Keine Dokumentation - Ein Erfahrungsbericht

In der heutigen Zeit sind Informationstechnologien (IT) aus dem Geschäftsbetrieb vieler Unternehmen nicht mehr wegzudenken. Die Digitalisierung schreitet voran und immer mehr Prozesse werden automatisiert. Doch trotz der zunehmenden Bedeutung von IT-Systemen gibt es immer noch Firmen, die keine IT-Dokumentation als notwendig erachten.

Vor einiger Zeit hatte ich Kontakt mit einer Firma, die ich hier exemplarisch nennen möchte, ein kleines Unternehmen, das in der Anwaltsbranche tätig ist, der ich dringend ans Herz gelegt habe, eine Dokumentation zu erstellen und zu pflegen.

In den letzten Jahren hatte die Kanzlei die IT-Infrastruktur kontinuierlich ausgebaut und modernisiert. Die war unter anderem Notwendig geworden, da diese Kanzlei sich in zwei Kanzleien aufgespalten hat. Dabei wurde jedoch keine IT-Dokumentation erstellt, die die Systeme und Prozesse beschreibt.

Auf Nachfrage begründete der Geschäftsführer diese Entscheidung damit, dass die IT-Systeme zwar wichtig seien, es aber aus seiner Sicht nicht notwendig sei, diese schriftlich zu dokumentieren. Er vertraue seinen Mitarbeitern, sowie dem Dienstleister für seine IT und sei der Meinung, dass diese in der Lage seien, auch ohne schriftliche Anweisungen mit den Systemen umzugehen. Vor allem der Dienstleister habe ja externen Zugriff rund um die Uhr.

Eine solche Haltung birgt jedoch einige Risiken. Ohne eine ordnungsgemäße IT-Dokumentation besteht die Gefahr, dass bei einem Ausfall eines Systems oder einer Störung im Betrieb wertvolle Zeit verloren geht, da die Mitarbeiter keine klaren Anweisungen haben, wie sie vorgehen sollen. Auch bei der Einarbeitung neuer Mitarbeiter kann es zu Problemen kommen, da diesen keine einheitlichen und strukturierten Informationen zur Verfügung stehen.

Zudem können fehlende IT-Dokumentationen auch Auswirkungen auf die Compliance haben. Viele Branchen unterliegen gesetzlichen Vorgaben, die eine lückenlose Dokumentation der IT-Prozesse verlangen. Ohne diese kann es zu rechtlichen Konsequenzen kommen.

Insgesamt ist es daher aus meiner Sicht sehr riskant, keine IT-Dokumentationen zu erstellen. Es ist ratsam, sich mit den eigenen IT-Systemen und -Prozessen auseinanderzusetzen und diese schriftlich zu dokumentieren. So können Probleme schneller identifiziert und behoben werden und es wird eine sichere Grundlage für den Betrieb geschaffen.

Nach dem ersten Beratungsgespräch trat Funkstille ein, auch auf Nachfragen meinerseits wurde nicht reagiert. Etwa ein Jahr danach, es ging ein Verschlüsselungstrojaner um, erhielt ich einen Anruf, eigentlich mehr ein SOS. In diesem Telefonat beweinte man sich selbst, dass man meinen Weg nicht gegangen sei und ob ich zur Rettung vorbeikommen könnte.

Was war geschehen? Der oben erwähnte Verschlüsselungstrojaner gelangt mitteles einer Phishing Mail ins Netzwerk und machte sich sogleich ans Werk. Wie immer in solchen Situationen geschah dies am Freitag Nachmittag, kurz vor Dienstschluss. Die Sekretärin wunderte sich zwar noch, warum die Datei, die sie am Vormittag gespeichert hatte, nicht mehr lesbar war, schob das aber erst mal in die "typisch-Netzwerk-passiert-ja-immer-mal" Schublade. Mit anderen Worten, zunächst bemerkte niemand, dass etwas nicht stimmte, der Geschäftsführer war zwar der letzte, der das Licht ausmachte, hatte aber bis dahin nur auf seinem lokalen Rechner gearbeitet und erst gespeichert, als er gegangen ist.

Damit hatte der Trojaer ein arbeitsreiches Wochenende vor sich. Nach den Dateien auf den Netzlaufwerken nahm er sich die Datenbanken des Anwaltsprogrammes vor, dann die E-Mails und zuletzt die täglichen Backups, die auf einem NAS als Snapshot gesichert wurden. Nach getaner Arbeit, das Netzwerk war verschlüsselt, meldete sich die Datensicherung am Sonntag früh zum Dienst und schrieb die wöchentliche Datensicherung auf Band.

Als am Montag die ersten Mitarbeiter kamen und keinen Zugriff mehr auf das Netzwerk hatten, war die Überraschung groß. Lange Rede, kurzer Sinn: Niemand hatte in der Vergangeheit die Datensicherung getestet, keiner wusste, was zu tun  war, der Dienstleister nicht sofort erreichbar. Das Endergebnis war, dass man 3 Monate nach diesem Vorfall immer noch damit beschäftigt war, die Schreiben aus uralten Datensicheurngen zurück zu sichern.

Ich für meinen Teil konnte dem Kunden nicht mehr helfen und habe auch seitdem nichts mehr gehört.