Business Continuity

Den Laden am Laufen halten

Von Nadine Effert · 2014

Die IT-Struktur fällt aus? Für Unternehmen der Super-Gau. Selbst umfassende Sicherheitsmaßnahmen bieten keinen hundertprozentigen Schutz. Um im Ernstfall länger stillstehende Geschäfts- und Produktionsprozesse zu vermeiden, müssen bedarfsgerechte Notfallstrukturen nach dem Top-Down-Prinzip implementiert werden.

Abstürze von Rechnern oder Netzwerken, Attacken auf IT-Systeme, ein Zusammenbruch der Stromversorgung oder gar ein Feuer – Gründe für eine Unterbrechung der Business Continuity gibt es reichlich. Einen Ausfall leisten kann sich jedoch keiner. Investieren sollten Unternehmen allerdings in ein effizientes Notfallmanagement, das auf einer Risikoanalyse fußt. Ausgangspunkt ist eine Identifizierung und Bewertung kritischer Prozesse. Das können zum Beispiel bei einem Automobilkonzern die Zulieferung und Produktion sein, bei einem Pharmakonzern wichtige Forschungsdaten.

Sich für den Notfall rüsten

Welchen möglichen Gefahren sind diese Prozesse ausgesetzt? Welche Systeme, Anwendungen, Daten und Arbeitsplätze sind für den fortlaufenden Betrieb von Relevanz? Welchen Effekt hat eine Funktionsstörung auf andere Prozesse im Unternehmen? Und welcher monetäre Verlust wäre akzeptabel? Und letztlich: Welche Notfallmaßnahmen sind nötig? Experten empfehlen die Risikobewertung mittels etablierter Methoden, wie etwa dem Framework „Cobit“ (Control Objectives for Information and Related Technology) der internationalen Wirtschaftsprüfer ISACA. Die Einschätzung möglicher Schäden dient dabei dem Business Continuity Management (BCM) nicht als reiner Report. Aus den Ergebnissen gilt es, eine Strategie festzulegen, wo Risiken vermieden, reduziert oder versichert werden sollen. Bei der Notfallvorsorge und letztlich bei der Erstellung eines Notfallsplans geht es um die Definition und Umsetzung von Maßnahmen für bestimmte Szenarien. Diese reichen von der Sicherung der Daten durch regelmäßige Back-ups – eventuell an einem anderen Ort, wie etwa einer Cloud –, über den kontrollierten Zugriff auf Anwendungen und Netzwerke bis hin zu geeigneten Feuerlöschsystemen für Serverräume sowie Notstromaggregate für eine unabhängige Stromversorgung.

So wichtig ist BCM

Fakt ist: Die Implementierung eines BCM erfordert Geld, Zeit und eventuell neues Personal. Und daher nicht selten Überzeugungsarbeit auf der Ebene der Geschäftsführung. Schlagende Argumente für IT-Verantwortliche können etwa Haftungsansprüche im Schadenfall sein oder das Verdeutlichen von potentiellen Schadensszenarien mittels Business Impact Analyse, die auch der Findung zielgerichteter Lösungen dient. Das BCM darf nicht vernachlässigt werden: Bei einem Worst-Case-Scenario kann davon ausgegangen werden, dass ohne Notfallplanung über 50 Prozent der Unternehmen den Ausfall nicht „überleben“.