Ein Stromausfall, ein Hackerangriff: Von einer zur nächsten Sekunde sind übliche Kommunikationswege abgeschnitten, wichtige Informationen stehen nicht mehr zur Verfügung. Insbesondere für Institutionen wie Banken, für die ein Ausfall der kritischen Infrastrukturen immense Konsequenzen hat, gilt es nun die Auswirkungen von Not- und Krisensituationen auf ein Minimum zu reduzieren. Der Gesetzgeber hat hier klare Vorgaben entwickelt. Aber sind die wirklich ausreichend? Derzeit entscheiden sich viele Banken und Finanzinstitute noch einen Schritt weiterzugehen und mit Hilfe eines autarken Notfalldatenraums für die Zukunft auch sehr praxisbezogen vorauszuplanen. Nur so lassen sich drohende Risiken minimieren.
In Bevölkerung, Wirtschaft und Industrie ist längst das Bewusstsein geschaffen, dass IT-Systeme ganz konkrete Angriffsziele von Cyberkriminalität sind. Auch in Banken und Sparkassen stellen die Verantwortlichen ihre Technik auf den Prüfstand und suchen alte Notfallpläne heraus. Kunden die dp:board nutzen, entscheiden sich mehr zu tun, als es die gesetzlichen Mindestanforderungen vorgeben. Sie entwickeln gemeinsam mit der denkende portale gmbh einen vollständig autarken Notfalldatenraum. Sämtliche Mitarbeitende haben darüber Zugriff auf ein aktuelles Telefonverzeichnis, Notfallpläne sowie Dienstanweisungen. Darüber hinaus gewährleistet das Portal die elektronische Kommunikation – auch wenn eine Nutzung von E-Mails nicht möglich sein sollte.
Gesetzliche Mindestanforderungen: Wirklich ausreichend?
Ein Blick in das Kreditwesengesetz (KWG) §25 zeigt, dass der Gesetzgeber für ein wirksames Risikomanagement konkrete Notfallkonzepte fordert. Präziser: Die Kreditinstitute müssen für Notfallkonzepte sorgen, die Vorsorge-, Wiederanlaufstrategien sowie Dokumentationsunterlagen umfassen. Aber auch Testkonzepte, die das regelmäßige Überprüfen dieser Prozesse sicherstellen sollen, sind Bestandteil der Anforderungen. Folglich wurde in den Instituten ein Notfallverantwortlicher bestimmt, ein Notfallhandbuch angelegt und Testkonzepte verfasst. In einigen Fällen sorgten die Verantwortlichen zusätzlich für ein Notstromaggregat, eine Backup-Leitung zum Rechenzentrum oder planen vielleicht sogar eine alternative Vernetzung, etwa via Satellitenkommunikation. Und dennoch stellt sich vielen Verantwortlichen in den Instituten die Frage, ob sie im Fall der Fälle wirklich ausreichend handlungsfähig sind?
Kommunikation, Kommunikation, Kommunikation
Experten wissen längst, um die Mitarbeitenden im Notfall flächendeckend informieren zu können, sowie den Austausch zum und mit dem Krisenstab zu gewährleisten, ist Kommunikation das A und O – unabhängig vom Banking-System. Banken, die mit dp:board arbeiten, nutzen hierzu das hochmoderne Datenraumsystem: Ungeachtet dessen, wo sich die Mitarbeitenden zum Zeitpunkt des Notfalls aufhalten, via Handy können sie auf den Notfalldatenraum zugreifen und hier ausführliche Informationen zum Schadensereignis an sich und zum voraussichtlichen Zeitpunkt der Behebung erhalten. Auch aktuelle Notfallpläne sind einsehbar, etwa um allgemeine Geschäftstätigkeiten. So bleibt die Kommunikations- und Handlungsfähigkeit erhalten, auch wenn sämtliche Leitungen gekappt sind. Lösungen wie dp:board (agree21ARpro) verfügen über ein Postfachsystem, mit dem die Mitarbeitenden untereinander kommunizieren können, selbst dann, wenn die entsprechenden Banksysteme nicht erreichbar sind. Daneben verfügt das System über ein Rollen- und Rechtesystem. So sind bestimmte Bereiche des Datenraums, etwa das Krisen-Handbuch, nur für einen festgelegten Personenkreis zugänglich. Während einige Mitarbeitende Dokumente einstellen und bearbeiten können, verfügen andere nur über einen Lese-Zugriff.
Daten für den Notfall: Überall und jederzeit informiert
Im ersten Schritt gilt es ein Telefon- und Kontaktverzeichnisses der Mitarbeitenden, unter Einbezug der organisatorisch wichtigen Daten, zu erstellen. In den Nutzerinformationen kann zudem auch die private Mobilnummer hinterlegt sein. Nur ein stark begrenzter Personenkreis hat Zugriff auf diese Daten. So ist es möglich, über diese Telefonnummern Serien-SMS-Nachrichten an alle oder nur ausgewählte Teilnehmer zu versenden und über einen Krisenfall sowie erste Anweisungen in Kenntnis zu setzen. Hierbei haben Institute die Wahl, ob Sie ein zu pflegendes System nutzen wollen oder lieber ein PDF-Dokument.
Fazit
Mit dp:board gehen Banken und Kreditinstitute bei der Umsetzung der gesetzlichen Forderungen zum Notfallmanagement einen Schritt weiter: Ein integriertes Kommunikations- und Informationssystem, das von der Bank getrennt ist, gewährleistet die Kommunikation und Organisation auch dann, wenn die Banksysteme ausfallen sollten. In Zeiten von Cyberkriminalität ein wichtiger Schritt für mehr Sicherheit.