Es muss kein Blackout sein
Es muss kein nationaler Blackout sein, der unseren Arbeitsalltag unterbricht. Es reicht dafür auch ein bei Bauarbeiten versehentlich durchtrenntes Kabel, oder eine wodurch auch immer geartete Störung. Und schon hat nicht nur ein Gebäude keinen Strom, sondern ein ganzer Straßenzug oder ein ganzer Häuserblock. Es ist daher unerlässlich, dass wir uns alle auf einen solchen Fall vorbereiten.
Vorbereitung
Dass uns irgendwann ein Stromausfall treffen wird, dürfte nahezu unausweichlich sein. Daher gilt es schon im Vorhinein abzuschätzen, wie weit uns ein Stromausfall einschränken wird. Für ein Beratungsunternehmen, in dem alle Mitarbeiter und Mitarbeiterinnen über mobile Endgeräte verfügen, sich die Infrastruktur vollständig in der Cloud befindet und das Arbeiten zu Hause oder beim Kunden eher die Regel ist, dürften die Auswirkungen gering sein. Ein produzierendes Unternehmen hingegen, das auf Maschinen vor Ort angewiesen ist, wird ohne Strom kaum arbeiten können. Wie sehr die Tätigkeiten beeinflusst sind, hängt also von jedem Unternehmen individuell ab und sollte entsprechend festgehalten werden.
Ich würde hier von Notfallplan sprechen, aber bevor ein Notfallplan entwickelt werden kann, sollte man sich den genauen Auswirkungen bewusst sein. Und dazu gehört z.B. auch zu wissen, wie lange man ohne Strom agieren könnte, zu welchen Tageszeiten die Auswirkungen besonders hoch (oder niedrig) wären, und welche Auswirkungen mit welchem Umfang eines Stromausfalls zusammenhängen.
Technische Aspekte
Redundante Stromversorgung, ein eigener Generator, Batteriespeicher und Photovoltaik, bidirektionale Ladestationen können die Auswirkungen verhindern oder abmildern. Aber bei eigener Stromerzeugung oder Speicherung muss im Notfall der Stromverbrauch reduziert bzw. rationiert werden. Daher sollte es bereits im Vorfeld einen entsprechenden Plan geben, welche Systeme/Stromkreise versorgt werden und wie dies technisch (oder organisatorisch) sichergestellt werden kann.
Wir mögen Berater für Informationssicherheit sein, aber auch hier muss man sagen: Stromausfälle betreffen alle Unternehmensbereiche und sollten daher im Gesamtkontext betrachtet werden. Das bedeutet insbesondere, dass man nicht nur die direkten Auswirkungen betrachten darf. Es hilft nichts, die gesamte lokale IT-Infrastruktur am Laufen zu halten, wenn im Winter gleichzeitig die Heizung ausfällt und die Mitarbeiter nicht arbeiten können/dürfen. Oder kein Wasser fließt, weil es auf eine interne Pumpe angewiesen ist.
Geplante Ausfälle
Wenn eine Unterbrechung der Stromversorgung angekündigt ist, dann sollte man auch darauf vorbereitet sein. Das sollte auch nicht unter Notfallmanagement fallen, sondern einem geregelten Plan folgen. Alle Systeme sind geregelt (und frühzeitig) herunterzufahren. Und ja, es bietet sich an, nicht nur einen Wiederanlaufplan zu haben. Und zu wissen, wie lange dieser Prozess dauert. Die Räumlichkeiten sind bei Bedarf abzusperren. Und hier stellt sich dann schon die Frage, inwieweit ein Stromausfall Auswirkungen auf die physische Sicherheit hat. Handelt es sich um elektronische Schließsysteme? Was ist zu beachten, wenn diese nicht mit Strom versorgt werden? Bedarf es dann eines physischen Schlüssels, der normalerweise im Tresor liegt, oder der sich im Besitz eines ganz bestimmten Mitarbeiters befindet?
Sind die Systeme runtergefahren, alle nicht benötigten Räumlichkeiten/Lokalitäten abgesperrt, bleibt zu prüfen, inwieweit die Informationssicherheit noch betroffen sein könnte. Videoüberwachungsanlagen, Bewegungsmelder, vielleicht sogar die Alarmanlagen werden eventuell nicht mehr funktionieren. Sollten also ausgewählte Mitarbeiter zurückbleiben, um die Räumlichkeiten zu bewachen? Oder sollte man einen Wachdienst damit beauftragen?
"Angestellte sind Menschen, und wenn es zu einem Blackout kommt, dann haben viele wahrscheinlich noch ganz andere Sorgen als ihre Arbeit."
Ungeplante Ausfälle
Tritt der Stromausfall spontan auf, würde ich eher dazu tendieren, von einem Notfall zu sprechen. Ersatzsystem sollten automatisch einspringen. Es lohnt sich aber, dies regelmäßig zu testen. Denn im Notfall herauszufinden, wo der Fehler liegt, klingt nach unnötig viel Stress und nach einer unnötig langen Unterbrechung von Kernprozessen. In jedem Fall sollte ein Notfallplan vorliegen, der insbesondere beschreibt, wie möglichst schnell die Ursache gefunden werden kann, um abzuschätzen wie lange dieser Stromausfall voraussichtlich dauern und wie umfangreich er sein wird. Denn darauf aufbauen heißt es, alle Mitarbeiter, Mitarbeiterinnen und andere betroffene Parteien zu informieren. Und wenn der Mailserver im Keller keinen Strom mehr hat, dann muss auch hier schon ein Kommunikationsmittel feststehen, über das man alternativ kommunizieren kann. Was impliziert, dass die Kontaktdaten in dem Moment auch zur Verfügung stehen müssen. Personen, die im Büro vor Ort sind, zu informieren, ist einfach. Aber was, wenn der Stromausfall vor Arbeitsbeginn geschieht? Wie kann man dann die Mitarbeiter und Mitarbeiterinnen informieren, die noch zu Hause sind, damit diese gar nicht erst ins Büro kommen? Und wenn der stadt- oder landesweite Blackout auch unwahrscheinlich ist: wann dürfen MitarbeiterInnen eigenständig entscheiden, nicht ins Büro zu kommen ohne sich abzumelden (weil sie dies technisch einfach nicht können)?
Menschliche Aspekte
Bedenken Sie auch: Angestellte sind Menschen, und wenn es zu einem Blackout kommt, dann haben viele wahrscheinlich noch ganz andere Sorgen als ihre Arbeit: pflegebedürftige Angehörige, Kinder, die alleine nach Hause gehen. Lassen Sie diese Nöte nicht außer Acht. Wägen Sie genau ab, wann diese wichtiger sind als die des Unternehmens. Oder besser: wie sie beide am besten bedienen können.
Fazit
Wie an so vielen Stellen der Informationssicherheit zeigt sich auch hier wieder: Seien Sie vorbereitet. Das muss nicht per Notfallplan geschehen und auch nicht als offizielle Übung. Vielleicht sitzen Sie auch bei der Mittagspause im kleinen Rahmen zusammen und diskutieren nur die möglichen Auswirkungen. Natürlich dürfen Sie auch einen offiziellen Workshop mit dokumentiertem Ergebnis durchführen. Was Sie tun, muss zu Ihrem Unternehmen, Ihrer Kultur und Ihren Mitarbeitern und Mitarbeiterinnen passen. Und dann bereiten Sie Ihre Kollegen und Kolleginnen darauf vor. Erläutern Sie das Thema auf einem Firmenevent, veranstalten Sie eine Schulung, veröffentlichen Sie einen Artikel in Ihrem Intranet, regen Sie Ihre Angestellten zur Diskussion an; sammeln Sie Feedback!