Einer Marktbeobachtung von Steria Mummert Consulting (SMC) zufolge hat jedes zweite deutsche Unternehmen keinen Notfallplan für IT-Sicherheitsvorfälle. Vielen Unternehmen fehle schlicht die Vorstellung, was bei einem IT-Ausfall passieren könne. Einige Unternehmen verfügten zwar über Backup-Server oder sogar über ein teures Ausweichrechenzentrum, doch nur wenige hätten überhaupt eine Definition, wann genau ein Notfall eingetreten sei.
Ebenso fehlt oft eine Definition, wer benachrichtigt werden muss und wer im Fall des Ausfalls Entscheidungen trifft. Das Unternehmen warnt, dass ein komplett fehlender Notfallplan dem Geschäftsführer oder Vorstand sogar als Vorsatz ausgelegt werden kann – schließlich sei die Firmenleitung gesetzlich verpflichtet, die Existenz des Unternehmens zu sichern.
SMC rät Firmen, zeitnah eine umfassende Bedrohungs- und Risikoanalyse zu starten und die Reaktionen für den Ernstfall regelmäßig üben. Denn auch der beste Plan sei wirkungslos, wenn im Notfall das Administrator-Passwort eines wichtigen IT-Systems fehlt. Dr. Gerald Spiegel von SMC erläutert:
„Notfallplanung wird in vielen Unternehmen noch stiefmütterlich behandelt, da sich die Investition nur in einem Fall auszahlt, den niemand haben möchte. Doch Notfallvorsorge zahlt sich auch aus, wenn kein K-Fall eintritt, denn Unternehmen beschäftigen sich mit ihren kritischen Geschäftsprozessen und können daraus Maßnahmen zur Effizienzsteigerung und Absicherung treffen.“