im Unternehmen nach vorne zu gehen.

    00:49:02.4

  63. Petra Koch:

    Super. Jetzt sind ja einige Unternehmen gerade aktuell schon in dem Krisenmodus drin. Gibt es da aus deiner Sicht im Moment noch ein paar Lessons Learned, erstmal aus deiner Erfahrung heraus und auch aus den Krisenstäben, in denen du aktiv bist, was du an CIOs und IT-Manager jetzt so als Tipps mitgeben kannst?

    00:49:19.0

  64. Robert Osten:

    Also was ich immer wieder erlebe, ist, dass die Krisenstäbe es meistens aus den bisherigen Szenarien oder auch aus den Übungen gar nicht gewohnt sind, über eine so lange Zeit zu agieren. Das heißt, dass solche Mechanismen wie, ich muss irgendwie auch mal Personal austauschen, ich muss mit meinen Ressourcen sparsam umgehen, auch jetzt erst noch mal ganz anders zum Tragen kommen. Also man erlebt jetzt einfach am eigenen Leibe wie es ist, wenn man mal mehrere Tage oder Wochen am Stück im Krisenmodus irgendwie ein Unternehmen managen muss. Das geht einfach komplett an die Substanz und ist natürlich auch eine Gefahr in sich. Weil wenn Krisenstabsmitglieder wegen Überschöpfung ausfallen, fehlt da vielleicht dann auch entsprechendes Know-how. Also das ist auf jeden Fall ein ganz wichtiger Punkt. Und was natürlich ganz, ganz wichtig ist, ist, dass man aus so einer Krise auch die Potenziale erkennt. Eben nicht nur hingeht und sagt, oh Mist, Mist, Mist, alles schlecht, alles schlimm, wie kommen wir hier nur raus, sondern eben auch die Chancen erkennt. Also überall, wo ich ein Risiko habe, habe ich meistens auch eine Chance. Und da gibt es viele Unternehmen, die extrem kreativ unterwegs sind, die ihr Verkaufsmodell umstellen, ihre Produktionsprozesse umstellen und völlig neue, geniale Ideen entwickeln, die sich vielleicht bis nach der Krise eben auch halten. Also deshalb da auf keinen Fall den Kopf in den Sand stecken und zu versuchen, irgendwie zu kitten und festzuhalten, sondern sich auch ganz bewusst, auch wenn es schwerfällt, immer wieder den Freiraum zu schaffen, nach vorne zu denken, die Gedanken auch mal ins Unmögliche schweifen zu lassen. Und was auch immer ganz wichtig ist, auch völlig bekloppt und unmöglich klingende Lösungsideen auch mal aufzuschreiben. Weil das kann vielleicht heute noch völlig bekloppt und auch unmachbar sein, aber vielleicht schon morgen die absolute Lösung für mein Problem sein. Und da ist es immer sträflich so etwas unterm Tisch zu wischen, den Leuten nicht zuzuhören und das als Quatsch abzutun, sondern einfach mal zuhören, die Sachen vielleicht mal aufschreiben und mal ein bisschen darüber nachdenken und vielleicht zu einem späteren Zeitpunkt noch mal durchlesen. Und man stellt fest, dass die Leute manchmal gerade mit dem verquersten Ideen die besten Lösungsansätze auf Dauer irgendwo haben. Und das ist, glaube ich, die größte Chance, die man aus so einer Krise eben auch mitnehmen kann, um nachher insgesamt auch einfach gestärkt da hervorzugehen. Also ich glaube, jedes Unternehmen, was die Corona-Krise erfolgreich gemeistert hat, weiß auf einmal, was sie an ihren Mitarbeitern hat, was sie an einem gut funktionierenden Krisenstab hat, was sie an guten, loyalen und fähigen Führungskräften hat. Und ich glaube, dass man da mit einem sehr starken guten Gefühl aus so einer Krise eben auch rausgehen und das für sich entsprechend nutzen kann. Es wird aber auch Verlierer geben in der Krise. Das ist so. Und da muss man dann darauf achten, dass man, wie es so schön heißt, das tote Pferd nicht versucht, noch weiter zu reiten, sondern eben auch im eigenen Interesse und im Interesse der Mitarbeiter auch da entsprechend frühzeitig den Absprung, den Schlussstrich irgendwie zu schaffen, um die ganze Sache nicht noch schlimmer zu machen. Aber das bleibt doch hoffentlich der Ausnahmefall. Wird es aber geben, ist einfach so.

    00:52:16.6

  65. Petra Koch:

    Welchen Tipp hast du für CIOs und IT-Manager jetzt zum Thema Business Continuity insgesamt noch? Gibt es da noch irgendwas, was du den CIOs mitgeben möchtest?

  66. Robert Osten:

    Sie sollten sich unbedingt damit beschäftigen, weil es aus meiner Sicht für jedes Unternehmen extrem wichtig ist und wichtiger werden wird in der Zukunft sich so aufzustellen, dass man auch mit Szenarien umgehen kann, die sich heute noch überhaupt keiner denken kann. Das ist so der größte Unsicherheitsfaktor eigentlich, man versucht sich immer den Szenarien, die da neu aufploppen irgendwie hinterherzulaufen und man vergisst sich dann auf die Szenarien aufzustellen, die man entweder jetzt wie damals Pandemie für völlig unrealistisch oder unwahrscheinlich hält und man verliert auch den Blick für Szenarien, die man jetzt vielleicht noch überhaupt gar nicht auf dem Schirm hat. Irgendwelche neuen Cyberangriffsformen, die sich jetzt noch gar keiner erträumen kann. Also das heißt, dafür aufzustellen, ist super. Es schweißt das Team zusammen, es bringt einen selber als Führungskraft nach vorne. Man beschäftigt sich mit vielen ganz, ganz wichtigen Themen, die einem auch im Alltag gut zu Gesicht stehen. Und man macht natürlich insgesamt etwas sehr Gutes für sein Unternehmen und damit eigenen Arbeitsplatz, dem Arbeitsplatz der Mitarbeiter. Und das wird ein Thema sein, an dem man langfristig sowieso nicht vorbeikommt. Also deshalb lieber heute gemütlich anfangen als morgen überhastet oder in der Krise völlig kopflos.

    00:53:33.9

  67. Petra Koch:

    Genau. Ich glaube, das ist auch was, was man jetzt echt gut sehen konnte, dass Unternehmen, die darauf vorbereitet waren, deutlich schneller reagieren können.

    00:53:41.3

  68. Robert Osten:

    Absolut. Genau das sieht man jetzt tatsächlich in der Presse, in den Medien, in den verschiedenen Berichten. Wenn man sich die Blogs von den Unternehmen durchliest, die entsprechend gut aufgestellt sind, die sich die Alternativen frühzeitig überlegt haben, die Vorsorge Pläne hatten, die gehen da relativ locker mit der ganzen Situation eigentlich um. Und es gibt natürlich die Unternehmen, die sehr kopflos in das ganze Thema irgendwie reingeschlittert sind, sich vielleicht noch irgendwie zurechtgerüttelt haben, aber eigentlich sich gerade versuchen, so ein bisschen durch die Krise durch zu schleppen. Und da möchte man natürlich nicht dazugehören. Deshalb, unser Credo ist es ja immer, vor die Lage kommen. Und das hat ganz viel damit zu tun, dass man eben so vorbereitet ist, dass man nicht in der Lage leben muss, sondern dass man immer schon den nächsten Schritt oder den Plan für den nächsten Schritt mehr oder weniger in der Tasche hat.

    00:54:23.9

  69. Petra Koch:

    Sehr gut. Das ist doch ein schönes Schlusswort. Vielen lieben Dank fürs Interview, Robert! Hat Spaß gemacht und weiterhin viel Erfolg.

    00:54:30.5

  70. Robert Osten:

    Vielen Dank für die Einladung. Und dir auch viel Erfolg!

    00:54:33.2

  71. Petra Koch:

    Dankeschön.

    00:54:33.8

  72. Robert Osten:

    Krisenfrei.

    00:54:34.2

  73. Petra Koch:

    Ja genau.

    00:54:35.1

Ihr Feedback

Wir freuen uns über eine Bewertung des CIO Podcasts bei Apple Podcasts und den anderen Portalen!
Fünf Sterne stehen für „gefällt mir sehr gut“. Herzlichen Dank!

Wie gefällt Ihnen diese Folge des CIO Podcasts? Senden Sie Ihr Feedback, Anregungen und Wünsche einfach über das Kontaktformular direkt an die Redaktion des CIO Podcasts (nicht öffentlich):

Ihr Feedback (Pflichtfeld)

Ihr Name

Ihre E-Mail-Adresse (Pflichtfeld)

Wir möchten Sie darauf hinweisen, dass wir Ihre Daten ausschließlich zur Beantwortung Ihrer Anfrage nutzen. Weitere Informationen zum Datenschutz finden Sie in der Datenschutzerklärung.

Weitere Podcast Folgen finden Sie hier.

Scroll to Top