G 0.33 — Personalausfall

Der einzige Netzwerkadministrator einer Firma fällt krankheitsbedingt für mehrere Wochen aus. Das Netzwerk läuft zunächst stabil weiter — bis nach zwei Wochen ein Server abstürzt. Niemand im Unternehmen kann den Fehler beheben. Das Netz bleibt tagelang außer Betrieb, weil sämtliches Wissen über die Infrastruktur bei einer einzigen Person lag.

Personalausfall (G 0.33) ist eine der am häufigsten unterschätzten Bedrohungen. Solange alles läuft, fällt nicht auf, dass kritisches Wissen nur in einem Kopf existiert. Erst wenn diese Person ausfällt, wird das Ausmaß der Abhängigkeit sichtbar.

Was steckt dahinter?

Personal kann aus vielen Gründen ausfallen — vorhersehbar (Urlaub, Fortbildung, Vertragsende) und unvorhersehbar (Krankheit, Unfall, Pandemie, Streik). Das eigentliche Problem entsteht, wenn eine Organisation nicht darauf vorbereitet ist, die Aufgaben der ausgefallenen Person nahtlos zu übernehmen.

Ausfallszenarien

Einzelpersonenausfall — Eine Schlüsselperson (Administrator, CISO, Fachexperte) ist nicht verfügbar. Kritisch wird es, wenn nur diese Person bestimmte Systeme administrieren kann oder bestimmte Zugangsdaten kennt.
Längere Krankheit oder Unfall — Bei einem Ausfall über Wochen oder Monate reichen einfache Vertretungsregelungen oft nicht aus. Die Vertretung muss eigenständig handlungsfähig sein.
Pandemie — In einer Pandemie fallen nach und nach immer mehr Personen aus — durch eigene Erkrankung, Pflege von Angehörigen, Kinderbetreuung oder Angst vor Ansteckung. Die verbleibenden Mitarbeitenden können nur noch die dringendsten Aufgaben erledigen.
Vorhersehbarer Ausfall mit Wissensverlust — Bei Kündigung oder Pensionierung ist der Personalausfall planbar, aber wenn die Übergabe des Wissens nicht strukturiert erfolgt, geht kritische Information dennoch verloren.

Schadensausmass

Die Verfügbarkeit ganzer Geschäftsprozesse steht auf dem Spiel, wenn Schlüsselpersonen ausfallen und keine Vertretung eingearbeitet ist. In einer Pandemie-Situation kann der Effekt kaskadieren: Wartungsarbeiten bleiben liegen, Systeme fallen nach und nach aus, der Betrieb schrumpft auf ein Minimum. Besonders kritisch sind Zugangsdaten und Passwörter, die nur einer Person bekannt sind — sie können ganze Systeme unzugänglich machen.

Praxisbeispiele

Tresor-Code nur im Kopf. Während des Urlaubs eines Administrators muss auf die Backup-Medien im Datensicherungstresor zugegriffen werden. Der Zugangscode wurde erst kürzlich geändert und ist nur diesem Administrator bekannt. Die Datenwiederherstellung verzögert sich um mehrere Tage, bis er im Urlaub erreicht werden kann.

Pandemiebedingte Ausfallkaskade. In einem mittelständischen Unternehmen fallen während einer Grippewelle innerhalb von zwei Wochen 40 % der IT-Abteilung aus. Routinemäßige Wartungsaufgaben bleiben liegen — darunter das Monitoring der Klimaanlage im Serverraum. Als die Anlage einen Defekt hat, bemerkt es niemand rechtzeitig, und drei Server erleiden Hitzeschäden.

Kündigung ohne Wissenstransfer. Ein langjähriger Systemadministrator kündigt und verlässt das Unternehmen nach einer verkürzten Restarbeitszeit. Eine strukturierte Übergabe findet nicht statt. In den folgenden Monaten stellt die IT-Abteilung fest, dass zahlreiche Cronjobs, Skripte und Workarounds nirgends dokumentiert sind. Die Rekonstruktion dauert Monate.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 17 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

A.5.29 — Informationssicherheit bei Störungen: Continuity-Planung berücksichtigt den Ausfall von Schlüsselpersonen.
A.6.8 — Meldung von Informationssicherheitsereignissen: Definierte Meldewege funktionieren auch bei Abwesenheit der primär zuständigen Person.
A.5.14 — Informationsübertragung: Sichere Weitergabe von betriebskritischem Wissen an Vertretungspersonen.
A.5.11 — Rückgabe von Werten: Beim Ausscheiden werden Zugangsmittel, Hardware und Dokumentation systematisch zurückgefordert.

Erkennung:

A.8.15 — Protokollierung: Automatisierte Überwachung erkennt, wenn überfällige Wartungsaufgaben nicht durchgeführt werden.
A.8.7 — Schutz gegen Schadsoftware: Automatisierte Schutzmechanismen funktionieren auch ohne manuelle Eingriffe weiter.

Reaktion:

A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Incident-Response-Pläne mit namentlich benannten Vertretungen auf jeder Eskalationsstufe.
A.5.27 — Erkenntnisse aus Informationssicherheitsvorfällen: Lessons-Learned-Prozess nach Personalausfällen identifiziert weitere Single-Points-of-Failure.

BSI IT-Grundschutz

G 0.33 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

ORP.2 (Personal) — Anforderungen an Vertretungsregelungen und Einarbeitung.
DER.2.1 (Behandlung von Sicherheitsvorfällen) — Sicherstellung der Handlungsfähigkeit bei Personalausfall.
OPS.1.1.1 (Allgemeiner IT-Betrieb) — Organisatorische Anforderungen an die Personalausstattung.
DER.4 (Notfallmanagement) — Berücksichtigung von Personalengpässen in der Notfallplanung.

Quellen

BSI: Die Lage der IT-Sicherheit in Deutschland — Jahreslagebericht mit Erkenntnissen zu organisatorischen Risiken
BSI IT-Grundschutz: Elementare Gefährdungen, G 0.33 — Originalbeschreibung der elementaren Gefährdung
ISO/IEC 27002:2022 Abschnitt 5.29 — Umsetzungshinweise zu Informationssicherheit bei Störungen

Häufig gestellte Fragen

Was unterscheidet Personalausfall von Ressourcenmangel?

Personalausfall (G 0.33) bezieht sich auf den konkreten Wegfall einzelner Personen — durch Krankheit, Unfall, Kündigung oder Urlaub. Ressourcenmangel (G 0.27) beschreibt das grundsätzliche Missverhältnis zwischen vorhandenen Ressourcen (darunter Personal) und den Anforderungen. Beide Bedrohungen verstärken sich gegenseitig.

Wie identifiziert man Single Points of Failure im Personalbereich?

Gehe systematisch alle kritischen IT-Systeme und Geschäftsprozesse durch. Frage bei jedem: Wer kann dieses System administrieren, wer versteht den Prozess, wer hat die Zugangsdaten? Wenn die Antwort jedes Mal derselbe Name ist, hast du einen Single Point of Failure. Dokumentiere diese Abhängigkeiten und plane Vertretungen.

Wie geht man mit Zugangscodes um, die nur eine Person kennt?

Kritische Zugangsdaten (Tresor-Codes, Root-Passwörter, Verschlüsselungsschlüssel) müssen in einem versiegelten Umschlag oder einem Passwort-Safe hinterlegt sein, auf den autorisierte Vertretungspersonen im Notfall zugreifen können. Die Hinterlegung muss dokumentiert und regelmäßig auf Aktualität geprüft werden.