IT-Notfallplan für KMU

Mit der digitalen Transformation steigt die Abhängigkeit vieler Unternehmen von geschäftskritischen Programmen und die Gefahr von Cyberangriffen. Besonders gefährdet sind KMU, die im Vergleich zu Grossunternehmen über weniger Ressourcen verfügen und deshalb weniger gut vorbereitet sind. Ein Drittel aller Schweizer KMU wurde bereits mindestens einmal von Cyberkriminellen angegriffen.

Vorbeugen ist besser als heilen

Ein Cyberangriff oder ein Systemausfall durch Bedien-, Hardware- oder Softwarefehler kann die IT und damit den Betrieb für Tage oder Wochen lahmlegen. Das kostet viel Geld, Kundenvertrauen und Reputation. Deshalb braucht jedes Unternehmen, unabhängig von seiner Grösse, einen Plan, wie geschäftskritische Daten und IT-Systeme im Notfall wiederhergestellt werden können. Technisch sind viele KMU vorbereitet: Sie schützen ihre IT-Systeme mit Virenschutzprogrammen, aktualisieren ihre Software regelmässig und haben Firewalls installiert. Doch zu wenige haben einen IT-Notfallplan oder ein IT-Notfallkonzept, wie sie auf einen Angriff oder Ausfall reagieren.

Was gehört in einen IT-Notfallplan?

Der Notfallplan stellt sicher, dass ein Unternehmen angemessen, schnell und wirksam auf IT-Notfälle reagieren kann. Ein IT-Notfallplan für KMU sollte mindestens folgende Dokumente enthalten:

• Alle Kontaktdaten der Unternehmensleitung und des zentralen IT-Personals
• Alle Kontaktdaten der externen IT-Dienstleister und der Cyberversicherung
• Dokumentation aller relevanten IT-Systeme, -Netzwerke und -Anwendungen - inklusive Abhängigkeiten und möglicher Auswirkungen auf geschäftskritische Prozesse
• Vorlagen für die Kommunikation mit wichtigen Kunden, Lieferanten und Partnern sowie mit Interessengruppen wie dem Bundesamt für Cybersicherheit BACS
• Checklisten mit Aufgaben und Verantwortlichkeiten für die wahrscheinlichsten IT-Notfallszenarien wie Datenpannen, Ransomware-Angriffe oder Systemausfälle
• erzeichnis aller Dokumente, die im Notfall hilfreich sein können, zum Beispiel Inventar-, Kunden- und Personallisten, System- und Anwendungsdokumentationen oder Wiederherstellungspläne.

Der IT-Notfallplan muss physisch an einem sicheren Ort aufbewahrt und mindestens einmal jährlich aktualisiert werden. Alle zentralen Mitarbeitenden und das Management müssen wissen, wo sie den Plan finden, und jederzeit darauf zugreifen können.

Checklisten für IT-Notfallszenarien

Keine Krise gleicht der anderen. Deshalb sollte jedes KMU verschiedene Checklisten mit Massnahmen für die wahrscheinlichsten IT-Notfallszenarien in seinen Notfallplan integrieren. Die Checklisten definieren neben den Massnahmen auch Eskalationsstufen, Meldewege und Verantwortlichkeiten.

Massnahmen bei einem Ransomware-Angriff

1. Das Backup-System sofort vom Netzwerk trennen
2. Router ausschalten und alle Verbindungen zum Internet trennen
3. Server vom Netzwerk trennen, aber nicht abschalten (Beweissicherung)
4. Kein Lösegeld zahlen – oder nur in Absprache mit einem erfahrenen IT-Notfall-Dienstleister
5. Nicht über das interne E-Mail-System kommunizieren
6. Möglicherweise infizierte Systeme und Anwendungen nicht verwenden
7. Keine überstürzte technische Systemanalyse oder -wiederherstellung

Massnahmen bei einer Datenschutzverletzung

1. Umfang der gestohlenen oder kompromittierten Daten feststellen und für die Untersuchungen dokumentieren.
2. Vorfall sofort der Kantonspolizei und bei Cyberangriffen auch dem Bundesamt für Cybersicherheit BACS melden. Ausserdem muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) gemäss Datenschutzgesetz informiert werden, wenn das Risiko für die betroffenen Parteien hoch ist.
3. Einen Anwalt beiziehen, der beurteilt, ob der Vorfall meldepflichtig ist, mit dem EDÖB kommuniziert und das Unternehmen unterstützt, die Folgen des Vorfalls zu meistern.
4. Alle betroffenen (natürlichen und juristischen) Personen informieren.
5. Technische und organisatorische Massnahmen verbessern, um die Systemsicherrheit und den Datenschutz zu verbessern und solche Vorfälle in Zukunft zu verhindern.

Wichtig: KMU, die eine Cyberversicherung abgeschlossen haben, sollten zuerst die Kostenübernahmen mit ihrer Versicherung klären, bevor sie einen Anwalt beiziehen.

Massnahmen bei einem IT-Systemausfall

1. Das Backup-System sofort vom Netz trennen
2. Alle Nutzerinnen und Nutzer informieren
3. Betroffene Systeme und Anwendungen lokalisieren
4. System auf Hardware- und Softwaredefekte sowie Kommunikationsprobleme überprüfen
5. Abhängigkeiten und Auswirkungen klären
6. Dokumentation und Wiederherstellungsplan einsehen
7. Externen IT-Dienstleister kontaktieren

Vertrauen ist gut, schulen und testen ist besser

Papier ist geduldig. Deshalb reicht es nicht aus, einen IT-Notfallplan zu erstellen, auszudrucken und abzuheften. Mit diesen Massnahmen verhindern kleine und mittlere Unternehmen, dass sie erst im Ernstfall erfahren, wie gut ihr Notfallplan wirklich ist:

• IT-Notfallplan laufend aktualisieren und regelmässig testen, zum Beispiel durch simulierte Notfallszenarien oder Notfallübungen
• IT-Notfallplan laufend an aktuelle Bedrohungen, aber auch an neue gesetzliche Anforderungen, neue IT-Infrastrukturen oder neue Technologien anpassen
• Alle Mitarbeitenden für die Themen IT-Sicherheit und Datenschutz sensibilisieren, über den Notfallplan informieren und Schulungen oder Workshops durchführen

Weil’s pressiert, wenn’s passiert

Unternehmen, die bei der Zurich cyberversichert sind, können rund um die Uhr unsere 24/7-Cyber-Hotline anrufen. Sie finden die Telefonnummer auf der Versicherungspolice. Während der Bürozeiten kümmern sich spezialisierte Zurich-Mitarbeitende um den Fall, nachts und am Wochenende die IT-Security-Experten aus unserem Partnernetzwerk.