Ratgeber

10 Tipps gegen den IT-GAU

05.08.2009 von Hans-Christian Dirscherl
Der Ausfall der IT-Infrastruktur ist die Katastrophe für jedes Unternehmen. Mit diesen zehn Tipps vermeiden Sie den IT-GAU.

Von Hans-Christian Dirscherl

NTT Europe Online hat zehn Tipps zusammengestellt, mit denen Sie den IT-GAU vermeiden können. Die Ratschläge gelten insbesondere für mittelständische Unternehmen, die bisher kein ganzheitliches Business-Continuity-Konzept implementiert haben.

IT-Systeme bilden heute das Herzstück der Geschäftsprozesse in den Unternehmen. Fällt die IT aus, bleibt alles stehen. Dieser Fall tritt zwar selten ein, aber dann sind die Folgen meist katastrophal. In Fertigungsbetrieben betrifft dies etwa die Rechner zur Steuerung der Produktionsmaschinen, in den Banken die Transaktionssysteme und bei einem Mobilfunkbetreiber etwa sind es Funknetze und Abrechnungssysteme. Einige Zahlen zur Einordnung: Bei einer Rund-um-die-Uhr-Verfügbarkeit von 99 Prozent im Jahr kann die IT 88 Stunden ausfallen, bei 99,9 Prozent sind es 9 Stunden und bei 99,99 Prozent immer noch 53 Minuten.

Neben den IT-spezifischen Komponenten sollten beim Business-Continuity-Management auch Ereignisse wie ein Brand, Wasserschäden oder Stromausfall berücksichtigt werden. Selbst wenn hierzulande die Stromnetze nur selten längere Zeit ausfallen, bleibt ein Restrisiko. Jedes Unternehmen tut gut daran, sich über die möglichen Konsequenzen solcher unvorhergesehener Ereignisse im Klaren zu sein und sich darauf vorzubereiten. Wenn es um Business-Continuity-Management geht, spielt auch die Einhaltung von Compliance-Vorschriften eine wichtige Rolle, um Anforderungen an die Informationssicherheit, beispielsweise ISO 27001, zu erfüllen.

1. Ermittlung der geschäftskritischen Komponenten und Prozesse. Dabei werden die für die Aufrechterhaltung der Produktivität des Unternehmens notwendigen Bausteine, Funktionen und Prozesse identifiziert. Im Bereich der IT-Infrastruktur zählen dazu etwa Server, Speichersysteme, Netzwerkkomponenten oder betriebswirtschaftliche Anwendungen, aber auch die Internet-Verbindung. Festgestellt wird dabei, welches die schützenswerten und damit die geschäftskritischen Komponenten sind.

2. Risikoanalyse und -bewertung. Den nächsten Schritt bilden eine gezielte Risikoanalyse und -bewertung aller IT-Komponenten und deren Abhängigkeiten voneinander. Das Ergebnis der Risikoanalyse ist eine Abschätzung der Eintrittswahrscheinlichkeit und des potenziellen Schadens, wie er sich bei einem Ausfall über einen bestimmten Zeitraum ergibt.

Vier Ratschläge gegen den IT-Gau

3. Festlegung der Verfügbarkeit. Aus der Dokumentation der unternehmenskritischen IT-Komponenten, der Bewertung der drohenden Risiken und der Eintrittswahrscheinlichkeit ergibt sich die Grundlage für die planerischen und betriebswirtschaftlichen Entscheidungen. Konkret: Für welchen Zeitraum ist eine Betriebsstörung akzeptabel – eine, zwei oder vier Stunden? Wie hoch ist der potenzielle Schaden?

4. Redundanz an einem Ort schaffen. Eine effektive Möglichkeit, Ausfallsicherheit zu schaffen, sind zunächst einmal redundant ausgelegte Server und Storage-Systeme. Ergänzt um eine unterbrechungsfreie Stromversorgung tragen sie dazu bei, die Verfügbarkeit von Applikationen des Kerngeschäfts zu erhöhen. Je nach Branchenzugehörigkeit, Unternehmensgröße und Datenvolumen werden die redundanten Infrastrukturen um weitere Sicherheits- und Compliance-Maßnahmen ergänzt.

5. Datensicherung und -wiederherstellung. Der Fähigkeit zur Sicherung und Wiederherstellung von Geschäftsdaten zu jeder Zeit kommt eine bedeutende Rolle zu. Hier geht es um die langfristige Absicherung gegen Datenverlust. Dabei lassen sich zwei Fälle unterscheiden: Der logische Datenverlust durch Löschung oder der physische durch Diebstahl. Eine wirksame Art der Risikovermeidung und -minde¬rung besteht unter anderem darin, die regelmäßigen Backups an einem zweiten, sicheren Ort außerhalb des eigenen Unternehmens aufzubewahren. Notwendig ist daher ein Backup-Konzept

6. Ein zweites Rechenzentrum. Auf der nächsten Stufe ist zu prüfen, ob ein zweites Rechenzentrum benötigt wird. Duale Rechenzentren und redundante Architekturen können sowohl inhouse untergebracht als auch an einen Managed-Hosting-Spezialisten outgesourct werden.

Die letzten vier Tipps gegen den IT-Gau

7. Doppelt ausgelegte Kommunikationsleitungen. Redundant ausgelegte Hardware alleine genügt nicht. Vor allem bei Unternehmen mit mehreren Standorten sollten auch die Kommunikationswege doppelt ausgelegt sein, um zu gewährleisten, dass Mitarbeiter auf unternehmenskritische Ressourcen immer und überall zugreifen können: im Büro, unterwegs und vom Home Office.

8. Plan für Disaster Recovery. Notwendig ist ein detailliert ausgearbeiteter, immer wieder getesteter und in regelmäßigen Zeitabständen aktualisierter Plan, wie im Katastrophenfall zu verfahren ist. Hierbei spielen die zuvor definierten Risiken und Störungsszenarien eine wichtige Rolle. Der Disaster-Recovery-Plan überprüft auch, wie schnell bestimmte Funktionen oder das gesamte Unternehmen wieder einsatzfähig sein können. Darüber hinaus müssen auch die Mitarbeiter entsprechend geschult werden.

9. Kostenbetrachtung. Zur Vorsorge gehört schließlich eine möglichst ausführliche Betrachtung der Kosten: Welche personellen und systemseitigen Strukturen müssen geschaffen werden? Wie hoch sind die Investitionen, wenn die Vorkehrungen selbst oder über einen spezialisierten Dienstleister umgesetzt werden? Stehen die dazu notwendigen Ressourcen wie Personal, Infrastruktur und Finanzen zur Verfügung?

10. Interne Lösung oder externer Dienstleister. Sind die Kapazitäten im eigenen Haus bereits vorhanden und ohne große zusätzliche Investitionen umsetzbar, fällt die Entscheidung in der Regel zu Gunsten einer internen Lösung. Die Alternative lautet, die Risiken an einen Managed-Hosting-Provider, spezialisiert auf den Betrieb geschäftskritischer Infrastrukturen, zu übertragen und sich als Unternehmen auf die Kernkompetenzen zu konzentrieren. Ein wichtiges Auswahlkriterium in diesem Zusammenhang ist die Zertifizierung des Dienstleisters nach ISO 27001. Denn als Teil dieser Akkreditierung muss der Anbieter einen expliziten Business-Continuity-Plan vorweisen können. (PC-Welt) (wl)