Informationssicherheit, Notfallplanung und Datenschutz in Zeiten von und nach Corona – ein Kommentar von Frank Wassong
Seit Wochen beherrscht uns nur ein Thema: das Coronavirus. COVID-19 und die daraus resultierenden Einschränkungen haben die Welt gewandelt und werden auch zukünftig noch weitere Veränderungen mit sich bringen. Zum jetzigen Zeitpunkt lässt sich nicht einmal ansatzweise beurteilen, was die gesamte Situation politisch, wirtschaftlich und menschlich für uns bedeuten wird. Aber eines scheint sicher zu sein: So wie die Welt vor dem Virus war, wird sie nie wieder sein.
In den Kundengesprächen der letzten Wochen ist vor allem immer wieder die Frage aufgetaucht, ob eine bessere Vorbereitung auf die aktuelle Situation möglich gewesen wäre. Diese Frage kann ich ganz klar bejahen.
Im Rahmen meiner täglichen Arbeit berate ich Kunden in den Bereichen Informationssicherheit, Notfallplanung und Datenschutz. In den letzten Jahren habe ich mit ihnen häufig die Möglichkeit einer Epidemie oder Pandemie als mögliche Gefährdung beziehungsweise als Notfallszenario diskutiert. Die meisten Kunden erachteten dieses Szenario zwar als denkbar, schätzten die Wahrscheinlichkeit eines tatsächlichen Eintretens aber eher als gering ein.
In diesem Zusammenhang nenne ich gerne eines meiner absoluten Lieblingsbücher, Blackout von Marc Elsberg. Die dort thematisierte Situation einer Unterbrechung der europaweiten Stromversorgung und der daraus resultierenden Notlage wirkt für viele gerade in der Beschreibung der Auswirkungen und des Verhaltens der Bevölkerung überzogen. Andererseits hat Marc Elsberg viel Lob für die realitätsnahe Schilderung und die gute Recherche der globalen Zusammenhänge erfahren.
Doch was hat das mit der momentanen Lage zu tun?
Sehr viel! Vor allem die als absurd bezeichneten Verhaltensweisen der Bürger, wie beispielsweise die Hamsterkäufe, haben sich bewahrheitet. Ebenso hat sich herausgestellt, dass die Möglichkeit eines solchen Ereignisses gar nicht so gering ist, wie ursprünglich angenommen wurde. Kollegen aus großen Konzernen berichten mir derzeit davon, dass sie bereits seit Jahren Szenarien entwickeln, in denen die Belastbarkeit und Handlungsfähigkeit der Organisation mit einer um 50 Prozent reduzierten Belegschaft getestet wird.
Ob es sich dabei um etwas handelt, das ausschließlich großen Unternehmen vorbehalten ist?
Keineswegs, denn jedes Unternehmen kann sich ausreichend darauf vorbereiten. Etwa ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001, BSI oder ISIS 12 unterstützt Unternehmen bei der Strukturierung und der Ermittlung der Firmenwerte. Darüber hinaus hilft ein ISMS dabei, den Anforderungen des Datenschutzes und damit der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) gerecht zu werden. In Kombination mit einer (IT-)Notfallplanung bildet dies die Grundlage, um sich und das Unternehmen auf Krisensituationen vorzubereiten. Dadurch lässt sich zwar nicht verhindern, dass es eine schwierige Zeit zu überstehen gilt, jedoch können in puncto Notfallbewältigung schneller die richtigen Entscheidungen getroffen werden, damit der wirtschaftliche Schaden so gering wie möglich ausfällt.
Ob jetzt überhaupt der richtige Zeitpunkt ist, mit einer ISMS-Einführung oder einer Notfallplanung zu beginnen?
Definitiv! Gerade zurzeit ist es wichtig, sich einen Überblick darüber zu verschaffen, wie mit den einzelnen Unternehmensbereichen in Zukunft umgegangen werden soll und welche Bereiche neu organisiert werden müssen. Um hier sinnvolle Lösungen zu implementieren und später auch optimieren zu können, ist es notwendig, Veränderungen zu strukturieren und Prozesse zu etablieren, die die Veränderungen messbar und prüfbar machen. Anderenfalls wird es dazu kommen, dass Zusammenhänge verloren gehen und man noch Jahre später damit beschäftigt ist, die Sofortmaßnahmen in wirtschaftliche, funktionierende und gesetzeskonforme Bahnen zu leiten. Besonders im Hinblick auf die wirtschaftlichen Folgen, die die Unternehmen zu tragen haben, ist es wünschenswert, Fehlinvestitionen und -planungen zu vermeiden.
Bei alledem muss uns in erster Linie eines bewusst sein: Nach der Krise ist vor der Krise!
Niemand weiß, wann wir wieder in ein halbwegs normales Leben zurückkehren können. Sicher ist jedoch, dass die Situation noch eine ganze Weile andauern wird. Ebenfalls ist gewiss, dass das, was momentan passiert, immer wieder passieren kann. Also müssen wir beim nächsten Mal bessere Vorkehrungen treffen.