Alle Räder stehen still, wenn der Hacker Arm es will. Weltweit sehen Manager und Security-Experten in Cyberangriffen die größte Gefahr für Unternehmen. Doch in Deutschland kamen Betriebsunterbrechungen auf Platz eins. Das zeigt das „Allianz Risk Barometer 2022“ des zur Allianz gehörenden Industrieversicherers AGCS. In vielen Fällen hängen beide Gefahren eng zusammen. Denn Betriebsunterbrechungen sind oft eine Folge von Cyberangriffen, aber auch Netzwerkausfällen, Lieferproblemen, Pandemien oder Naturkatastrophen.
Unternehmen sollten sich auf diese Herausforderungen mit einem Business-Continuity-Plan vorbereiten, betont Wolfgang Huber, Regional Director DACH beim Datenmanagement-Anbieter Cohesity und gibt fünf konkrete Empfehlungen:
1) Umfassende Bestandsaufnahme
Der erste Schritt bei der Ausarbeitung eines Business-Continuity-Plans dreht sich um die Analyse der Situation und insbesondere der Technologien, die im Unternehmen eingesetzt werden. Ein wichtiger Bestandteil des Plans ist daher eine Bestandsaufnahme aller Elemente der technischen Ausstattung, einschließlich Hardware sowie cloudbasierte und firmeneigene Software.
Dabei sind alle Lieferanten, Service Level Agreements (SLAs) und Vereinbarungen für eine alternative Bereitstellung bei Ausfällen zu berücksichtigen. Hierzu gehören auch Kontaktinformationen zu Personen, die bei einem Ausfall zu benachrichtigen sind.
2) Praktische Maßnahmen festlegen
Es folgt die Festlegung praktischer Maßnahmen zur Aufrechterhaltung des Betriebs. Wie lassen sich nach einem Systemausfall kritische Abläufe weiterhin durchführen? Wenn einige Prozesse papierbasiert weiterlaufen sollen, können die Mitarbeitenden diese sofort nutzen?
Für viele Unternehmen ist die Wiederherstellung der IT-Dienste und -Systeme eine zentrale Säule für die Wiederaufnahme des Betriebs. Im Mittelpunkt des Business-Continuity-Plans sollte daher ein solider Disaster-Recovery-Prozess stehen. Möglicherweise müssen Unternehmen in der Lage sein, an einem anderen Standort weiterzuarbeiten, wenn die Zentrale nicht mehr erreichbar ist.
3) Schritte priorisieren
Häufig bietet sich ein schrittweises Wiederherstellen der Systeme an. Dazu ist zu priorisieren, welche kritischen Systeme und Daten zuerst wieder in Betrieb zu nehmen sind. Anschließend erfolgt eine Einschätzung der ergänzenden Systeme.
Ein wichtiger Punkt ist die Verpflichtung von externen Anbietern, dass sie ihre Systeme im Katastrophenfall so schnell wie möglich wieder zum Laufen bringen. Dabei muss jedoch intern und extern gewährleistet sein, dass mögliche Schadprogramme wie Ransomware nicht mit dem alten Zustand wiederhergestellt werden.
4) Die Wiederherstellung testen
Der schönste Business-Continuity-Plan nützt jedoch nichts, wenn er beim Praxistest durchfällt. Tatsächlich werden solche Pläne oft erst im Katastrophenfall getestet. Kommt es dann zu Fehlern, ist es zu spät.
Es gibt zwei Möglichkeiten, dieses Problem zu lösen. Die erste besteht in einer Regel, dass jedes Mal, wenn eine neue Technologie hinzugefügt wird oder Änderungen stattfinden, der Business-Continuity-Plan überprüft wird.
Die zweite Möglichkeit sind Trockenübungen. Die Technologieanbieter und Reseller können dabei unterstützen, insbesondere im Hinblick auf die kritische Infrastruktur und Notfallwiederherstellung. Dazu gehören fertige Disaster-Recovery-Pläne und Runbooks, um die Kontinuität zu verbessern.
5) Den Plan ständig aktualisieren
Nach dem Test sollte dessen Verlauf überprüft und der Plan entsprechend optimiert werden. Wenn ein Unternehmen seine Prozesse, Anbieter und Mitarbeitenden häufig wechselt, bietet sich ein Zeitplan für regelmäßige Tests an. Aber auch sonst ist ein Business-Continuity-Plan ständig zu überprüfen und zu aktualisieren.
Fazit
Viele Unternehmen schieben Pläne für eine Aufrechterhaltung des Geschäftsbetriebs auf die lange Bank, weil sie die Dringlichkeit nicht erkennen oder die zusätzliche Arbeitsbelastung fürchten. Aber: Die Gefahren steigen ständig und ein solider Plan kann dabei helfen, den Betrieb so gut wie möglich fortzuführen. Dann hat sich der Aufwand für einen Business-Continuity-Plan auf jeden Fall gelohnt.
Neueste Kommentare
1 Kommentar zu Betriebsunterbrechungen vermeiden
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Was der Autor schreibt ist alles nicht falsch, aber sicher nur ein Bruchteil der Miete. Das Disaster Recovery ist sicher ein wichtiger Teil, aber dennoch viel zu kurz gesprungen. Anerkannte Standards wie sie ISO 22301 oder BSI 200-4 folgen schon lange dem PDCA-Zyklus aus BIA, RIA (Plan), BCM-Strategie und Planerstellung (Do), Testen und Üben (Check) sowie Prüfung der Angemessenheit der Strategie und die Korrektur der Pläne (Act). Das ganze muss in ein Governance eingebunden sein, die auch ein operationelles Riskmanagement und die Informationssicherheit umfasst. Nur so kann die Resilienz des Unternehmens nachhaltig sichergestellt werden.