Ohne IT geht in modernen Unternehmen nichts mehr. Entsprechend hoch sind die Sicherheitsvorkehrungen, die verhindern sollen, dass ein Totalausfall im Rechenzentrum das ganze Unternehmen lahm legt.
In Fertigungsbetrieben betrifft dies etwa die Rechner zur Steuerung der Produktionsmaschinen, in den Banken die Transaktionssysteme und bei einem Mobilfunkbetreiber sind es beispielsweise Funknetze und Abrechnungssysteme.
Und selbst wenn die Rund-um-die-Uhr-Verfügbarkeit der IT-Rechenleistung 99 Prozent beträgt, bedeutet das - rein rechnerisch - im Jahr einen Ausfall von 88 Stunden. Das hat der IT-Dienstleister NTT Europe ausgerechnet. Bei einer Verfügbarkeit von 99,9 Prozent bleiben immerhin neun Ausfallstunden übrig. Sogar eine Quote von 99,99 Prozent bedeutet noch einen Ausfall von 53 Minuten. Entscheiden Sie selbst, was solche Fehlzeiten für Ihr Unternehmen bedeuten.
Aber es ist nicht nur die IT selber, die kaputt gehen kann. Beim Business-Continuity-Management (BCM), so NTT Europe, sollten Sie auch Ereignisse wie Brand, Wasserschaden oder Stromausfall berücksichtigen, deren Ursachen außerhalb Ihres Einflussbereichs liegen.
Selbst wenn hierzulande die Stromnetze nur selten längere Zeit ausfallen, bleibt ein Restrisiko. Jedes Unternehmen tut gut daran, sich über die möglichen Konsequenzen solcher unvorhergesehener Ereignisse im Klaren zu sein und sich darauf vorzubereiten.
Neben dem Eigenschutz spielt beim Business-Continuity-Management auch die Einhaltung von Compliance-Vorschriften eine wichtige Rolle, um Anforderungen an die Informationssicherheit, beispielsweise ISO 27001, zu erfüllen.
"An einem umfassenden Business-Continuity-Management für alle Kern-Systeme und Geschäftsprozesse führt kein Weg vorbei", sagt Oliver Harmel, Marketing Direktor für Zentraleuropa bei NTT Europe. "Ergeben Risikoanalyse und -bewertung eine hohe Gefährdung, benötigen Unternehmen ein vollständig redundantes Rechenzentrum, um für jeden Ernstfall gewappnet zu sein."
Tipps gegen den GAU im Rechenzentrum
Die folgenden zehn Tipps von NTT Europe sollen Ihnen helfen, auf all’ die Ereignisse vorbereitet zu sein, von denen jeder hofft, dass sie niemals eintreten werden.
1. Ermittlung der geschäftskritischen Komponenten und Prozesse.
Identifizieren Sie die für das Aufrechterhalten der Produktivität Ihres Unternehmens notwendigen Bausteine, Funktionen und Prozesse. Im Bereich der IT-Infrastruktur zählen dazu etwa Server, Speichersysteme, Netzwerkkomponenten oder betriebswirtschaftliche Anwendungen, aber auch die Internet-Verbindung. Damit stellen Sie fest, welches die schützenswerten und damit die geschäftskritischen Komponenten sind.
2. Risikoanalyse und -bewertung.
Im nächsten Schritt nehmen Sie eine gezielte Risikoanalyse und -bewertung aller IT-Komponenten und deren Abhängigkeiten voneinander vor. Das Ergebnis der Risikoanalyse ist eine Abschätzung der Eintrittswahrscheinlichkeit und des potenziellen Schadens, wie er sich bei einem Ausfall über einen bestimmten Zeitraum ergibt.
3. Festlegung der Verfügbarkeit.
Aus der Dokumentation der unternehmenskritischen IT-Komponenten, der Bewertung der drohenden Risiken und der Eintrittswahrscheinlichkeit ergibt sich die Grundlage für Ihre planerischen und betriebswirtschaftlichen Entscheidungen. Konkret definieren Sie hier, für welchen Zeitraum eine Betriebsstörung noch akzeptabel ist - eine, zwei oder vier Stunden - und wie hoch der potenzielle Schaden wäre.
4. Redundanz an einem Ort schaffen.
Eine effektive Möglichkeit, für den Fall eines Systemausfalls vorzubeugen, sind redundant ausgelegte Server und Storage-Systeme. Ergänzt um eine unterbrechungsfreie Stromversorgung tragen sie dazu bei, die Verfügbarkeit von Applikationen im Kerngeschäft zu erhöhen. Je nach Branchenzugehörigkeit, Unternehmensgröße und Datenvolumen sollten Sie die redundanten Infrastrukturen um weitere Sicherheits- und Compliance-Maßnahmen ergänzen.
5. Datensicherung und -wiederherstellung.
Der Fähigkeit zur Sicherung und Wiederherstellung von Geschäftsdaten zu jeder Zeit kommt eine bedeutende Rolle zu. Hier geht es um die langfristige Absicherung gegen Datenverlust. Dabei lassen sich zwei Fälle unterscheiden: Der logische Datenverlust durch unbeabsichtigtes Löschen oder der physische durch Datendiebstahl. Eine wirksame Art der Risikovermeidung und -minderung besteht beispielsweise darin, die regelmäßigen Backups an einem sicheren Ort außerhalb des eigenen Unternehmens aufzubewahren. Notwendig ist dafür ein tragfähiges Backup-Konzept.
6. Ein zweites Rechenzentrum.
Fortgeschrittenes Business Continuity Management, quasi BCM 2.0, wäre es zu prüfen, ob Sie eventuell ein zweites Rechenzentrum benötigen. Duale Rechenzentren und redundante Architekturen können sowohl inhouse untergebracht als auch an einen Managed-Hosting-Spezialisten outgesourct werden.
7. Doppelt ausgelegte Kommunikationsleitungen.
Redundant ausgelegte Hardware alleine genügt nicht. Vor allem bei Unternehmen mit mehreren Standorten sollten auch die Kommunikationswege doppelt ausgelegt sein, um zu gewährleisten, dass Mitarbeiter auf unternehmenskritische Ressourcen immer und überall zugreifen können: im Büro, unterwegs und vom Home Office.
8. Plan für Disaster Recovery.
Um für den Fall der Fälle gerüstet zu sein, ist ein detailliert ausgearbeiteter, immer wieder getesteter und in regelmäßigen Zeitabständen aktualisierter Plan nötig. Hier spielen die zuvor definierten Risiken und Störungsszenarien eine wichtige Rolle. Der Disaster-Recovery-Plan überprüft auch, wie schnell bestimmte Funktionen oder das gesamte Unternehmen wieder einsatzfähig sein können. Der Plan wird aber nur funktionieren, wenn Sie Ihre Mitarbeiter entsprechend schulen.
9. Kostenbetrachtung.
Zur Vorsorge gehört schließlich eine möglichst ausführliche Betrachtung der Kosten: Welche personellen und systemseitigen Strukturen müssen Sie schaffen? Wie hoch sind die Investitionen, wenn Sie die Vorkehrungen selbst oder über einen spezialisierten Dienstleister umsetzen? Stehen die dazu nötigen Ressourcen wie Personal, Infrastruktur oder Finanzen zur Verfügung?
10. Interne Lösung oder externer Dienstleister.
Sind die Kapazitäten im eigenen Haus bereits vorhanden und ohne große zusätzliche Investitionen umsetzbar, fällt die Entscheidung in der Regel zu Gunsten einer internen Lösung.
Die Alternative ist, die Risiken an einen Managed-Hosting-Provider, spezialisiert auf den Betrieb geschäftskritischer Infrastrukturen, zu übertragen und sich als Unternehmen auf die Kernkompetenzen zu konzentrieren. Ein wichtiges Auswahlkriterium in diesem Zusammenhang ist die Zertifizierung des Dienstleisters nach ISO 27001. Denn als Teil dieser Akkreditierung muss der Anbieter einen expliziten Business-Continuity-Plan vorweisen können.