Covid-19 (Coronavirus) und IT: Der Geschäftspartner im IT-Umfeld beeinflusst die Leistungsfähigkeit der eigenen IT

veröffentlicht am 9. März 2020 | Lesedauer ca. 3 Minuten

Wie kann das eigene Unternehmen darauf reagieren? 

Durch einen unterschiedlichen Grad an Outsourcing in der IT oder durch eine gewisse Abhängigkeit von Dritten innerhalb der IT-Services im Unternehmen kann sich das Coronavirus auch mittelbar so auf die Verfügbarkeit, Performance und Sicherheit der eigenen IT auswirken, dass diese ernsthaft gefährdet ist. Welche Empfehlungen kann man hier vor diesem Hintergrund des Risikos aussprechen?

Die Leistungsfähigkeit der eingebundenen IT-Lieferanten, IT-Dienstleister, generell Fremdleister und die Leistungsfähigkeit der eingebundenen IT-Lieferanten, IT-Dienstleister, generell Fremdleister und Serviceleister wie Rechenzentrumsbetreiber ist mit Blick auf die Gefährdungslage Covid-19 elementar. Es ist bei fortschrei­tender Verbreitung von Corona davon auszugehen, dass auch diese Dritten in unterschiedlichem Umfang betroffen sein werden. Es ist mit Teil- bis Komplettausfällen zu rechnen. Es gilt sich in Bezug auf drei Phasen konkret vorzubereiten:

• Vorbereitungsphase »

• Phase im Krisenfalle »

• Nachbearbeitungsphase »

Vorbereitungsphase

Je nach lokalem Verlauf der Verbreitung des Coronavirus hat das eine oder andere Unternehmen noch einen gewissen Handlungsspielraum zur Vorbereitung. Mit Blick auf IT-Lieferanten, IT-Dienstleister, RZ-Betriebe etc. gilt es, die Infrastruktur und die Geografie dieser Partnerunternehmen in die Risikoanalyse mit einzubeziehen.

Konkret heißt das, ob die vorhandene Risikoanalyse mit Blick auf die IT auch die Auswirkungen von personellen Ausfällen bzw. die Verfügbarkeit von Ressourcen dieser Dritten mit in die Risikobewertung eingebezogen hat. Ist dies nicht der Fall, sollte die Risikoanalyse um diese Dimensionen erweitert bzw. korrigiert werden.

Daraus sollte geschlussfolgert werden, ob bei einer Anpassung der Risikobewertung auch die im Unternehmen existierenden Notfallmaßnahmen adäquat sind oder auch eine Anpassung erfordern.
 

Konkret bedeutet das in jedem Fall:

• Einordnung der Geschäftspartner im IT-Umfeld in Risikoklassen je nach Bedeutung für die einzelnen IT-Services im eigenen Unternehmen
• Bewertung von Teil- und Komplettausfällen im Hinblick auf die definierten oder noch zu definierenden Notfallpläne
• Bestimmung und Integration eines Teil-Krisen-Teams für die Geschäftspartner im IT-Umfeld innerhalb des Unternehmenskrisenstabs

Je nach Bedeutung des Geschäftspartners im Rahmen der Einordnung in Risikoklassen bedeutet das weiter:

• Klärung der Verträge vor dem Hintergrund von Service-Levels, geschuldeter Leistung insbesondere im Notfall/Krisenfall und vereinbarter Melde- und Ablaufbedingungen, ggf. vorliegende Vertragsstrafen etc.
• Trotz Vorliegen von diversen Zertifikaten (PS 951, C5, DIN/IEC 27001 etc.) über die Leistungsfähigkeit und Sicherheit des Dienstleisters ist es notwendig, auch dessen aktuellen Zustand zu beurteilen. Dazu ist es notwendig, die Verfügbarkeit des Personals und der Ressourcen, welche für die eignen IT-Services notwendig sind, erstmalig und danach laufend abzufragen. Es bietet sich ein Notfall-Controlling an!
• Bestimmung, ab wann in Bezug auf den Geschäftspartner der Notfall konkret eintritt und das Teil-Krisen-Team einberufen werden muss.
• Das setzt voraus, dass das Unternehmen in Bezug auf einen Teil- oder Komplettausfall von einen oder mehreren Geschäftspartnern im IT-Umfeld im Vorfeld Notfallmaßnahmen konzipiert und sich vorbereitet hat.
  • Vertragliche Zusicherung über einen alternativen Geschäftspartner (z.B. Notfall-Services über ein Notfall-RZ etc.) und Definition von Schritten zur Übernahme der Services.
  • Anpassung der eigenen Service-Levels zu den Geschäftsfeldern für einen begrenzten Zeitraum (also Absenkung der eigenen Service-Levels wie Verfügbarkeit, Wiederanlauf, Erreichbarkeit etc.).
  • Übergangsweise Reorganisation der Services innerhalb z.B. des Konzerns (Übernahme Betreuungsleistungen durch ausländische Töchter etc.).
  • Akzeptanz eines potenziellen Ausfalls, ggf. mit Übertragung der finanziellen Risiken auf eine Versicherung.

Sollte im Unternehmen die Kapazität und das Know-how für die Vorbereitungsphase fehlen, empfiehlt sich die Einbindung des Krisenteams von Rödl & Partner.

Phase im Krisenfalle

Tritt nach Definition aus der Vorbereitung die Krise ein und sind ein oder mehrere Geschäftspartner im Umfeld der IT betroffen, werden analog der definierten Notfallpläne die Maßnahmen eingeleitet.

I.d.R. kann davon ausgegangen werden, dass die Notfallpläne nur zum Teil den dann konkret eingetretenen Notfall abdecken bzw. vorhergesehen haben, sodass die erste Handlung des Teil-Krisen-Teams ist, die Ist-Situation zu analysieren und Handlungsoptionen abzuleiten.

Je nach Schwere des Verlaufs von Covid-19 ist davon auszugehen, dass ggf. die versprochenen Leistungen des Geschäftspartners kurzfristig juristisch eingefordert werden muss.

Je nach Schwere des Verlaufs im eigenen Unternehmen, könnte bei multiplen Notfällen auch die eigenen Leistungsfähigkeit zur Umsetzung der Notfallkonzepte gefährdet sein. In diesem Falle empfiehlt sich die Einbindung des Krisenteams von Rödl & Partner.

Nachbearbeitungsphase

Neben dem Aufwand, die notfallbedingten Reorganisationsmaßnahmen wieder in den geregelten Normalbetrieb zu überführen, gilt es

• die individuelle Krisen-Situation in die Konzepte als lesson-learned-Lösung wieder einzubetten,
• ggf. eine Auseinandersetzung mit den Forderungen der Geschäftspartner in Bezug auf Mehr- und Sonderleistungen zu führen,
• für die Ordnungsmäßigkeit im Hinblick auf das interne Kontrollsystem, die Rechtezuweisungen durch den Notbetrieb, etc. wieder herzustellen und die erfolgreiche Herstellung zu prüfen sowie
• eine Prüfung vorzunehmen, ob durch die Notfallmaßnahmen das Niveau im Hinblick auf Daten- und Informationssicherheit wieder optimal hergestellt wurde.
• Zu dem Zweck empfiehlt es sich, schon zu Beginn des Notfalls einen laufenden Cybersecurity Check für das eigenen Unternehmen sowie der Geschäftspartner im IT-Umfeld mitlaufen zu lassen.

Es ist zu erahnen, dass das Unternehmen innerhalb der Nachbearbeitungsphase in Bezug auf das eigentliche Geschäftsmodell enorm viel im Umfeld Nachholung von Einkaufsstau, Produktionstau, etc. zu tun hat, sodass ggf. die Ressourcen im IT-Umfeld fehlen. In diesem Fall empfiehlt es sich ebenso, dass Krisenteam von Rödl & Partner einzubeziehen.