Q&A mit dem Business-Continuity-Experten Ross Jackson, VP, Organizational Resilience, für Mimecast: Was funktioniert gut, was ist schwach, was kommt, was muss überdacht werden.

Wesentliche Punkte:

  • Große Unternehmen mit ausgereiften business continuity Plänen und SaaS-Unternehmen im Allgemeinen sind wahrscheinlich besser vorbereitet als die meisten.
  • Aber wahrscheinlich hat niemand in seinem Kontinuitätsplan berücksichtigt, dass die Mitarbeiter monatelang von zu Hause aus arbeiten.
  • Einige Tech-Anbieter unterstützen ihre Kunden - zum Beispiel mit neuen Angeboten, die es ermöglichen, dass das Volumen an Remote-Mitarbeitern die Anzahl der bezahlten VPN-Lizenzen übersteigt.

Die globale Pandemie COVID-19 verursacht eine enorme Menge an Sorgen, Stress und Ängsten für Mitarbeiter und Unternehmen. Das Leben geht weiter, während Millionen von Menschen angewiesen werden, in ihren Häusern zu bleiben, und inmitten der Pandemie müssen Unternehmen versuchen, den Betrieb fortzuführen und einen Business-Continuity-Plan umzusetzen, den niemand geplant hat. Je nachdem, wie das Leben weitergeht - ob es zur Normalität zurückkehrt oder eine "neue Normalität" erreicht - wird es zum Teil der Business-Continuity-Planung zu verdanken sein.

Ich habe mich mit dem Business-Continuity-Experten Ross Jackson, VP, Organizational Resilience bei Mimecast, unterhalten, um herauszufinden, wie widerstandsfähig sich die Weltwirtschaft inmitten dieser beispiellosen Gesundheitskrise bisher gezeigt hat. Hier sind bearbeitete Auszüge:

MA: Aus der Business-Continuity-Perspektive scheint die neuartige Coronavirus-Pandemie so neu zu sein, dass ich mich fragen muss, ob der Business-Continuity-Plan einer Organisation darauf vorbereitet war. Würde der Business-Continuity-Plan einer Organisation ein solches Ereignis berücksichtigen? 

RJ: Ich würde denken, dass es wahrscheinlich nur 15-20 % sind, grob aufgeteilt auf zwei sehr unterschiedliche Arten von Organisationen. Erstens sollten sehr große Organisationen, die über ausgereifte Incident-Response- und Business-Continuity-Teams verfügen, über Infektionskrankheiten nachgedacht haben. Nicht unbedingt in diesem Ausmaß, aber was wäre, wenn die Masern oder ein lokal begrenzter Grippeausbruch ein bestimmtes Team in einer Region auslöschen würde? Das sollte Teil ihrer Planung sein. Diese Pläne sollten Antworten auf die Frage enthalten: "Wie teilen wir die Arbeit auf? Wie stellen wir sicher, dass wir eine Abdeckung haben?" "Was sind die Probleme bei der Remote Work ? Nicht viele Unternehmen werden sich mit der Frage "Was tun wir auf globaler Ebene?" befassen, aber man sollte erwarten, dass auf Teamebene ein gewisses Maß an Überlegungen zu Infektionskrankheiten vorhanden ist.

An zweiter Stelle stehen SaaS-Unternehmen aus der neuen Welt. Kleinere SaaS-Unternehmen sind es gewohnt, Dienstleistungen virtuell und aus der Ferne zu erbringen, was natürlich zu einer allgemein höheren Resilience-Perspektive führt. Sie haben sich wahrscheinlich zumindest Gedanken über die Planung von Infektionskrankheiten gemacht und überlegt, was passieren würde, wenn "mein Team X" vorübergehend außer Gefecht gesetzt oder unter Quarantäne gestellt würde.

 

MA: Was sind die Merkmale der Business-Continuity-Pläne dieser Unternehmen, die sie auszeichnen und dazu beitragen, dass das Geschäft weiterläuft?

RJ: Die meisten Unternehmen werden natürlich nicht öffentlich über die Details ihrer Business-Continuity-Pläne sprechen, vor allem nicht über die Teile, die letztendlich nicht funktioniert haben. Aber im Großen und Ganzen machen die Leute relativ dasselbe - es gibt eine ganze Reihe von Informationen und Anleitungen zum Coronavirus/COVID-19 aus vertrauenswürdigen Quellen wie der Weltgesundheitsorganisation oder der CDC [US Centers for Disease Control and Prevention]. Die Johns Hopkins Coronavirus Tracking Website wird offensichtlich von allen bombardiert, und Worldometer's ähnliche Website ist eine sehr nützliche Seite, um die Auswirkungen auf regionaler Ebene tiefer zu ergründen.

Business-Continuity- und Incident-Response-Teams sehen sich diese Standorte an, um die potenziellen Auswirkungen auf den Geschäftsbetrieb zu verstehen, insbesondere die Gesundheitsrisiken für die Mitarbeiter. Sie müssen sich auf Ihre Sorgfaltspflicht und die Sorge um die Mitarbeiter konzentrieren, natürlich aus menschlicher Sicht, aber auch aus der Perspektive der Geschäftskontinuität, denn die ist wichtiger als die Technologie. Eine effektive Geschäftskontinuität umfasst Backup-, Überlauf- und sich wiederholende Technologielösungen. Wenn eine Videokonferenzlösung geschäftskritisch ist und der normale Betrieb ausfällt, sollten Sie eine oder mehrere andere Videokonferenz- oder Collaboration-Lösungen bereithalten. Wenn Ihr gesamtes Technik- oder Kundensupportteam nicht verfügbar ist, weil es krank ist, ist das ein viel größeres Problem, da es kein Ersatztechnik- oder Kundensupportteam gibt. Der Schutz der Mitarbeiter wird zum wichtigsten Punkt. 

Dann, und das kann ich nicht genug betonen, ist Kommunikation der Schlüssel, wie immer. Es gibt so viele Ängste, die durch die Menge der Nachrichten und das Unbekannte entstehen, dass es den Menschen zu Recht Angst einjagt. Es gibt zu viele Informationsquellen, von denen einige unzuverlässig sind, und viele Leute tauschen Gerüchte aus. Unternehmen müssen dem entgegentreten, erstens durch häufige und konsistente Unternehmensmitteilungen und zweitens, indem sie ihre Mitarbeiter auf gute, offizielle Quellen hinweisen - nicht unbedingt versuchen, die Quelle für ihre Gesundheitsberatung zu sein, sondern ihnen helfen, die offizielle Quelle zu finden. Unternehmensnachrichten sind besonders wichtig, d. h. konsistente und transparente Nachrichten, die aus einer Quelle kommen und die Mitarbeiter auf eine Stelle verweisen, z. B. eine Intranetseite, die ihnen sagt: "Dies ist, was wir tun, dies ist, wie wir damit umgehen, dies ist, was Sie Ihren Kunden sagen oder Ihren Mitarbeitern mitteilen können. Das Business-Continuity-Team ist vielleicht daran gewöhnt, mit dem hohen Druck umzugehen, wenn etwas schief geht, und die Scherben wieder aufzusammeln, aber alle anderen versuchen, herauszufinden, wie sie ihre tägliche Arbeit in einer neuen Umgebung erledigen können, während sie sich Gedanken darüber machen, was mit ihren Kindern passiert oder was mit ihren älteren Eltern passiert. Diesen Kommunikationsfluss aufrechtzuerhalten, hilft dabei, eine Ebene des Vertrauens zu schaffen.

 

MA: Wie sieht es mit mittelständischen und kleineren Unternehmen aus? Wie halten sie sich in dieser Krise und was ermöglicht es ihnen, sich zu behaupten, wenn sie es tun?

RJ: Zunächst befolgen sie wie größere Unternehmen die Gesundheitsrichtlinien der WHO und der CDC sowie ihrer regionalen Regierungen, um zu tun, was sie können, um die Gesundheit ihrer Mitarbeiter zu schützen. Danach geht es um die Umstellung auf Remote-Arbeit. Für einen typischen mittelständischen Kunden von Mimecast bedeutet Business Continuity wahrscheinlich, dass er sich mit den Herausforderungen auseinandersetzen muss, wer tatsächlich kritisch ist, wer im Büro sein muss. Sie versuchen, ihre Mitarbeiter in 'geschäftskritisch kann remote arbeiten' und 'geschäftskritisch kann nicht' einzuteilen. Das ist der Fokus für kleinere Unternehmen: Herauszufinden, welche Mitarbeiter aus welchen Gründen immer noch Zugang zu einem physischen Büro haben müssen und welche nicht, und sich auf die richtige Infrastruktur und Sicherheit für Remote-Arbeiten zu konzentrieren, wenn dies erforderlich ist.

 

MA: Auf welche Art und Weise haben Sie gesehen, dass böse Akteure versucht haben, das Coronavirus auszunutzen, um Exploits durchzuführen?

RJ: Wir sehen Malware Kampagnen, wir sehen gefälschte Lösungen für den Virus, wir sehen direkte Umleitungen, wir sehen Domain-Übernahmen. Es geht eine ganze Menge vor sich. Die Angreifer nutzen die Ängste, die Nerven und den Wunsch der Menschen aus, die neuesten Nachrichten zu sehen. [Lesen Sie dazu "Vorsicht vor sich schnell entwickelnden Coronavirus-E-Mail-Phishing-Attacken."]

 

MA: Welche neuen Probleme ergeben sich aus dieser massiven und erweiterten Remote-Arbeitssituation für Sicherheitsexperten? Wie müssen sie bei der Sicherstellung der Integrität von Unternehmensnetzwerken anders denken?

RJ: Die lokale Sicherheit ist eine große Herausforderung. Während viele Menschen an einem Tag hier oder dort oder an ein oder zwei Tagen in der Woche von zu Hause aus arbeiten, bitten wir jetzt Menschen, die normalerweise fünf Tage im Büro sind, jeden Tag von zu Hause aus zu arbeiten. Wir wissen nicht, wie sicher ihr WiFi ist, oder ob sie überhaupt WPA2 verwenden. Wenn ja, ist es ein sicheres Passwort? Mit wem haben sie ihr Passwort geteilt, mit ihren Freunden und Nachbarn? Und dann gibt es noch Probleme, wie z. B. den Laptop unverschlossen zu lassen, und sogar so etwas Einfaches wie vertrauliche Informationen, die Ihr Mitbewohner nicht sehen sollte; und dann haben Sie noch die kleinen Finger der Kinder zu Hause, wenn die Schulen geschlossen sind. Es gibt eine ganze Reihe von neuen Sicherheitsproblemen, die durch diese ganze Remote Work entstehen.

 

MA: Sind Unternehmensnetzwerke darauf vorbereitet, dass ihre gesamte Belegschaft von zu Hause aus per VPN einsteigen kann?

RJ: Einige Organisationen haben vielleicht nicht genügend VPN-Benutzerlizenzen, aber das wird durch einige Faktoren gemildert. In einer typischen Organisation gibt es eine Menge Leute, die reine Online-Produkte nutzen, wie Videokonferenz-Tools und Online-ERP- oder CRM-Lösungen wie Salesforce, Hubspot oder Netsuite. Für 9 von 10 Anwendungen braucht man keine VPNs, man geht einfach raus und surft im Internet und schon ist es da. Sie belasten also weder Ihre Büroumgebung noch Ihre Bürohardware oder das VPN-Gerät zusätzlich.

Wenn Sie auf interne Laufwerke oder Anwendungen zugreifen müssen, müssen Sie sich per VPN wieder in ein Gerät einwählen. In der Regel ist eine Firewall der VPN-Terminator, und Sie müssen eine Reihe von Lizenzen dafür haben. Aber es gibt ein paar Anbieter, und ich glaube, dass weitere folgen werden, die es Unternehmen ermöglichen, automatisch auf ein höheres Level zu gehen, als sie bezahlen. Nehmen wir an, Sie sind ein Unternehmen mit 1.000 Arbeitsplätzen und 200 VPN-Lizenzen. SonicWALL hat zum Beispiel gesagt: "Keine Sorge, wir lassen Sie auf ein höheres Niveau platzen. Wenn es also zu einem plötzlichen Anstieg kommt, weil alle Mitarbeiter von zu Hause aus arbeiten und auf eine gemeinsame Festplatte zugreifen müssen, können sie trotzdem weiterarbeiten.

 

MA: Im Grunde kommt die Technologiebranche also zusammen, um die Geschäftskontinuität aller zu unterstützen?

RJ: Ja. Wir sehen ein echtes Gefühl von "Wir wissen, was los ist, wir wissen, was Sie durchmachen, und wir werden versuchen, mit Ihnen zusammenzuarbeiten". Man sieht es an der Fähigkeit, die VPN-Lizenz zu nutzen. Oder das Verständnis dafür, dass das Reporting langsamer wird, weil man sich mehr darum kümmert, dass die Kernfunktionalität verfügbar ist. Es gibt ein Verständnis dafür, dass jeder auf die eine oder andere Weise beansprucht wird, und dass man nicht unbedingt die schönen Dinge am Rande erwarten sollte. Konzentrieren wir uns auf den Kern.

 

MA: Wie sieht es mit der weltweiten Netzwerkbandbreite aus? Wie sieht es damit aus, wenn die gesamte entwickelte Welt in den letzten zwei Wochen auf Remote Work umgestellt hat?

RJ: Die großen ISPs haben sich geoutet und gesagt, ja, uns geht es gut, wir können das bewältigen, wir haben genug Kapazität. Aber schon bald werden wir bei einigen kleineren Providern eine gewisse Anspannung sehen. Da wir immer mehr Leute im Ausland haben, werden die ISPs anfangen müssen, die Bandbreite zu drosseln. Es wird zu Problemen kommen, bei denen Ihre Videoanrufe etwas abgehackter werden, weil plötzlich die ganze Straße gleichzeitig versucht, einen Videoanruf zu tätigen. Wir haben bereits gesehen, dass YouTube und Netflix die Streaming-Qualität in Europa reduziert haben, um die Bandbreitennutzung zu verringern.

 

MA: Abgesehen von den 15-20 % der Unternehmen, die aus der Business-Continuity-Perspektive sehr ausgereift sind, muss der Rest der Geschäftswelt Business Continuity nach COVID-19 neu überdenken?

RJ: Ich denke, das werden sie natürlich. Sie holen jetzt alle auf, also wird die COVID-19-Pandemie dazu beitragen, die Sichtbarkeit von Business-Continuity-Themen zu erhöhen. Die Leute in Ihrem IT-Team, die sich nach einer hochverfügbaren Firewall oder einem sekundären Server gesehnt haben, bekommen vielleicht plötzlich ein bisschen mehr Budget. Bis jetzt haben sie sich gefragt: "Wie viel will ich für die Versicherung ausgeben, wenn ich sie nie benutzen werde? Diese Veranstaltung wirft ein Licht genau auf diesen Punkt, und ich denke, dass die Budgets ein wenig geöffnet werden und die Leute anfangen, darüber nachzudenken, ob sie tatsächlich ein Tabletopping durchführen oder eine vollständige Simulation gegen einige dieser Szenarien, die sie jetzt ins Auge gefasst haben.

 

MA: Wenn wir von fünf oder sechs Monaten sprechen, bevor die Mitarbeiter in ihre Büros zurückkehren können, wie verändert das die Art und Weise, wie Unternehmen über Business Continuity denken?

RJ: Ich weiß nicht, ob es fünf oder sechs Monate sein werden, die menschliche Natur kommt uns vorher in die Quere, aber sechs bis acht Wochen sind ein mögliches Szenario, und Sie haben absolut Recht, dass niemand wirklich für auch nur sechs Wochen Remote-Arbeit geplant hat. Alle diese Pläne waren viel kleinerer Natur, wie eine Woche oder 10 Tage, wie bei einem Unwetterproblem. Wenn Büro 'X' durch einen Terroranschlag oder einen Gasausfall oder was auch immer nicht verfügbar ist, wäre die Annahme, dass man in ein verwaltetes Büro ausweichen kann, wo man einfach ein anderes Büro findet. Bei diesem Szenario können wir das natürlich nicht tun.

Es wird also eine Menge Überarbeitungen der Pläne geben müssen, die auf den Punkt zurückgehen, dass es sich um eine Erweiterung des Plans für Infektionskrankheiten handelt, bei dem man eine Herausforderung für die Business Continuity auf Team- oder Abteilungsebene betrachtet und diese dann auf ein stadtweites, landesweites oder bundesweites Szenario hochskaliert. Viele Business-Continuity-Pläne werden überarbeitet werden müssen, während wir durch diese ausgedehnte Krise der öffentlichen Gesundheit gehen.

 

MA: Richtig. Welches wichtige Thema haben wir noch nicht berührt?

RJ: Ich denke, die einzige andere Sache aus organisatorischer Sicht ist, sicherzustellen, dass Sie eine funktionsübergreifende Gruppe haben, die sich das alles mit Ihnen ansieht. Setzen Sie sich nicht nur mit einem reinen Business-Continuity-Team zusammen, sondern stellen Sie sicher, dass Sie Leute aus Abteilungen haben, die nicht daran gewöhnt sind, von zu Hause aus zu arbeiten, also ob es sich um die Finanzabteilung, die Anlagen oder ein Team mit Kundenkontakt handelt, und stellen Sie sicher, dass Sie eine funktionsübergreifende Vertretung haben, damit Sie an das Unternehmen als Ganzes denken und nicht nur an Ihre übliche Business-Continuity-Crew. Aber ansonsten haben wir die wichtigsten Business Continuity-Themen angesprochen, die die Mitarbeiter kennen müssen.

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Coronavirus-Phishing-Angriffe sind weltweit auf dem Vormarsch

Unsafe clicks from COVID-19-themed email…

Unsafe clicks from COVID-19-themed email phishing attacks ne… Read More >

Mike Azzara

by Mike Azzara

Mitwirkender Verfasser

Posted Mar 25, 2020

10 Schritte zur Aufrechterhaltung der Web-Sicherheit im Home Office

Regierungen auf der ganzen Welt haben...

Regierungen auf der ganzen Welt haben extreme Maßnahmen ergriffen... Lesen Sie mehr

Renatta Siewert

von Renatta Siewert

Senior Security Writer

Posted Mar 16, 2020

Cloud-Collaboration-Tools beweisen Marktführerschaft in der Geschäftskontinuität.

After initial business continuity &lsquo…

After initial business continuity ‘hiccups,’ clo… Read More >

Mike Azzara

by Mike Azzara

Mitwirkender Verfasser

Posted Mar 23, 2020