Causa Crowdstrike – Was nun?
Aus dem Crowdstrike-Vorfall können zahlreiche Konsequenzen gezogen werden. Vieles wurde dazu bereits geschrieben. Die Schuldigen scheinen ausgemacht. Crowdstrike muss systematischer testen und schrittweise ausrollen. Microsoft muss Maßnahmen zum Schutz seines Kernels ergreifen.
Was häufig außer Betracht gelassen wird, ist die strategische Sicht der Crowdstrike-Kunden.
Nicht jede Verantwortung lässt sich delegieren!
Für den stabilen Betrieb einer Fluglinie, eines Flughafens, Krankenhauses und vieler anderer Einrichtungen sind die Unternehmen zuallererst selbst verantwortlich. Sie müssen sicherstellen, dass so ein simpler Null-Pointer-Bug ihr Unternehmen nicht lahm legen kann. Vor allem dann, wenn sie auf die Kompetenz des Programmierers keinen Einfluss haben, ihn nicht kennen und vielleicht nicht einmal ahnen, auf welchem Kontinent er mit welchen sekundären Intentionen tätig ist.
Ohne Zweifel ist es unerlässlich, auf Zulieferer und Dienstleister zurückzugreifen und qualitative Anforderungen an ihn zu stellen. Doch wenn eine Ausnahmesituation eintritt, sollte ein Unternehmen gegenüber Kunden nicht auf Dienstleister verweisen sondern selbst wissen, was zu tun ist, um das Produkt weiterhin zu liefern oder die Dienstleistung aufrecht zu erhalten.
In unserer stark vernetzten Welt sieht man das oft nicht so. Fast immer findet man einen Schuldigen, auf dem man zeigen kann. Erst in Extremsituationen wird die eigene Verantwortung offensichtlich.
Auf meiner Einhand-Pazifiküberquerung wurde dies besonders deutlich. Wenn ich allein auf See bin und eine Havarie eintritt, gab es zuvor vielleicht einen Mechaniker, der einen Fehler gemacht hat. Er ist jedoch weit weg. Wer steht also in der Verantwortung, hier und jetzt eine Lösung zu finden? Nur ich selbst!
Was bedeutet das für Sie?
1. Werfen Sie einen Blick auf Ihre SWOT-Analyse!
In Ihrer SWOT-Analyse sollte unter Threats/Bedrohungen/Risiken das Thema IT-Sicherheit oder Resilienz in irgendeiner Form auftauchen. Falls nicht oder es gar keine Übersicht über Ihre Stärken, Schwächen, Chancen und Risiken gibt, nehmen Sie bitte Kontakt mit mir auf.
2. Prüfen Sie Ihre Strategien auf IT-Sicherheit und Resilienz
Je nach Stärken und Schwächen Ihres Unternehmens können unterschiedliche Wege gewählt werden, um die identifizierten Risiken zu minimieren und zu mildern. Mit Sicherheit gehören konkrete Maßnahmen für das BCM und ITSCM dazu. Irgendwo muss nicht nur aufgelistet, sondern auch bekannt sein, von welchen externen Services Sie abhängig sind, welche Maßnahmen Sie bei einem Ausfall durchführen können und wie der Status der Umsetzung dieser Maßnahmen ist. Wenn das nicht der Fall ist, nehmen Sie bitte Kontakt mit mir auf!
3. Gewährleisten Sie die Qualifikation Ihrer Mitarbeiter
Für eine Dienstleistung, ein Produkt oder einen zugehörigen Prozess gibt es operativ verantwortliche Mitarbeiter. Wissen Sie, wer diese sind? Wissen die Mitarbeiter, was in welchem Fall zu tun ist?
Es ist immer häufiger zu beobachten, dass sich auf Grund der Digitalisierung die Mitarbeiterkompetenz abnimmt. So weiß heute kaum noch jemand, wie ein Betriebssystem im abgesicherten Modus gestartet wird, um eine fehlerhafte Datei zu löschen. Dank der Virtualisierung, die sicherlich auch viele Vorteile mit sich bringt, sind Mitarbeitende teilweise nicht einmal mehr in der Lage, den Rechner zu lokalisieren.
Dieser Kompetenzverlust muss ausgeglichen werden. Wieder kommt es auf die richtigen Maßnahmen an. Je nach ihren Stärken/Schwächen können Schulungen, die Etablierung von Prozessen, die Implementierung eines Assistenzsystems oder weitere Maßnahmen dazu beitragen, die Stabilität zu verbessern. Auch hier gilt: Nehmen Sie gern Kontakt zu mir auf, wenn ich Sie dabei unterstützen kann, die richtigen Strategien für Ihr Produkt oder Ihre Dienstleistung zu finden und umzusetzen.