Disaster Recovery: Katastrophenschutz mit Plan

Die Experten kalkulieren etwa den IT-Ausfall bei einer Flugreservierung oder einem Online-Broker pro Stunde mit bis zu 100.000 Dollar. Messbares sollten die Unternehmen genau erfassen. Nicht-Messbares sollten sie sammeln und dokumentieren, um etwaige Unsicherheiten in die Risikobewertung einzubeziehen. Denn exakte mathematische Modelle eignen sich nur bedingt: Sie haben sich in der Praxis häufig als eine Art „Kaffeesatzleserei“ erwiesen.

Sind die schützenswerten Schätze des Unternehmens einmal klassifiziert, so folgt im nächsten Schritt die Festlegung der Verantwortlichkeiten. Der funktional Zuständige ist jedoch nicht immer der tatsächlich Verantwortliche für das System. Im Prinzip ist es wie im Luftverkehr, theoretisch hat zwar der Tower die Kontrolle, aber faktisch hält der Pilot alles in seinen Händen.

Die großen Horrorszenarien sollten Unternehmen dabei nicht unbedingt überschätzen. Unscheinbare Faktoren werden bei der individuellen Risikoermittlung eher unterschätzt. „Security Events“ innerhalb des IT-Risiko Ratings sind häufig übergewichtet, denn oftmals sind es die „falschen Risiken“, die das Unternehmen als scheinbar reale Bedrohung wahrnimmt.

Die meisten Menschen haben zwar Angst vor einem Flugzeugabsturz, empfinden aber die täglichen Gefahren im Straßenverkehr als weit weniger dramatisch. Es sind die kleinen Schritte. Beispielsweise rechnen Computernutzer zwar damit, dass ihr Rechner eines Tages ausfällt, nur wenige Mitarbeiter praktizieren aber eine fortlaufende Datensicherung.