NTT Europe Online plädiert für Business-Continuity-Management
Business Continuity: Zehn Tipps zur GAU-Vermeidung
Auch wenn die IT in den letzten Jahren immer zuverlässiger wurde, ein Restrisiko bleibt. Genau dies ist das Aufgabengebiet von Business-Continuity-Verantwortlichen. NTT Europe Online hat zehn Tipps zur IT-GAU-Vermeidung zusammengestellt. Diese gelten insbesondere für mittelständische Unternehmen, die bisher kein ganzheitliches Business-Continuity-Konzept implementiert haben.
IT-Systeme bilden heute das Herzstück der Geschäftsprozesse in den Unternehmen. Fällt die IT
aus, bleibt alles stehen. Dieser Fall tritt zwar selten ein, aber dann sind die Folgen meist
katastrophal. In Fertigungsbetrieben betrifft dies etwa die Rechner zur Steuerung der
Produktionsmaschinen, in den Banken die Transaktionssysteme und bei einem Mobilfunkbetreiber etwa
sind es Funknetze und Abrechnungssysteme.
Einige Zahlen zur Einordnung: Bei einer Rund-um-die-Uhr-Verfügbarkeit von 99 Prozent im Jahr
kann die IT 88 Stunden ausfallen, bei 99,9 Prozent sind es neun Stunden und bei 99,99 Prozent immer
noch 53 Minuten.
Neben den IT-spezifischen Komponenten sollten beim Business-Continuity-Management auch
Ereignisse wie ein Brand, Wasserschäden oder Stromausfall berücksichtigt werden. Selbst wenn
hierzulande die Stromnetze nur selten längere Zeit ausfallen, bleibt ein Restrisiko. Jedes
Unternehmen tut gut daran, sich über die möglichen Konsequenzen solcher unvorhergesehener
Ereignisse im Klaren zu sein und sich darauf vorzubereiten. Wenn es um
Business-Continuity-Management geht, spielt auch die Einhaltung von Compliance-Vorschriften eine
wichtige Rolle, um Anforderungen an die Informationssicherheit, beispielsweise ISO 27001, zu
erfüllen.
1. Ermittlung der geschäftskritischen Komponenten und Prozesse. Dabei werden die für die
Aufrechterhaltung der Produktivität des Unternehmens notwendigen Bausteine, Funktionen und Prozesse
identifiziert. Im Bereich der IT-Infrastruktur zählen dazu etwa Server, Speichersysteme,
Netzwerkkomponenten oder betriebswirtschaftliche Anwendungen, aber auch die Internet-Verbindung.
Festgestellt wird dabei, welches die schützenswerten und damit die geschäftskritischen Komponenten
sind.
2. Risikoanalyse und -bewertung. Den nächsten Schritt bilden eine gezielte Risikoanalyse und
-bewertung aller IT-Komponenten und deren Abhängigkeiten voneinander. Das Ergebnis der
Risikoanalyse ist eine Abschätzung der Eintrittswahrscheinlichkeit und des potenziellen Schadens,
wie er sich bei einem Ausfall über einen bestimmten Zeitraum ergibt.
3. Festlegung der Verfügbarkeit. Aus der Dokumentation der unternehmenskritischen
IT-Komponenten, der Bewertung der drohenden Risiken und der Eintrittswahrscheinlichkeit ergibt sich
die Grundlage für die planerischen und betriebswirtschaftlichen Entscheidungen. Konkret: Für
welchen Zeitraum ist eine Betriebsstörung akzeptabel – eine, zwei oder vier Stunden? Wie hoch ist
der potenzielle Schaden?
4. Redundanz an einem Ort schaffen. Eine effektive Möglichkeit, Ausfallsicherheit zu schaffen,
sind zunächst einmal redundant ausgelegte Server und Storage-Systeme. Ergänzt um eine
unterbrechungsfreie Stromversorgung tragen sie dazu bei, die Verfügbarkeit von Applikationen des
Kerngeschäfts zu erhöhen. Je nach Branchenzugehörigkeit, Unternehmensgröße und Datenvolumen werden
die redundanten Infrastrukturen um weitere Sicherheits- und Compliance-Maßnahmen ergänzt.
5. Datensicherung und -wiederherstellung. Der Fähigkeit zur Sicherung und Wiederherstellung von
Geschäftsdaten zu jeder Zeit kommt eine bedeutende Rolle zu. Hier geht es um die langfristige
Absicherung gegen Datenverlust. Dabei lassen sich zwei Fälle unterscheiden: Der logische
Datenverlust durch Löschung oder der physische durch Diebstahl. Eine wirksame Art der
Risikovermeidung und -minderung besteht unter anderem darin, die regelmäßigen Backups an einem
zweiten, sicheren Ort außerhalb des eigenen Unternehmens aufzubewahren. Notwendig ist daher ein
Backup-Konzept. In einem aktuellen Whitepaper (
www.ntteuropeonline.de/managed-backup-services.html)
analysiert NTT Europe Online unterschiedliche Sicherungsverfahren und zeigt die
Einsatzmöglichkeiten für verschiedene Anforderungen.
6. Ein zweites Rechenzentrum. Auf der nächsten Stufe ist zu prüfen, ob ein zweites Rechenzentrum
benötigt wird. Duale Rechenzentren und redundante Architekturen können sowohl inhouse untergebracht
als auch an einen Managed-Hosting-Spezialisten outgesourct werden.
7. Doppelt ausgelegte Kommunikationsleitungen. Redundant ausgelegte Hardware alleine genügt
nicht. Vor allem bei Unternehmen mit mehreren Standorten sollten auch die Kommunikationswege
doppelt ausgelegt sein, um zu gewährleisten, dass Mitarbeiter auf unternehmenskritische Ressourcen
immer und überall zugreifen können: im Büro, unterwegs und vom Home Office.
8. Plan für Disaster Recovery. Notwendig ist ein detailliert ausgearbeiteter, immer wieder
getesteter und in regelmäßigen Zeitabständen aktualisierter Plan, wie im Katastrophenfall zu
verfahren ist. Hierbei spielen die zuvor definierten Risiken und Störungsszenarien eine wichtige
Rolle. Der Disaster-Recovery-Plan überprüft auch, wie schnell bestimmte Funktionen oder das gesamte
Unternehmen wieder einsatzfähig sein können. Darüber hinaus müssen auch die Mitarbeiter
entsprechend geschult werden.
9. Kostenbetrachtung. Zur Vorsorge gehört schließlich eine möglichst ausführliche Betrachtung
der Kosten: Welche personellen und systemseitigen Strukturen müssen geschaffen werden? Wie hoch
sind die Investitionen, wenn die Vorkehrungen selbst oder über einen spezialisierten Dienstleister
umgesetzt werden? Stehen die dazu notwendigen Ressourcen wie Personal, Infrastruktur und Finanzen
zur Verfügung?
10. Interne Lösung oder externer Dienstleister. Sind die Kapazitäten im eigenen Haus bereits
vorhanden und ohne große zusätzliche Investitionen umsetzbar, fällt die Entscheidung in der Regel
zu Gunsten einer internen Lösung. Die Alternative lautet, die Risiken an einen
Managed-Hosting-Provider, spezialisiert auf den Betrieb geschäftskritischer Infrastrukturen, zu
übertragen und sich als Unternehmen auf die Kernkompetenzen zu konzentrieren. Ein wichtiges
Auswahlkriterium in diesem Zusammenhang ist die Zertifizierung des Dienstleisters nach ISO 27001.
Denn als Teil dieser Akkreditierung muss der Anbieter einen expliziten Business-Continuity-Plan
vorweisen können.
LANline/jos
Lesen Sie mehr zum Thema
