Analysten-Kolumne

Fünf Anzeichen für eine nicht ausreichende Katastrophenfallvorsorge

26. März 2008
Von Rüdiger Krojnewski
Man stelle sich vor, Dan Aykroyd würde in seinem Ghostbusters Anzug die Gespenster von EuroSoX, KonTraG und Basel II jagen und erlegen, was wäre die Welt einfach. Nun gibt es aber weder Geisterjäger wie im Film, noch existieren Geisterfallen, in welchen sich einfach und dauerhaft die erwähnten Gespenster fangen und einsperren lassen.
Forrester-Analyst Rüdiger Krojnewski: "Pläne für den Katastrophenfall sind Prozesse, die in den Alltag integriert sein sollten."
Forrester-Analyst Rüdiger Krojnewski: "Pläne für den Katastrophenfall sind Prozesse, die in den Alltag integriert sein sollten."

Den Ergebnissen der Forrester Umfrage von 2007 zum Stand der K-Fall Vorsorge zufolge sind 70 Prozent der befragten Unternehmen gut bis sehr gut auf einen K-Fall vorbereitet. Dieses bedeutet jedoch auch, dass in 30 Prozent der befragten Unternehmen Raum für Verbesserungen existiert.

Vorsorgekonzepte für den Katastrophenfall (K-Fall) sind, bedingt durch die Natur der Sache, umfangreich und komplex. Als Element des Risiko-Managements, das von den oben angeführten Regelungen und Gesetzen gefordert wird, sind sie aber mehr als nur technische Finessen der IT. Außenstehenden, welche nicht direkt mit ihnen befasst sind, erschließen sich weder Sinnhaftigkeit noch Vollständigkeit unmittelbar. Die Verantwortung hierfür liegt jedoch am Ende genau in einem Personenkreis, welcher nicht zwingend die Fach- und Sachkenntnisse zur sicheren Bewertung hat - dem CIO und dem CEO.

30 Prozent der befragten Unternehmen stufen ihr K-Fall Konzept als unzureichend ein.
30 Prozent der befragten Unternehmen stufen ihr K-Fall Konzept als unzureichend ein.

Schon seit 1998 ist durch das KonTraG der §91 des Aktiengesetzes so gefasst, dass der Vorstand ein Überwachungssystem einzurichten hat, welches ihn den Fortbestand des Unternehmens gefährdende Risiken früh erkennen lässt. Für viele Unternehmen ist zudem durch den Sarbanes Oxley Act, wie auch die Umsetzung der achten EU Richtlinie, eine Vorstandshaftung für das Risiko-Management hinzugekommen.

Wie aber kann nun ein Vorstand erkennen, ob in der IT, den Fortbestand des Unternehmens gefährdende, Risiken lauern? Anzeichen hierfür sind gegeben, wenn von den nachfolgenden Punkten nicht alle verneint werden können.