Die Bundesregierung ergreift einschneidende Maßnahmen im Kampf gegen das Corona-Virus. Folgende Punkte sollten Sie unbedingt prüfen, damit Ihre IT bei Standortschließungen, Reisebeschränkungen etc. handlungsfähig bleibt.
- Vertretungsregelung: Um die Kontrolle über alle IT-gestützten Prozesse zu behalten, ist es zwingend notwendig, stets Zugriff zu allen Systemen und Daten zu haben. Dafür sollten die Berechtigungskonzepte und Vertretungsregelungen geprüft und gegebenenfalls angepasst werden. Das geht vom SAP-Key User über den Server Administrator bis hin zu den Verantwortlichen für die Finanzbuchhaltung, die Zahlungsfreigaben und für das Controlling-Tool. Jede Funktion sollte mit Zweit- und möglichst Drittbesetzung ausgestattet sein.
- Krisenstab: Schnelle und abgestimmte Entscheidungen sind unverzichtbar in einer Krise. Dementsprechend ist unbedingt ein abteilungsübergreifender Krisenstab einzurichten, da auch in Krisenzeiten das Interesse des gesamten Unternehmens gewahrt werden muss. Der Krisenstab sollte flexibel erreichbar sein und regelmäßig kommunizieren, um auf die volatile Situation angemessen reagieren zu können. Dafür sollte er mit entsprechenden Vollmachten ausgestattet sein, damit schnelle Entscheidungen herbeigeführt werden können.
- Urlaubssperren für zentrale Funktionen in Unternehmen sind zwingend notwendig, auch wenn es nicht immer leicht fällt, dies zu kommunizieren. Es muss stets sichergestellt sein, dass alle Abteilungen mit dem grundlegenden Know-how ausgestattet sind und bleiben.
- Firefighter Accounts: Eine letzte Absicherung gegen den Ausfall des Berechtigungs- und des Vertretungskonzeptes sind sogenannte "Firefighter"-Accounts. Diese sind für den Notfall mit klar definierten, aber erweiterten Rechten ausgestattet. Zur Sicherheit sollten die Passwörter zu einem solchen Account auf mehrere Mitarbeiter aufgeteilt werden. Zum Beispiel könnten vier Mitarbeiter mit den Accounts und den Passwörtern ausgestattet werden, wobei es immer mindestens zwei Authentifizierungen braucht, um damit arbeiten zu können. Idealerweise gibt es für diese „Firefighter“-Accounts auch eine Möglichkeit des sicheren Remotezugriffs für den Notfall.
- Internetanbindung: Verstärktes Arbeiten aus dem Home Office stellt diverse Aufgaben an die Infrastruktur eines Unternehmens. Grundlage ist eine stabile Internetverbindung. An dieser Stelle muss geprüft werden, ob die aktuelle Internetverbindung des Unternehmens für die zahlreichen externen Zugriffe durch die im Home Office tätigen Mitarbeiter, ausreichende Kapazitäten bietet oder ob eine Erweiterung der Bandbreite notwendig ist.
- Kapazität des VPN: Damit die Internetanbindung entsprechend ausgeschöpft werden kann ist sicherzustellen, dass genügend VPN-Verbindungen – also externe Verbindungen in das Firmennetzwerk – verfügbar sind. In der Regel ist die Anzahl der Verbindungen im Vergleich zur gesamten Belegschaft eher gering, da nur wenige Mitarbeiter aus dem Home Office arbeiten. Ein Home Office für einen erweiterten Personenkreis führt hier zu dringendem Handlungsbedarf. Eine essentielle und einfache Maßnahme, um die Kapazität des VPN zu schonen, besteht darin, die Mitarbeiter über die richtige Nutzung des VPN-Zugangs zu informieren, sodass dieser nur dann genutzt wird, wenn er wirklich gebraucht wird. In jedem Fall sollte geprüft werden, ob die Infrastruktur eine ausreichende Anzahl an Verbindungen und Datendurchsätzen gewährleistet.
- Telefonleitungen: Ohne den direkten Kontakt im Büro werden vermehrt Telefonate auch unter den Mitarbeitern geführt werden. Hier ist zu prüfen, ob genügend Telefonleitungen vorhanden sind. Andernfalls müssen Kapazitäten erhöht oder die Mitarbeiter dazu angehalten werden, auf Mobiltelefone umzusteigen. Eine sinnvolle Maßnahme kann darin bestehen, dass die Mitarbeiter verstärkt Webkonferenzen mit Teams oder anderen Kommunikationslösungen durchführen, die die Telefonanlage nicht weiter belasten. In einigen Fällen kann es sich anbieten, nur die Sekretariate mit entsprechenden Lizenzen auszustatten, sodass diese entsprechende Konferenzen zentral einrichten können.
- Laptops und Remotezugänge: Die vorangegangen Punkte setzen voraus, dass für alle essentiellen Mitarbeiter ein mobiles Gerät vorhanden ist und entsprechend verteilt wurde oder verteilt werden kann. Sollten nicht genügend Laptops vorhanden sein, besteht die Möglichkeit, den Mitarbeitern spezielle Arbeitsumgebungen zur Verfügung zu stellen, die sie von ihren privaten Geräten nutzen können. Im Zuge einer Nutzung solcher Remotezugänge sollte die BYOD-Richtlinie („Bring-your-own-device“) geprüft und gegebenenfalls für den Ausnahmezustand angepasst werden. Ebenfalls ist dabei darauf zu achten, dass nur sichere Lösungen wie zum Beispiel Citrix eingesetzt werden.
- Prüfung der Ausstattung: Solange noch kein Shutdown ausgerufen ist, bietet sich ein Test der Software und Hardware der Mitarbeiter für das Arbeiten im Home Office an. Dabei sind diverse Fragen zu klären, wie zum Beispiel: Ist die Technik einsatzbereit? Sind die Mitarbeiter ausreichend geschult, um die (neue) Technik von Zuhause aus einzusetzen?
- Videokonferenzen: Für die Kommunikation zwischen den einzelnen Standorten des Unternehmens oder mit Kunden oder Geschäftspartnern bieten sich – um den Kontakt persönlich zu halten – Videokonferenzen an. Diese Form der Kommunikation muss bei der Prüfung der Internetanbindung mitberücksichtigt werden, da hier viel Bandbreite benötigt wird. Ebenso muss für die richtige Ausstattung (Software und Hardware) sowie für passende Räumlichkeiten gesorgt sein.
- Zutrittskontrolle: Bei einem Shutdown oder einer starken Einschränkung der Benutzbarkeit der unternehmenseigenen Räumlichkeiten, ist auf eine Kontrolle der zutrittsberechtigten Personen zu achten. Dabei ist zu prüfen, ob ein zentrales Schließsystem vorhanden ist, das die Möglichkeit bietet, gezielt einzelnen Mitarbeitern Zugang zu gewähren und anderen zu verwehren.
- Posteingang: Die Post muss weiterhin angenommen und weitergeleitet werden. Da es wenig praktikabel ist, die Sendungen direkt an die Heimatadresse weiterzuleiten, sollte hier ein Prozess definiert sein, der das Einscannen der Unterlagen und den anschließenden Austausch der Daten abdeckt. Hierbei ist sowohl der Datenschutz als auch das Briefgeheimnis zu berücksichtigen. Ebenso ist in vielen Fällen die Nutzung des E-Mail-Systems nicht möglich, da dieses eine solche zusätzliche Datenmenge ggf. nicht verarbeiten kann. Hier bieten sich sichere Dateiaustauschplattformen bzw. Datenräume an.
- Druck: Ebenso verhält es sich mit der zu versendenden Post. Gibt es Dokumente, die unbedingt ausgedruckt werden müssen? Ist eine Unterschrift auf dem Dokument notwendig? Sollte es nicht möglich sein, auf eine elektronische Unterschrift (Signatur) umzusteigen, muss auch hier ein Prozess aufgebaut werden, um die Verarbeitung der Dokumente zu gewährleisten. Es ist dabei darauf hinzuweisen, dass die Einführung einer digitalen Signatur für den einzelnen Mitarbeiter relativ einfach ist, die Einführung in einem Unternehmen insbesondere bei der Nutzung von elektronischen Workflows einen erheblichen Vorlauf benötigt.
- Bevorratung: Es empfiehlt sich, essentielle Hardware Komponenten in geeignetem Maß vorzuhalten, da Lieferketten der Hersteller nur eingeschränkt funktionieren oder komplett einbrechen können. Dabei sollten alle Hardware-Komponenten, die für das tägliche Arbeiten notwendig sind, berücksichtigt werden (Laptops, Headsets, Festplatten, usw.).
- Wartungsarbeiten: Ziehen Sie geplante Wartungsarbeiten und Hardware-Austausch nach Möglichkeit vor. So sind Sie besser auf den Fall von Absperrungen vorbereitet, da in einem solchen Fall die notwendigen Wartungen nicht mehr möglich sind.
- Kommunikation an die Mitarbeiter: Kommunizieren Sie die geplanten Maßnahmen möglichst frühzeitig an Ihre Mitarbeiter, um Unsicherheiten vorzubeugen. Sollten Sie neue Verfahren oder Technik einführen, sollten Sie den Mitarbeitern Anleitungen zur Verfügung stellen.