Warntag 2020: Ein Weckruf für Unternehmen

17 September, 2020

Es sollte der erste bundesweite Warntag seit der Wiedervereinigung Deutschlands werden. Das Fazit nach der Übung am 10. September fällt allerdings ernüchternd aus: Warnungen wurden zu spät oder gar nicht ausgelöst und das gesamte System rund um das Modulare Warnsystems (MoWaS) des Bundes sowie die Warn-App NINA kamen an ihre Grenzen. Doch mit zeitlichem Abstand auf die holprige Durchführung wird eines ganz deutlich:

Notfallvorsorge ohne Tests ist wenig wert. Das Bundesamt für Bevölkerungsschutz (BBK) hat mit dem Warntag eine groß angelegte Test- und Übungsreihe wieder aufgenommen, um genau die Schwachstellen im System zu identifizieren, die im Ernstfall zum Scheitern führen. Doch welches Unternehmen und welche Behörde in Deutschland testet die eigene Notfallvorsorge in derselben Transparenz und Öffentlichkeit – und dies auch noch regelmäßig?

Pflicht zur Notfallvorsorge

Dabei gibt es nicht wenige Organisationen in Deutschland, die zu aktiver Notfallvorsorge verpflichtet sind. Unternehmen beispielsweise, die als kritische Infrastrukturen (KRITIS) gelten, sind durch das BSI-Gesetz zur Einhaltung von Mindestanforderungen an IT-Sicherheit verpflichtet. Gleichzeitig müssen sie auch Fähigkeiten zum Business-Continuity- und Krisenmanagement vorhalten. Es geht hier nämlich nur vordergründig um reine IT- und Informationssicherheit. Das eigentliche Schutzziel ist die Verfügbarkeit der kritischen Infrastrukturen und ihrer Leistungen, die für unseren Alltag so wichtig sind. Beispiele sind Energie- und Wasserversorger, Transport und Verkehrsdienstleister, Kommunikationsanbieter oder eben auch das Gesundheitswesen. Wie schnell Krankenhäuser durch eine teils sogar ungezielte Malwareattacke komplett ausfallen können, erleben wir traurigerweise immer wieder.

Finanzdienstleister und Kreditinstitute können ebenso als KRITIS eingestuft werden. Zusätzlich hat sie der Gesetzgeber mit den Mindestanforderungen an das Risikomanagement (MaRisk) zur angemessenen Notfallvorsorge, inklusive Geschäftsfortführungs- und Wiederanlaufplänen verpflichtet. Notfallplanung und Notfallübungen sind neben dem Informationssicherheitsmanagement sowie dem Datenschutzmanagement zu essenziellen Vorsorgeinstrumenten geworden. Sie dienen dem Schutz der Verfügbarkeit wesentlicher Unternehmensfunktionen und der Mitarbeiter in einem Krisen- oder Notfall, tragen letztlich aber auch zum Schutz der Bevölkerung bei.

Zusammenfassung von Sicherheitsfunktionen in einem (Cyber) Resilience Programm

Fakt ist: Jedes Unternehmen muss selbst vorsorgen. Der Staat kann nicht allein für alle Fälle Vorbereitungen treffen – das ist eine Botschaft, die im Katastrophen- und Bevölkerungsschutz schon lange vermittelt wird. Die Wirtschaft, sowohl Großkonzerne als auch KMUs, spielen eine wichtige und tragende Rolle für die Daseinsvorsorge, auch aus Eigeninteresse. Bislang ist eine ganzheitliche und aktive Absicherung jedoch selten gesehen. Dabei bietet gerade der Bereich der modernen Sicherheit viele Möglichkeiten für Integration und Kosteneffizienz. Die gesamtheitliche Betrachtung von Informationssicherheit, IT-Sicherheit und Datenschutz sowie Business-Continuity- und Krisenmanagement führt zu einem integrierten Managementansatz, der Unternehmen an einen Status der digitalen (Über-)Lebensfähigkeit – der Cyber Resilience – heranführt.

Was tun?

Vernetzen. Alle Sicherheitsdisziplinen im Unternehmen greifen auf ähnliche Daten und Informationen zu, meist sind auch die verantwortlichen Mitarbeiter eng verknüpft. Trifft letzteres nicht zu, ist dies ein erstes und dringendes Handlungsfeld.

Integrieren und zuschneiden. Weiterhin können die Prozesse und Managementsysteme integriert werden. Information Security Management System, Datenschutz, Business Continuity Management, Notfall- und Krisenmanagement sind in Teilen überdeckend und können sich methodisch ergänzen. Gleichzeitig sind jedoch all diese Disziplinen dazu da, um den eigentlichen Geschäftsbetrieb abzusichern. Sie müssen daher so gestaltet werden, dass sie den Arbeitsalltag nicht behindern, sondern bestenfalls unterstützen können. Security by design ist ein Stichwort, das in modernen Organisationskulturen und Prozesslandkarten immer mehr an Bedeutung gewinnt.

Führen. Schließlich braucht es noch Führung, die Aufmerksamkeit des Managements und strategische Konzeption sowie Weitsicht, um ein integriertes Management rund um ein modernes Sicherheitsverständnis zu gestalten und auch konsequent umzusetzen.

Contact us

Dr. Benedict Gross

Dr. Benedict Gross

Senior Manager, PwC Germany

Tel.: +49 89 5790-5575

Dr. Aleksandra Sowa

Senior Manager, PwC Germany

Tel.: +49 211 981-7534

Follow us