Allianz Risk Barometer 2022: Angst vor Betriebsunterbrechungen größte SorgeFünf-Punkte-Plan für Business Continuity schafft Abhilfe
16. Februar 2022Weltweit sehen Manager und Security-Experten zwar in Cyber-Angriffen die größte Gefahr für Unternehmen. Doch in Deutschland kamen Betriebsunterbrechungen auf Platz eins. Das zeigt das „Allianz Risk Barometer 2022“ des Industrieversicherers AGCS. In vielen Fällen hängen beide Gefahren eng zusammen. Denn Betriebsunterbrechungen sind oft eine Folge von Cyber-Angriffen, aber auch Netzwerkausfällen, Lieferproblemen, Pandemien oder Naturkatastrophen.
Unternehmen sollten sich auf diese Herausforderungen mit einem Business-Continuity-Plan vorbereiten. Zu einem derartigen Plan gehören einige wesentlichen Punklte:
- Umfassende Bestandsaufnahme: Der erste Schritt bei der Ausarbeitung eines Business-Continuity-Plans dreht sich um die Analyse der Situation und insbesondere der Technologien, die im Unternehmen eingesetzt werden. Ein wichtiger Bestandteil des Plans ist daher eine Bestandsaufnahme aller Elemente der technischen Ausstattung, einschließlich Hardware sowie cloudbasierte und firmeneigene Software. Dabei sind alle Lieferanten, Service Level Agreements (SLAs) und Vereinbarungen für eine alternative Bereitstellung bei Ausfällen zu berücksichtigen. Hierzu gehören auch Kontaktinformationen zu Personen, die bei einem Ausfall zu benachrichtigen sind.
- Praktische Maßnahmen festlegen: Es folgt die Festlegung praktischer Maßnahmen zur Aufrechterhaltung des Betriebs. Wie lassen sich nach einem Systemausfall kritische Abläufe weiterhin durchführen? Wenn einige Prozesse papierbasiert weiterlaufen sollen, können die Mitarbeitenden diese sofort nutzen? Für viele Unternehmen ist die Wiederherstellung der IT-Dienste und -Systeme eine zentrale Säule für die Wiederaufnahme des Betriebs. Im Mittelpunkt des Business-Continuity-Plans sollte daher ein solider Disaster-Recovery-Prozess stehen. Möglicherweise müssen Unternehmen in der Lage sein, an einem anderen Standort weiterzuarbeiten, wenn die Zentrale nicht mehr erreichbar ist.
- Schritte priorisieren: Häufig bietet sich ein schrittweises Wiederherstellen der Systeme an. Dazu ist zu priorisieren, welche kritischen Systeme und Daten zuerst wieder in Betrieb zu nehmen sind. Anschließend erfolgt eine Einschätzung der ergänzenden Systeme. Ein wichtiger Punkt ist die Verpflichtung von externen Anbietern, dass sie ihre Systeme im Katastrophenfall so schnell wie möglich wieder zum Laufen bringen. Dabei muss jedoch intern und extern gewährleistet sein, dass mögliche Schadprogramme wie Ransomware nicht mit dem alten Zustand wiederhergestellt werden.
- Die Wiederherstellung testen: Der schönste Business-Continuity-Plan nützt jedoch nichts, wenn er beim Praxistest durchfällt. Tatsächlich werden solche Pläne oft erst im Katastrophenfall getestet. Kommt es dann zu Fehlern, ist es zu spät. Es gibt zwei Möglichkeiten, dieses Problem zu lösen. Die erste besteht in einer Regel, dass jedes Mal, wenn eine neue Technologie hinzugefügt wird oder Änderungen stattfinden, der Business-Continuity-Plan überprüft wird. Die zweite Möglichkeit sind Trockenübungen. Die Technologieanbieter und Reseller können dabei unterstützen, insbesondere im Hinblick auf die kritische Infrastruktur und Notfallwiederherstellung. Dazu gehören fertige Disaster-Recovery-Pläne und Runbooks, um die Kontinuität zu verbessern.
- Den Plan ständig aktualisieren: Nach dem Test sollte dessen Verlauf überprüft und der Plan entsprechend optimiert werden. Wenn ein Unternehmen seine Prozesse, Anbieter und Mitarbeitenden häufig wechselt, bietet sich ein Zeitplan für regelmäßige Tests an. Aber auch sonst ist ein Business-Continuity-Plan ständig zu überprüfen und zu aktualisieren.
Viele Unternehmen schieben Pläne für eine Aufrechterhaltung des Geschäftsbetriebs auf die lange Bank, weil sie die Dringlichkeit nicht erkennen oder die zusätzliche Arbeitsbelastung fürchten. Aber: Die Gefahren steigen ständig und ein solider Plan kann dabei helfen, den Betrieb so gut wie möglich fortzuführen. Dann hat sich der Aufwand für einen Business-Continuity-Plan auf jeden Fall gelohnt.
Wolfgang Huber ist Regional Director DACH beim Datenmanagement-Anbieter Cohesity.