Risiko-Szenarien für das Disaster Recovery

Pläne für den Notfall zu selten getestet

06. November 2007
Von Alexander Galdy
Die meisten Unternehmen testen ihre Disaster-Recovery-Pläne zu selten. Und falls doch, versagt die Hälfte dieser Pläne. Das ist das Ergebnis einer weltweiten Studie von Symantec. Erstaunlich, wenn man bedenkt, dass schon jeder zweite Betrieb in der Vergangenheit auf hausinterne Notfallpläne zurückgreifen musste.
Die meisten Unternehmen testen ihren Notfallplan jedes halbe Jahr. Acht Prozent vertrauen darauf, dass alles gut gehen wird.
Die meisten Unternehmen testen ihren Notfallplan jedes halbe Jahr. Acht Prozent vertrauen darauf, dass alles gut gehen wird.

Noch schwerer trifft eine Katastrophe allerdings Unternehmen ohne verfügbaren Notfallplan, warnt Symantec. 44 Prozent von ihnen waren schon einmal mit kritischen Vorfällen konfrontiert, bei rund einem Viertel waren es sogar zwei oder mehr und bei elf Prozent drei oder mehr Vorfälle.

Dabei können Unterbrechungen bei Anwendungen und Services für ein Unternehmen äußerst kostspielige Konsequenzen haben. Das ist den befragten Führungskräften auch durchaus bewusst. 69 Prozent der Teilnehmer äußerten ihre Besorgnis über eine mögliche Marken- oder Rufschädigung für die eigene Firma. Negative Auswirkungen auf die Kundentreue fürchteten 65 Prozent und 64 Prozent hatten Angst vor dem Verlust von Unternehmensdaten.

Mängel bei Planung und Tests

Die Mehrzahl der Befragten berichtete, dass die vorhandenen Disaster-Recovery-Pläne im Unternehmen geprüft werden. Gleichzeitig gaben jedoch 48 Prozent der IT-Fachleute an, dass ihre Tests wegen Problemen mit Technologien, Personen oder Prozessen fehlschlugen. Als häufigste Ursache für gescheiterte Tests war zu hören, dass die implementierten Technologien nicht die erwarteten Ergebnisse lieferten.

Die Umfrageergebnisse zeigen laut Symantec eindeutig, dass selbst bei erfolgreich verlaufenden Tests die dazugehörigen Verfahren sowie die Wahrscheinlichkeits- und Auswirkungsanalysen nicht umfassend genug sind. Während 88 Prozent der Unternehmen derartige Analysen für mindestens eine Bedrohung durchgeführt haben, ist dies bei weniger als der Hälfte aller Befragten für sämtliche Bedrohungen der Fall.

Bei zwölf Prozent der Firmen erfolgte überhaupt keine Analyse für irgendeine Bedrohung. Am seltensten untersucht wurde der Bedrohungsbereich Konfigurationsänderungs-Management. Nur bei 42 Prozent der Befragten, die dort eine Bedrohung wahrnahmen, wurde auch eine entsprechende Analyse durchgeführt.

Deutsche fürchten Ausfall der Computer-Systeme

Naturkatastrophen (69 Prozent), Virenangriffe (57 Prozent) und Krieg oder Terrorismus (31 Prozent) waren weltweit die Hauptsorgen, die Unternehmen dazu bewegten, Notfallpläne zu entwerfen. Firmen in Deutschland erscheinen Ausfälle der Computer-Systeme noch deutlich bedrohlicher: 79 Prozent gaben an, sich von dieser Gefahr erheblich bedroht zu fühlen. Besonders schlecht vorbereitet sind deutsche Unternehmen auf Schäden durch eine Feuerkatastrophe. Sie benötigen laut Studie für die Wiederherstellung nach einem schwerwiegenden Schaden überdurchschnittlich lange.

Als größte Gefahren werden in Deutschland Schäden an der Reputation, Nachteile im Wettbewerb, die Beziehung zu Lieferanten und Vertrauensverlust bei Kunden gesehen. Auf der anderen Seite sorgt sich aber nur jedes dritte Unternehmen um die Leistungsfähigkeit seiner Lieferanten im Katastrophenfall. Die meisten setzen entsprechende Pläne bei den Partnern einfach voraus.

Um die Kontinuität des Geschäftsbetriebs sicherzustellen, sollten Unternehmen Disaster-Recovery-Strategien entwickeln, die eine Anwendungs- und Datenverfügbarkeit über alle Plattformen und Entfernungen hinweg gewährleisten. Außerdem müssen sie geeignete Routinen für Tests einführen und pflegen, mit deren Hilfe sich die Effektivität ihrer Notfallpläne jederzeit und ohne Auswirkungen auf die Produktionsumgebung bewerten lässt.

Der Symantec-Bericht "Disaster Recovery Research 2007” basiert auf einer Umfrage unter 900 IT-Managern in Großunternehmen aus den vereinigten Staaten sowie elf europäischen Ländern, dem Nahen Osten und Südafrika. Ziel dieser im Juni und Juli 2007 durchgeführten Studie war es, einen tieferen Einblick sowie ein besseres Verständnis im Hinblick auf einige der komplexeren Probleme und Fragen zum Thema zu erzielen.