Business Continuity Management: Der Plan, der in der Schublade verstaubt

Der IT-Leiter eines mittelständischen Unternehmens sitzt im wöchentlichen Jour fixe mit der Geschäftsführung. Die Frage nach dem Stand des Notfallmanagements kommt routiniert: „Alles gut vorbereitet?“ Seine Antwort: „Klar, der BCM-Plan ist fertig. 150 Seiten, alle Prozesse dokumentiert, liegt seit einem Jahr im Sharepoint.“ Die Geschäftsführung nickt zufrieden. Was niemand erwähnt: Der Plan wurde nie getestet. Kein einziges Mal. Drei Wochen später: Ransomware. Die Produktion steht still, die IT-Systeme sind verschlüsselt. Jetzt soll der Notfallplan greifen. Doch beim Versuch, die dokumentierten Prozesse umzusetzen, stellt sich heraus: Der Notfallplan liegt auf einem von den Angreifern verschlüsselten Server. Die einzige Version ist leider nicht aktuell, es ist die zum Korrekturlesen ausgedruckte Version. Die Telefonnummern im Alarmierungsplan sind veraltet, der alternative Serverstandort existiert nicht mehr, und die Wiederherstellungsanleitung bezieht sich auf Systeme, die vor zwei Jahren abgelöst wurden. Aber auch in der Version auf dem Sharepoint-Server sind die Informationen nur minimal aktueller. Der Schaden: Mehrere Millionen Euro, wochenlanger Stillstand, massive Reputationsverluste. Diese Situation ist kein Einzelfall. Sie zeigt: Ein Plan, der nur auf dem Papier existiert, ist im Ernstfall wertlos.