Verteilte Verantwortung, gemeinsame Datenbasis
Nils Vorholt von DextraData sieht das ähnlich "Die Verantwortung muss daher verteilt werden. Das kann nicht nur der IT-Abteilung aufgebürdet werden. Der Bezugspunkt sind vielmehr die 'Risk Owner'." Das bestätigt Rainer Funk von Controlware: "Wir versuchen ganzheitlich zu beraten. Hochverfügbarkeit, Business Continuity, Disaster Recovery auf der technischen Seite gehören da selbstverständlich dazu, Awareness-Schulungen und Trainings für die Mitarbeiter aber auch."
Diesen Ansatz hält auch Tobias Dames von Bechtle für sinnvoll: "Wir brauchen die Technologie - aber ohne den Faktor Mensch zu berücksichtigen, geht es nicht." Neben Awareness-Schulungen müssten auch die Führungskräfte wissen, wie sie mit Notfallsituationen umgehen und währenddessen ihre Mitarbeiter führen.
"Alle Unternehmen haben Schwierigkeiten, diese Entscheidungen zu treffen", weiß Tracy Varnum von RSA. "Das Risikomanagement spricht immer davon, das Risiko zu senken, die IT will mehr technischen Spielraum. Unserer Erfahrung nach kann man am besten damit umgehen, wenn man eine gemeinsame Datenbasis schafft und diese zur Verfügung stellt. Das ermöglicht den diversen Stakeholdern einen einheitlichen Blick auf die aktuelle Situation und erleichtert es, Entscheidungen zu priorisieren."
Derzeit würden jedoch in vielen Firmen noch Informations-Silos aufgebaut. "Wenn das Enterprise Risiko-Management nicht mit dem IT-Risiko-Management spricht, entstehen Inkonsistenzen in den dazugehörigen Business-Continuity-Plänen", warnt Varnum. "Ein Ergebnis daraus ist, dass vieles überlappend gemacht wird und unterschiedliche Messkriterien angelegt werden. Schließlich und endlich endet das im Chaos. Leider sehen wir in vielen Unternehmen, dass das der aktuelle Stand ist. Schritt eins ist daher, die gemeinsame Datenbasis zu etablieren, zu pflegen und aktiv zu nutzen – so wird der Entstehung von sogenannten "Blind-Spots" entgegengewirkt."
Public Cloud und Cyber-Resilience
In der Natur von Notfallplänen und Notfallressourcen liegt es, dass sie entweder nie oder nur sehr selten benötigt werden. Dennoch können die Kosten erheblich sein. Es gilt also einerseits durch ein gut koordiniertes Risikomanagement zu klären, was tatsächlich vorgehalten werden muss, andererseits aber auch das optimale Kosten-Nutzen-Verhältnis für die Resilienz zu finden.
Aufgrund der zunehmenden Akzptanz für nutzungs- oder verbrauchsbasierende Abrechnungsmodelle drängt sich hier der Gedanke auf, die Cloud oder SaaS-Angebote zu nutzen. Mimecast geht für E-Mail direkt diesen Weg, aber auch in anderen Bereichen, etwa Backup und Disaster Recovery, positionieren sich einige Anbieter mit dem Resilienz-Argument.
"In Unternehmen spielt Cloud für Resilienz aus Budgetgründen immer wieder eine Rolle", bestätigt auch Tobias Dames von Bechtle. "Bevor man etwas Eigenes einrichtet, bestellt man es lieber. Die Frage ist dann aber: Wie bringt man das alles zusammen. Das haben auch immer mehr Cloud-Anbieter festgestellt". Aus seiner Erfahrung als Leiter Competence Center Cyber Resilience bei Bechtle empfiehlt er hier: "Die einzige Chance, das zusammenzuführen sind viele, viele Schnittstellen."
Ähnlich sieht das auch Rainer Funk von Controlware: "Firmen stellen sich schon die Frage, wie sie das Thema Cloud künftig nutzen können, um die Dinge, die nicht optimal gelaufen sind, besser abzubilden." Seiner Ansicht nach 'elektrifizieren' viele Kunden die Cloud jedoch: Sie wollen die Konzepte, die sie seit 15 Jahren gewohnt sind, mit dem Wissen, das sie haben, in die Cloud bringen. "Aber das funktioniert nicht", warnt Funk. "Wir merken, dass diese neuen Architekturmodelle erst noch verstanden werden müssen."
Bei Cloud-Infrastrukturanpassungen und ähnlichen Themen herrsche dementsprechend eine enorme Nachfrage. "Die Notwendigkeit, in die Cloud zu gehen, ist bei unseren Kunden im gehobenen Mittelstand sehr stark und wird auch umgesetzt. Wir müssen da eher bremsen und darauf hinwiesen, dass ein Konzept dafür wichtig ist", berichtet Funk. Die grundsätzliche Ablehnung von Cloud-Angeboten sei durch COVID-19 immer seltener geworden.
"Cloud hat ein unglaubliches Potenzial", bestätigt auch Robert Meiners von MTI Technology. "Welche Versicherung müssen sie nur bezahlen, wenn Sie sie brauchen? Genau das ist Cloud. Sie müssen sie ja nicht jetzt schon eins-zu-eins dazubuchen, sondern erst, wenn Sie sie brauchen." Allerdings warnt auch Meiners vor zu viel Euphorie: "Ein komplettes HA-Konzept lässt sich damit vielleicht nicht realisieren, aber ein Resilienz-Konzept ist mit Cloud sicher günstiger und einfacher zu bauen, als in Eigenregie."
Weitere ChannelPartner-Workshops:
Digitale Identitäten sicher verwalten
Managed Print Services
Managed Security Services
Cyber-Resilienz - Chancen für den Channel