#18 – IT-Notfallplanung

Guten Morgen, Dennis.

Guten Morgen. Ja, es ist wieder Mittwoch. Jedenfalls für die Leute, die das jetzt hören, ist es wieder Mittwoch. Und wir sind bei Folge 18 unseres hagel IT-Podcasts.

Wahnsinn. Folge 18 heute. Ich glaube, wir sagen jede Folge wieder erneut. Das ist Wahnsinn, wie lange wir schon dabei sind.

Ja, man ist doch jede Woche erneut überrascht.

Starten wir jetzt einfach in das Thema. Was haben wir diese Woche auf dem Plan?

Wir haben auf dem Plan das Thema IT-Notfallplan sozusagen. Wir haben den Plan auf dem Plan.

Ja, wir haben den Plan auf dem Plan und IT-Notfallplanung, das ist ein Bereich, der sehr häufig, gerade so bei kleinen und mittelständischen Unternehmen, doch irgendwo so hinten angestellt wird. Also jeder kümmert sich dann irgendwie um seine Cloud-Lösung, um seine Server, um seine Clients und Software. Aber kaum einer denkt daran, was ist eigentlich... Eigentlich, wenn mal nicht alles rund läuft. Und ja, wenn mal nicht alles rund läuft, damit meinen wir eben vor allen Dingen in diesem Fall nicht nur, dass mal irgendwo eine Software nicht funktioniert, sondern wir meinen eben einen richtigen Notfall. Jeder, der vielleicht für seinen Betrieb ein betriebliches Risikomanagement eventuell auch betreibt, der wird sich damit auskennen. Und da ist wahrscheinlich aber auch das Thema IT-Notfall Bestandteil. Ja, bei uns geht es jetzt im Wesentlichen heute mal um das Thema Risiko für die EDV-Anlagen.

Genau, ich glaube, dass man sich im Grundsatz einfach mal im Klaren darüber werden muss, was kann mit meiner IT eigentlich alles passieren, das dazu führen kann, dass ich mit dieser nicht mehr arbeiten kann. Das geht, glaube ich, über viele Dinge, die man sich jetzt vielleicht auf Anhieb so vorstellen mag, hinaus.

Genau. Ja, also im Wesentlichen kann man ja sagen, es gibt so zwei Hauptunternehmensziele. Ich habe das mal ganz weit von außen betrachtet. Das eine ist die Reputation des Unternehmens, das andere ist die finanzielle Lage und finanzielle Lage schließt da eben alles mit ein bis hin zu Verlust des Unternehmens aufgrund finanzieller Schwierigkeiten. Und das sind ja beides Themen, die letztlich durch einen Ausfall der IT eben auch bedroht werden können.

Genau, also vielleicht können wir an der Stelle nochmal so ein bisschen genauer, also nicht zu genau, aber etwas genauer auf die beiden Punkte eingehen. Reputation ist wahrscheinlich vielleicht für den einen oder anderen auch ein bisschen davon abhängig, in was für einer Branche man ist, würde ich jetzt mal weitestgehend sagen. Also ich glaube gerade, wenn man sich in einer Branche auffällt, in der man viel, viel, viel sicherheitsrelevant, in der man sich die Daten seiner Kunden beispielsweise aufbewahrt, speichert etc., kann es da dann schnell an der Reputation nagen, wenn da im Zweifel rauskommt, dass beispielsweise das Unternehmen Opfer einer Cyberattacke geworden ist. Und ich glaube, dass eben auch das viele Leute gar nicht so auf dem Schirm haben, dass auch solche Abhandlungen eben auf so Notfallpläne gehören. Also was beispielsweise tue ich oder was hat jeder Einzelne, der hier mit der IT arbeitet, zu tun, wenn wir Opfer einer Cyberattacke, werden?

Genau. Wie kann man jetzt konkret an sowas rangehen? Also entscheidend ist in so einem IT-Notfallplan, den sollte ich, wenn er fertig ist irgendwann, ausdrucken und irgendwo verwahren. Und zwar im besten Falle nicht nur in der Schreibtischschublade, sondern wirklich irgendwo ganz extern. Denn wir kommen ja gleich nochmal auf die möglichen Risiken und wir gehen ja auch auf wirklich Risiken höherer Gewalt ein. Okay. Bei denen dann möglicherweise die Schreibtischschublade nicht mehr da ist, wo sie vorher war. Und deswegen also ausdrucken und irgendwo gut wegpacken. Aber so gut, dass man noch weiß, wo er ist. Und dann sollte eben in diesem Notfallplan im Wesentlichen definiert sein, welche möglichen Risiken gibt es. Und dann jeweils dafür, wer ist dafür zuständig für die Behebung, welche Personen sind darin involviert, was gibt es möglicherweise für Informationspflichten gegenüber Behörden, gegenüber Angestellten, gegenüber Geschäftskunden oder Privatkunden. Also das soll alles festgehalten werden. Und das, genau, sollte man dann in diesem ausgedruckten Plan haben, damit man eben für den Fall eines solchen Notfalls dann einfach den Plan zur Hand nimmt und danach handeln kann.

Im nächsten Schritt hätten wir dann quasi die Ziele, auf die wir eben schon kurz eingegangen sind. Das wären einmal die Reputation und eben die finanzielle Lage des Unternehmens. Dann kommen wir im weitesten Sinne auch schon zu den Risiken als solchen. Und da gilt es dann, die Risiken in Wahrscheinlichkeitsklassen zu klassifizieren.

Genau, also man sollte eben gucken, dass man zum einen einfach mal schaut, was für mögliche Risikokategorien gibt es. Sprich, wir haben auf der einen Seite natürlich klassisch, da denkt jeder zuerst dran, technisches Versagen, sowas wie Internetausfall oder auch Stromausfall. Die Ursache davon ist erstmal egal. Ich habe irgendwo ein technisches Versagen. Und das muss ich dann irgendwie beheben. Dann habe ich als nächstes den Bereich der Vorsatzhandlungen. Also ich habe einen Diebstahl von Hardware oder ich habe einen Hackerangriff. Das wären alles eben entsprechende Vorsatzhandlungen. Dann habe ich den Bereich höhere Gewalt. Das ist so der sicherlich auch mit am schwierigsten zu beleuchtende. Da fällt sowas rein wie ein Feuer. Also wenn mein Bürogebäude... ...abrennt, mein EDV-Raum abbrennt und dann habe ich den Fall Überflutung. Und Überflutung, da hat jeder eine unterschiedliche Einschätzung und unterschiedliches Risikopotenzial sicherlich auch schon mal. Ich sage mal wie hier in Hamburg. Da hat man das schon häufiger mal. Jetzt gerade vor kurzem wieder haben wir das Thema Überflutung durch die Elbe gehabt. Das ist sicherlich ein Thema. Und je nachdem, wo mein Unternehmen dort liegt, sollte ich mir auch darüber danken. Wie ich dann in dem Fall vorgehen kann. Und wir haben noch den Bereich menschliches Fehlverhalten. Also was passiert zum Beispiel, wenn ein Mitarbeiter versehentlich Daten löscht. Das ist jetzt keine Vorsatzhandlung an der Stelle, sondern... ...das ist einfach versehentliches Löschen von Daten. Oder ein Fehler bei der EDV-Wartung. Da wurde ein Stecker von einem Gerät gezogen und es wurde vorher nicht abgeschaltet. Also all solche Dinge können eben in diesen Bereich reinfallen. Und dann sollte ich... ...für diese einzelnen Bereiche und für die einzelnen Fehler, die dort auftreten können, eben auch schauen... ...wie hoch ist die Wahrscheinlichkeit, dass der ganze bei mir eintritt. Und dann kann ich das natürlich auch noch bewerten. In dem Sinne, dass ich sage, wie hoch ist denn der Impact auf mein Unternehmen. Also zu was für einem Schaden führt es, wenn dieser Fall eintritt. Und dann habe ich so die einfachste Rechnung aus dem Risikomanagement. Ist dann Eintrittswahrscheinlichkeit mal Schadenshöhe. Und darüber kann ich zumindest... ...ja reinlegen. Und dann auf dem Papier erstmal abwägen, um welche Themen sollte ich mich hier zuerst kümmern.

Jetzt hattest du vielleicht nochmal ganz kurz ein bisschen das zusammenzufassen, was du gerade gesagt hast. Oder darauf nochmal einzugehen. Zum Thema höhere Gewalt. Das ist ja eben wahrscheinlich auch der Grund, weswegen du am Anfang des Gesprächs sagtest, dass man diesen IT-Notfallplan nicht einfach nur zwingend in die Schublade legen sollte. Sondern eben vielleicht auch an einem externen Ort sichern sollte. Aufgrund dessen, dass ja durchaus die Büroräume auch abbrennen können. Tatsächlich. Und man dann im Zweifel eben gar keinen Zugriff mehr darauf hat. Und eins ist mir noch aufgefallen. Ich könnte mir vorstellen, dass das vielleicht für den einen oder anderen eine durchaus interessante Frage ist. Wir haben ja in den vergangenen Folgen auch diverse Male darüber gesprochen, dass ja der Faktor Mensch in dem Bereich Cyber Security immer noch so ein bisschen das schwächste Glied der Kette ist. Im weitesten Sinne. Jetzt könnte man ja hier meinen, wenn man sich die Übersicht nochmal kurz anhört. Ähm. Dass die Überschriften, ich sag mal weitestgehend, so ein bisschen verschwimmen können auch. Also eben gerade zum Beispiel das menschliche Fehlverhalten mit einer Vorsatzhandlung. Absolut. Ja.

Es geht hier auch nicht darum, irgendwo hier in dieser Übersicht schon zu definieren, was ist wahrscheinlich oder was ist unwahrscheinlich. Sondern es geht so ein bisschen darum, einfach in die verschiedenen Bereiche reinzuschauen. Was sind mögliche Fehler eben oder mögliche Risiken, die auftreten können. Und sich dann im nächsten Schritt. Und da kommen wir eben als nächstes dann drauf. Zu überlegen, welche, mit welchen Szenarien beschäftige ich mich denn hier. Und da werden wir nochmal sehen, dass die sich eben auch sehr stark miteinander vermischen. Und teilweise bestimmte Szenarien eben auch auf mehrere Risiken zutreffen. Ja.

Ja, wir haben jetzt hier, wir haben jetzt hier mal drei Szenarien definiert. Zum Beispiel Ausfall zentraler Computersysteme, Zusammenbruch der Netzinfrastruktur und Zerstörung wichtiger Gebäude. Genau.

Ja, und da sieht man einfach schon, wenn ich mir diese Szenarien anschaue, dann ist ja Ausfall zentraler Computersysteme, kann ja mehrere Ursachen haben. Also es kann unter anderem zusammenhängen mit einem technischen Versagen. Ja. Heißt einfach, ja, ich habe hier irgendwie einen Ausfall der Stromversorgung. Das kann aber auch passieren bei einer Vorsatzhandlung, bei einem Hackerangriff. Oder bei einem Diebstahl. Auch dann ist irgendwo im weitesten Sinne ein Ausfall der zentralen Computersysteme vorhanden. Heißt, da sehen wir einfach schon mal, genau, ist so eine Verschwimmung, ja, verschwimmen die einzelnen Kategorien, die wir oben eben aufgestellt haben.

Genau, Zusammenbruch der Netzinfrastruktur hatten wir jetzt hier noch als Punkt. Vielleicht dazu noch ein, zwei Sätze.

Genau, also Zusammenbruch der Netzinfrastruktur bezieht sich auf technisches Versagen. Ne? Da gucke ich eben, was passiert, wenn ein Stromausfall da ist, was passiert bei einem Internetausfall. Und da muss ich mir natürlich Gedanken machen. Also gerade, das ist vielleicht auch ein Bereich, wo ich sehr gut sehen kann, wen muss ich denn alles informieren? Wenn mir das Internet ausfällt, dann habe ich eine, ja, muss ich darin festhalten, wer ist denn mein Internetprovider? Und wie kann ich den kontaktieren? Was muss ich dann dafür zur Hand haben? Beispielsweise eine Kundennummer oder eine Anschlussnummer? Oder ähnliches. Aber auch, wer kann diese Meldung machen? Weil auch da ist es so, bei manchen Providern kann ja vielleicht gar nicht jeder Mitarbeiter, darf dort eine Störung aufmachen, sondern es dürfen nur bestimmte Mitarbeiter. Und das sollte ich eben alles festhalten, damit dann eben auch klar geregelt ist, okay, wer muss sich jetzt darum kümmern?

Okay, also das heißt im Prinzip sollte man auch schon darauf achten, nicht was muss ich wo melden, sondern vielleicht eben auch, was brauche ich dafür? Ich glaube, das Beispiel mit der Kundennummer war da an der Stelle ganz interessant. Genau. Also ich kann mir echt vorstellen, dass einige sagen, okay, alles klar, wir haben kein Internet, rufen wir bei der Telekom an. Klar. Und dann steht am Ende einer da und weiß erstens nicht, wo er bei der Telekom anrufen soll, was soll er da sagen und wie legitimiert er sich da im Zweifel auch?

Ja, genau, dann geht es los, dann ja, Kundennummer, ja, frag mal bei der Buchhaltung an, die müssen die letzte Rechnung haben, da steht das dann drauf. Und ach ja, die kommen aber vielleicht gerade gar nicht ran, weil die im Homeoffice sitzen und da im Büro kein Internet ist, haben die keinen Zugriff. All solche Dinge, das muss ich halt dann darin berücksichtigen und mir Gedanken vorab machen, ja.

Jetzt haben wir noch einen Drittpunkt, Zerstörung wichtiger Gebäude, das spielt dann so ein bisschen auf die höhere Gewalt wieder an, ne?

Genau, ja, da geht es im Wesentlichen halt wirklich um das Thema Brand und Überflutungen, aber auch noch da muss man halt mal gucken, wie wahrscheinlich das im Einzelnen sein kann. Wir haben hier in Hamburg einen großen Flughafen und je nachdem, wo ich dann möglicherweise mein Unternehmen sitzen habe, kann ich ja auch möglicherweise mal in Betracht ziehen, was passiert, wenn ich da bin. Also, wenn mal so ein Flugzeugabsturz sein sollte, will keiner von uns natürlich irgendwie hoffen, dass es passiert. Aber wenn ich in der Einflugschneise von Hamburg auf Flughafen mein Büro habe, ist auch das ein mögliches Risikoszenario vielleicht.

Ja, das wird glaube ich ganz spannend, wenn wir vielleicht nachher nochmal zu den möglichen Lösungskonzepten für die etwaigen Fallszenarien kommen. Genau. Aber im nächsten Schritt hätten wir jetzt erstmal Wiederanlaufzeiten. Also, das läuft im Prinzip darauf hinaus. Wie lange dauert das? Wie lange dauert das, bis Schaden XY wieder bereinigt ist und wir wieder normal weiterarbeiten können? Und eben auch, was für Kosten entstehen mir als Unternehmer, bis dieser Zeitpunkt erreicht ist?

Genau, das sind so zwei Themen, die eigentlich miteinander dann verschwimmen. Wieder Anlaufzeiten und Kostenermittlung und dann die Lösungen dafür. Denn das bedingt sich ja auch so ein bisschen. Jetzt habe ich vielleicht das Thema Internetausfall. Ich habe gesagt, okay, in den letzten zwei, drei Jahren ist die Internetleitung eben meinetwegen dreimal ausgefallen. Das jeweils für einen Zeitraum von einem Tag. Dann kann ich eben ermitteln, was kostet mich dieser Ausfall für diesen Zeitraum und weiß dann eben quasi, wie hoch dadurch die Kosten sind, wenn das nochmal passiert. Und dann kann ich eben wiederum schauen, die Lösung dafür für die Auswahl der primären Internetleitung könnte sein, ich habe eine zweite Internetleitung, eine Backup-Leitung, kann die Kosten dafür ermitteln. Und kann dann eben auch einfach gegenüberstellen. Okay, was ist denn teurer, was ist günstiger? Ist es vielleicht teurer, den Ausfall in Kauf zu nehmen und zu sagen, okay, damit lebe ich jetzt, dann schicke ich halt alle Mitarbeiter einen Tag lang nach Hause oder lasse dieses Lager aufräumen. Oder aber ist es vielleicht sogar günstiger zu sagen, na gut, die ist vielleicht dreimal ausgefallen, aber jeweils nur für eine halbe Stunde. Das hat mich dann irgendwie ein paar Euro gekostet, ja, aber ist immer noch günstiger, als die Backup-Internetanbindung zu haben. Und das mache ich quasi für alle. Also ich habe alle diese Szenarien, die ich anfangs definiert habe. Also wenn ich mir definiere, was passiert bei einem Ausfall meines EDV-Raums, also sprich eine Zerstörung von Gebäude oder Gebäudeteilen durch einen Brand, Überflutung, dann bin ich sicherlich an dem Punkt, wo ich sage, na gut, wenn ich da keine Lösung für habe, sondern einfach sage, naja, damit lebe ich dann, dann kommen wir wieder zum Anfang zurück. Finanzielle Risiken. Mhm. Das kann möglicherweise die Existenz der Firma bedeuten. Und da muss ich mir vielleicht dann schon ein bisschen mehr Gedanken darüber machen, wie kann ich denn, wie kann eine Lösung aussehen für den Fall der höheren Gewalt, für den Fall eines Brandes? Und auch da wieder Thema, was für einen Betrieb habe ich, wo sitzt der, wo liegt der, habe ich vielleicht eine Produktion mit dran? Das alles führt ja zu einem unterschiedlichen Risiko nachher. Ja.

Jetzt gibt es ja grundsätzlich auch für einige dieser Punkte, die ich jetzt hier vorgestellt habe, die sind ja auch sehr, sehr wichtig. Also die erste, die wir hier aufgeführt haben, eine Cyberversicherung. Genau, ja. Das ist wahrscheinlich aber auch so, dass das die, bevor die einen versichern, auch gewisse, gewisse, auf gewisse Art und Weise, sage ich mal so, einen IT-Notfallplan voraussetzen, oder?

Ja, das hängt natürlich sehr stark ab davon, was will ich denn versichern, in welcher Höhe und wie ist das Risiko in mir. Also die machen ja eine Risikoermittlung. Mhm. Und dafür nutzen die eben auch bestimmte Fragebögen zum Beispiel. Ja. Also wie viel Geld dann eingetragen werden soll, wie abhängig ist man von der EDV, wie ist die aufgestellt, gibt es Schulungen der Mitarbeiter, all solche Themen. Und das fließt nachher bei denen eben dann wiederum in ein System ein, wo dann nachher am Ende rauskommt, ja, okay, ist versicherbar oder nein, ist nicht versicherbar. Oder ja, versicherbar, aber unter Auflagen. Und Auflagen können dann zum Beispiel sein, dass bestimmte Bereiche angepasst werden müssen oder aber, dass ein höherer Beitrag verlangt wird dafür. Ja. Und genau, das fällt hier eben auch mit rein. Generell ist ja fast jedes Risiko, was wir hier aufgezählt haben, auch irgendwo versicherbar über verschiedene Arten der Versicherung.

Ist aber wahrscheinlich auch eine Kostenfrage am Ende, ne?

Ja, natürlich ist es eine Kostenfrage und auf der anderen Seite ja auch immer die Frage, ist das denn das Ziel? Also natürlich ist es gut, wenn mir das Gebäude abbrennt, dann soll ich das versichert haben, ganz klar. Ja. Und dann sollte ich auch prüfen, inwieweit deckt diese Versicherung auch Vollgeschieden ab. Ja. Weil mir vielleicht ein halbes Jahr die Produktion ausfällt. Aber die Frage ist ja immer, und da sind wir wieder bei dem anderen Thema, Reputation. Wenn ich jetzt ein produzierendes Unternehmen habe und ich kann ein halbes Jahr lang oder ein Jahr lang nicht oder nur sehr eingeschränkt meine Kunden beliefern, dann werden die sich zwangsläufig nach anderen Lieferanten umsehen. Exakt. Und dann ist halt die Frage, kommen die danach wieder zurück? So, das heißt, ich habe dann vielleicht eine Versicherung, die mir das Gebäude, meine Produktionshalle neu aufbaut und den direkt zurückkommt. Und dann habe ich dann auch einen Schaden auch ersetzt. Aber trotzdem habe ich danach erstmal keine Kunden mehr, weil die alle zu anderen Lieferanten gegangen sind.

Genau, also so blöd die Frage auch klingen mag, muss man sich natürlich im Zweifel auch immer überlegen, jetzt habe ich das alles versichert, aber benötige ich es denn nach Wiederherstellung im weitesten Sinne überhaupt noch?

Genau, beziehungsweise muss ich halt vielleicht trotz Versicherung eben dafür sorgen, dass die Auswirkungen eben anders auffangbar sind. Das ist so das Thema, ja.

Jetzt ist mir noch was eingefallen. Und zwar, es gibt ja sicherlich… Vielleicht wird sich das auch der ein oder andere da draußen fragen. Es gibt ja sicherlich auch Punkte, also man kann ja beispielsweise auch im weitesten Sinne Opfer einer Cyberattacke werden, ohne dass der Schaden jetzt so groß ist, dass ich nicht weiterarbeiten kann. Ja. Sollte man auch solche Punkte in so einen IT-Notfallplan mit aufnehmen, um eben auch da sehen zu können, was muss ich denn trotzdem tun? Muss ich das vielleicht trotzdem auch irgendwo melden? Sei es, da sind irgendwelche Daten in falsche Hände geraten, die da nicht hin dürfen etc.? Ja.

Also solche Punkte würde ich immer mit aufnehmen. Ich würde immer gucken, was ist in solchen Fällen zu tun. Und das ist ja nachher die konkrete Ausgestaltung von so einem Notfallplan ist ja die Frage, wie weit will ich das Ding führen? Wichtig ist, ich habe es dann aufgeschrieben. Ich habe es definiert. Ich habe es runtergeschrieben. Und ich glaube, das ist gerade eben im Falle, wenn der Notfall erstmal eingetreten ist, kennt jeder, dann ist erstmal irgendwo so ein bisschen Panik da. Und es geht eben darum, ja, in dieser Panik, in diesem Chaos, was dann logischerweise eintritt, dass man sich dann auch noch mal ein bisschen auf die Hand nimmt. Sich darauf zu besinnen, okay, ich habe hier einen Notfallplan. Da steht dieses Szenario drin beschrieben und da steht halt auch eine Lösung, die da definiert ist. Ja.

Würdest du sagen oder würdest du an unsere ZuhörerInnen irgendwie richten wollen, ab was für einer Größe man sowas haben sollte? Also ich kann mir vorstellen, dass es einige Leute vielleicht gibt, die sagen, okay, wir sind, um mal eine Zahl zu sagen, irgendwie drei, vier Leute. Oder würdest du tatsächlich sagen, jeder sollte das machen?

Naja, das, letztendlich ist das Risiko ja, auch für ein Unternehmen mit drei, vier Leuten, der Verlust des Geschäfts, der Verlust von Daten, der Reputationsschaden, das hängt ja nicht unbedingt von der Größe des Unternehmens ab. So, und ich denke, es ist vor allen Dingen bei kleinen Unternehmen sogar in vielen Fällen noch einfacher, weil ich vielleicht gar nicht so viele unterschiedliche Systeme und Prozesse habe, die ich berücksichtigen muss. Und was man auch sagen kann, ist ja, dass wahrscheinlich bei vielen, ja, es gibt ja auch so viele, die sich da nicht so gut befinden. Und ich denke, dass man da auch im Kopf auch sowas schon irgendwo vorhanden ist. Also viele werden irgendwo im Kopf sich Gedanken gemacht haben, naja, was mache ich eigentlich, wenn hier mal der Strom aus das Internet ausfällt? Und jetzt ist ja eigentlich das, was nur noch fehlt, das einmal aufzuschreiben und irgendwo wegzulegen.

Heißt, ich bin dann eigentlich schneller fertig. Genau, man wird vermutlich, ja, ich glaube, man wird vermutlich bei ganz vielen Dingen intuitiv so oder so erstmal das Richtige machen wollen, wenn der Schaden eintritt. Wie? Um bei diesen einfachen Beispielen, Internet ausfällt und Strom ausfällt, zu bleiben. Also da wird ja wahrscheinlich jeder erstmal intuitiv zum Hörer greifen, den Stromversorger anrufen oder den Internet Service Provider anrufen. Genau. Jetzt klingt das ja resümiert so, dass auch, wir sind ja nun wie gesagt bei Folge 18 und ich glaube, dass wir tatsächlich in den ersten 17 Folgen, die hier vorangegangen sind, sicherlich schon den einen oder anderen Input dazu geliefert haben, der dazu führen kann, dass man hier quasi ja für den einen oder anderen Punkt schon so etwas wie seinen eigenen Notfallplan daraus konstruieren kann. Und nichtsdestotrotz glaube ich, dass wir jetzt schon so etwas wie seinen eigenen Notfallplan daraus konstruieren können. Also ich glaube, dass die Erstellung eines solchen Notfallplans schon in enger Zusammenarbeit eben auch mit Geschäftsführung und dem entsprechenden IT-Dienstleister passieren soll, richtig?

Auf jeden Fall, ja, ganz klar. Also das muss so passieren. Derjenige, der die IT betreut, also wenn ein IT-Dienstleister vorhanden ist, der muss da natürlich mit eingebunden werden, weil der natürlich auch Einblick hat in die Strukturen, der kann die Risiken möglicherweise auch mithelfen abzuschätzen. Und letzten Endes muss die Geschäftsführung mit eingebunden sein, weil es geht natürlich um Risiken. Es geht um Risiken für das Geschäft, für die Firma, für den Weiterbetrieb der Firma und das ist klassisch eben Thema der Geschäftsführung, ja.

Es geht ja letztendlich auch in gewisser Art und Weise schon auch um Zahlen in Form von Geld, die da eben berücksichtigt werden müssen bei Berechnungen, wie beispielsweise wie lange dauert das eigentlich, bis wir hier wieder arbeiten können. Ja.

Genau. So ist es.

Ja, ich würde sagen, das war ein ganz guter Einstieg ins Thema IT-Notfallplan und würde an dieser Stelle wieder für alle da draußen, die jetzt sagen, okay, alles klar, das klingt gut, das sollten wir mal machen, auf unsere Internetseite verweisen, hage-it.de slash Termin. Da kann man sich bei entweder uns oder einem unserer Kollegen einen entsprechenden Termin für eine Beratung buchen.

Und würde dann auch sagen, ja, das ist ja auch ein guter Einstieg. Ja, das ist ja auch ein guter Einstieg. Ja, das ist ja auch ein guter Einstieg.

Ja, das ist ja auch ein guter Einstieg.