NTT Europe Online: Vorsorge für den Ernstfall

(veröffentlicht von all-about-security.de Oktober 2008)

Mission Critical – so bezeichnet beispielsweise die Raumfahrt Komponenten oder Bauteile, deren Ausfall Millionenbeträge kosten würde oder gar zum Scheitern eines gesamten Projekts führen könnte.

Auch in der IT-Infrastruktur jedes Unternehmens gibt es solche Bestandteile. Wenn ihre Funktionsweise eingeschränkt ist oder sie ganz ausfallen, kommen die Geschäftsprozesse zum Stillstand. Zu den unternehmenskritischen Komponenten zählen in Fertigungsbetrieben etwa die Systeme und Applikationen zur Steuerung der Produktionsmaschinen, bei den Banken die Transaktionssysteme und bei einem Mobilfunkbetreiber sind es Funknetz und Abrechnungssysteme. Die entscheidende Frage: Wie lange darf eine Mission-Critical-Applikation ausfallen, ohne dass dem Unternehmen ein existenzbedrohender Schaden entsteht – 30 Minuten, eine Stunde, zwei Stunden?

Mit derartigen Krisenszenarien befasst sich das Business-Continuity-Management. Dazu gehört neben den internen Risiken auch eine Berücksichtigung externer Gefährdungen wie ein Erdbeben, Gebäudebrand, Hochwasser oder Stromausfall. Auch wenn hierzulande die Erde weniger unruhig ist und die Stromnetze nur selten längere Zeit ausfallen, bleibt ein Restrisiko. Jedes Unternehmen tut gut daran, sich über die möglichen Konsequenzen solcher unvorhersehbaren Ereignisse Gedanken zu machen.
Das Motto „Es ist noch immer gut gegangen“ reicht hier nicht aus, da die möglichen Auswirkungen des Ausfalls unternehmenskritischer Systeme oder eines gravierenden Sachschadens zu groß sind, um sie zu ignorieren. Denn bekanntlich ist auch Deutschland von Naturkatastrophen nicht verschont. Im schlimmsten Fall ist als Auswirkung gravierender Schadensereignisse die wirtschaftliche Existenz des Unternehmens gefährdet.

Damit es nicht so weit kommt, gilt es, mit Business-Continuity-Management die Krisenfolgen abzufedern. Am Anfang steht immer eine gezielte Risikoanalyse und -bewertung. An der IT-Infrastruktur – den Servern, Speichersystemen, Netzwerkkomponenten, betriebswirtschaftlichen Anwendungen etc. – kommt dabei kein Unternehmen vorbei.

• Welches sind die schützenswerten und damit Mission-Critical-Ressourcen?
• Welchen Risiken sind sie ausgesetzt?

Aus der Dokumentation der unternehmenskritischen IT-Komponenten, der Bewertung der drohenden Risiken und der Eintrittswahrscheinlichkeit ergibt sich die Grundlage sowohl für planerische als auch für kommerzielle Entscheidungen. Darüber hinaus ist ein Business-Continuity-Plan gleichzeitig auch ein wichtiger Bestandteil für die Kapitalbeschaffung und entsprechende Risikoklassifizierung – kann ein Unternehmen einen Business-Continuity-Plan vorweisen, erleichtert dies oft die Beschaffung von Fremdkapital.

Der nächste Schritt besteht darin, Maßnahmen zur Risikovermeidung und -minderung zu ergreifen: Im einfachsten Fall hilft schon, die regelmäßigen Backups der Dateien an einen zweiten Ort zu transportieren und turnusmäßig die Wiederherstellung von Applikation und Files zu trainieren. Darüber hinaus tragen redundant ausgelegte Server und Storage-Systeme dazu bei, die Verfügbarkeit von Applikation des Kerngeschäfts zu erhöhen. Je nach Unternehmensgröße und Datenvolumen werden die Disaster Recovery Services um weitere Sicherheits- und Compliancekonforme Maßnahmen ergänzt. Dazu zählt beispielsweise die Nutzung von dualen Rechenzentren und redundanten Lösungsarchitekturen, die sowohl inhouse untergebracht als auch outgesourct werden können.

Neben den eingesetzten Technologien und Verfahren kommt es auf die organisatorischen Rahmenbedingungen an:

• Was kostet mich das, wenn ich als Unternehmen Vorkehrungen treffe und leistungsstärkere Hardware kaufen, redundante Strukturen schaffen und eine weitere Standleitung zu einem zweiten Telekommunikationsunternehmen mieten muss?
• Stehen die dazu notwendigen personellen Ressourcen bereit?
• Brauche ich zusätzliche räumliche Kapazitäten? Oder kann mir ein externer Dienstleister, spezialisiert auf das Management geschäftskritischer Infrastrukturen, die Risiken abnehmen?

Für welche der beiden grundlegenden Varianten des internen oder externen Business-Continuity-Managements sich ein Unternehmen letztlich entscheidet, ist Abwägungssache. Dabei zählen nicht so sehr die technischen Details wie beispielsweise die redundante Hardware, sondern die Verfügbarkeit und Kontinuität kompletter Geschäftsprozesse.

Oliver Harmel ist Marketing Direktor Central Europe bei NTT Europe Online in Frankfurt/Main.