Von Hans-Christian Dirscherl
NTT Europe Online hat zehn Tipps zusammengestellt, mit denen Sie den IT-GAU vermeiden können. Die Ratschläge gelten insbesondere für mittelständische Unternehmen, die bisher kein ganzheitliches Business-Continuity-Konzept implementiert haben.
IT-Systeme bilden heute das Herzstück der Geschäftsprozesse in den Unternehmen. Fällt die IT aus, bleibt alles stehen. Dieser Fall tritt zwar selten ein, aber dann sind die Folgen meist katastrophal. In Fertigungsbetrieben betrifft dies etwa die Rechner zur Steuerung der Produktionsmaschinen, in den Banken die Transaktionssysteme und bei einem Mobilfunkbetreiber etwa sind es Funknetze und Abrechnungssysteme. Einige Zahlen zur Einordnung: Bei einer Rund-um-die-Uhr-Verfügbarkeit von 99 Prozent im Jahr kann die IT 88 Stunden ausfallen, bei 99,9 Prozent sind es 9 Stunden und bei 99,99 Prozent immer noch 53 Minuten.
Neben den IT-spezifischen Komponenten sollten beim Business-Continuity-Management auch Ereignisse wie ein Brand, Wasserschäden oder Stromausfall berücksichtigt werden. Selbst wenn hierzulande die Stromnetze nur selten längere Zeit ausfallen, bleibt ein Restrisiko. Jedes Unternehmen tut gut daran, sich über die möglichen Konsequenzen solcher unvorhergesehener Ereignisse im Klaren zu sein und sich darauf vorzubereiten. Wenn es um Business-Continuity-Management geht, spielt auch die Einhaltung von Compliance-Vorschriften eine wichtige Rolle, um Anforderungen an die Informationssicherheit, beispielsweise ISO 27001, zu erfüllen.
1. Ermittlung der geschäftskritischen Komponenten und Prozesse. Dabei werden die für die Aufrechterhaltung der Produktivität des Unternehmens notwendigen Bausteine, Funktionen und Prozesse identifiziert. Im Bereich der IT-Infrastruktur zählen dazu etwa Server, Speichersysteme, Netzwerkkomponenten oder betriebswirtschaftliche Anwendungen, aber auch die Internet-Verbindung. Festgestellt wird dabei, welches die schützenswerten und damit die geschäftskritischen Komponenten sind.
2. Risikoanalyse und -bewertung. Den nächsten Schritt bilden eine gezielte Risikoanalyse und -bewertung aller IT-Komponenten und deren Abhängigkeiten voneinander. Das Ergebnis der Risikoanalyse ist eine Abschätzung der Eintrittswahrscheinlichkeit und des potenziellen Schadens, wie er sich bei einem Ausfall über einen bestimmten Zeitraum ergibt.