22. Juni 2020

Sicherer aus der Krise

In den letzten Wochen waren die Krisenkonzepte vieler Institute auf dem Prüfstand. Die IT-Abteilung wurde durch die plötzliche Verlagerung des ganzen Unternehmens ins Home-Office stark gefordert, während auch sie selbst nur noch remote arbeiten konnten. Die meisten Konzepte zum Business Continuity Management sehen zwar Überlegungen zum Verlust einzelner Standorte vor, doch kaum jemand rechnete mit der Schliessung aller Standorte. Zusätzlich standen im Gegensatz zu anderen Branchen die Geschäfte in der Finanzindustrie ganz und gar nicht still. Verändertes Benutzerverhalten, angepasste Zahlungsströme, Aufgleisen der Prozesse rund um die Notfallkredite innert weniger Tagen und ausserordentlich hohe Handelsvolumen trugen ebenfalls zur Belastung der Infrastruktur bei.


Rückblickend lässt sich festhalten: Es hat (meistens) funktioniert. Zwar holperte es an verschiedenen Stellen, mal fehlten VPN-Lizenzen oder Laptops und die Netzwerk-Bandbreite war bei vielen eine Herausforderung. Dennoch gelang die Umsetzung der Massnahmen ohne signifikante Einschränkungen aus Sicht des Instituts oder gar der Industrie.


Dieser Erfolg kam nicht ohne aussergewöhnliche Schritte zu Stande. So bedarf es in vielen Unternehmen an kreativen Lösungen und Sofortmassnahmen, um den Betrieb mit der erforderlichen Qualität sicherzustellen. Nachdem sich die Lage stabilisiert hat, ist nun der Zeitpunkt gekommen, um nach dem «Social Distancing» aus etwas zeitlicher Distanz die Erfahrungen auszuwerten.


Lessons Learned in der Krisenorganisation

Für viele Organisationen war es eine Premiere: Die Krisenkonzepte wurden aus der Schublade geholt und der oder die Krisenstäbe wurden aufgeboten. Es zeigte sich, dass die Maturität dieser Prozesse sehr unterschiedlich ist. Gewisse Organisationen hatten etablierte Vorgehensmodelle, die auch regelmässig geübt wurden. Andere verliessen sich auf ad-hoc zusammengestellte Gremien, die das Unternehmen durch die Krise führten. Beides kann funktionieren! Wichtig ist, dass die gewählte Ausprägung bewusst entschieden wird. In einem Rückblick lässt sich nun festhalten, ob sich die Organisation in der Krise bewährt hat oder ob nicht besser die Maturität erhöht werden kann. Wir empfehlen zudem, regelmässig wie auch nach jeder Anpassung der Prozesse oder Organisation die Krisenprozesse einmal zu üben.


Maturität der Krisenorganisation


Rückbau Sofortmassnahmen

Um zeitnah gewisse Problemstellungen zu überbrücken, griffen viele Unternehmen zu Sofortmassnahmen. Temporäre Freischaltung von Zugriff auf sensitive Dokumente auch von ausserhalb der Unternehmensstandorten, das Ermöglichen von Drucken im Home-Office oder der rasche Kauf von zusätzlichen Lizenzen oder Hardware sind nur ein paar Beispiele. Viele dieser Massnahmen haben eine direkte Kostenfolge oder stellen unter Umständen ein zusätzliches Risiko für die Firma dar. Bevor die temporären Massnahmen zu «Providurien» werden, sollten sie hinterfragt, auf deren Compliance geprüft und unter Umständen wieder rückgebaut werden.


Krise zeigt die Lücken in der Resilienz

Resilienz

Moderne Krisenvorsorge fokussiert sich immer mehr auf die Resilienz und kann die Organisation so auch auf unbekannte oder unbestimmbare Risiken vorbereiten. Eine weltweite Pandemie gehört sicherlich zu dieser Kategorie – kaum einer konnte noch vorgängig die Auswirkungen vorhersehen.


So ist es mit dem Rückbau von Überbrückungsmassnahmen nicht einfach getan. Während die Organisation durch die Pandemievorsorge strapaziert wurde, zeigten sich deren Schwachpunkte und es lässt sich rückblickend gut analysieren, welche prozessualen, organisatorischen und technischen Bausteine nicht resilient genug sind. Es lohnt sich nun, an genau diesen Stellen gezielt Massnahmen zu ergreifen und so für zukünftige unbekannte Ereignisse besser gewappnet zu sein.


Oftmals waren Massnahmen nötig, um ein flexibles Arbeiten von zu Hause aus zu ermöglichen, beispielsweise auf privaten Geräten. Diese liessen sich nun einfach wieder abbauen, oder durch nachhaltige Instrumente ersetzen. So könnten Zugriffe von privaten Geräten, durch Einsatz von virtuellen Umgebungen oder Digital Rights Management, weiterhin ermöglicht werden.


Physische Sicherheit ausserhalb des «Perimeters»

Moderne technologische Infrastruktur verabschiedete sich mit der Integration von Cloud-Lösungen bereits vor einiger Zeit vom Konzept des Perimeterschutzes. Mit der grossflächigen und längerfristigen Verlagerung ins Home-Office gilt dies plötzlich auch für andere Dimensionen der Informationssicherheit. Gehen Mitarbeitende über Wochen nicht ins Büro, stellen sich neue Fragen:


  • Umgang mit vertraulichen Unterlagen: Auch wenn Prozesse digitalisiert sind, ein paar handschriftliche Notizen sind schnell gemacht. Im Büro würden diese in den Schredder wandern, doch kaum jemand hat entsprechende Infrastruktur zu Hause. So gilt es die Mitarbeitenden zu sensibilisieren, die Unterlagen nicht ins Altpapier zu legen, sondern zurück ins Büro zur sicheren Entsorgung zu nehmen.


  • Vertraulichkeit am Küchentisch oder auf dem Balkon: Ehepartner bekommen oftmals Informationen zum Geschäftsalltag ihrer Partner mit. Nicht ohne Grund sind sie beispielsweise bei Insiderhandel entsprechend kontrolliert. Durch vermehrtes Home-Office nimmt die Qualität der Informationen stark zu. Aus der Antwort auf ein kurzes «Wie war dein Tag?» wird das ein- oder gar zweiseitige Mithören stundenlanger Telefonkonferenzen. Mögliche berufliche Interessenkonflikte in der Wohngemeinschaft gilt es zu berücksichtigen.
    Ähnliches gilt im Altbau mit ringhörigen Wänden, dem Arbeiten auf dem Balkon oder mit offenem Fenster. Es gilt die Mitarbeitenden zu sensibilisieren, nicht dass Nachbarn plötzlich in Berührung mit internen Firmeninformationen kommen.


  • Qualifizierte digitale Unterschriften: Immer noch werden viele Informationen mit Unterschrift validiert. Dies stellt ein grosses Problem dar, sind die Mitarbeitenden über längere Zeit nie physisch beieinander. In der Schweiz gibt es verschiedene Möglichkeiten für qualifizierte elektronische Unterschriften. Die Einführung einer solchen Lösung braucht aber einen gewissen Vorlauf und auch einige Anpassungen an bestehenden Prozessen.


Einige Unternehmen rechnen damit, dass Home-Office auch nach dem Lockdown vermehrt zum Einsatz kommen wird. Es lohnt sich also, Compliance im Home-Office verstärkt zu thematisieren, mit klaren Weisungen zu regeln und die Mitarbeitenden im Umgang zu schulen.


Sicherer aus der Krise

In der letzten Zeit wurden viele Konzepte getestet und Limitationen aufgezeigt. Gleichzeitig entstanden viele gute Ideen! Dieses Momentum soll nun genutzt werden, um die Organisation nachhaltig resilienter zu machen. Gleichzeitig soll der Trend zu flexibleren Arbeitsformen nicht verteufelt, sondern für das Unternehmen sinnvoll und vor allem sicherer eingesetzt werden.


Den effizienten Einsatz moderner Arbeitsformen beschreiben wir gerne in einem separaten Artikel.