Gesetzliche Anforderungen wie Sarbanes-Oxley, Basel II und GDPdU sowie die Zunahme der Attacken aus dem Web steigern den Bedarf nach krisensicheren Geschäftskonzepten. Business Continuity entwickelt sich zum Standard in der IT- und Wirtschaftswelt. Dieses Konzept evaluiert und bestimmt, wie Geschäftsprozesse sowie der gesicherte unternehmensweite Zugriff auf Informationen im Falle von ungeplanten Ereignissen aufrecht erhalten werden können.
Business Continuity geht mittlerweile allerdings weit über Backup und Disaster Recovery hinaus. Es beinhaltet vielmehr Informationssicherheit, Archivierung sowie Secure Collaboration-Lösungen, die die Einhaltung gesetzlicher Vorgaben erleichtern und Risiken des Informationsdiebstahls oder -missbrauchs minimieren.
Existenzielle Abhängigkeit von Information
Die Abhängigkeit von der Verfügbarkeit, Vollständigkeit und der Richtigkeit von elektronischen Informationen wächst ständig. Für Unternehmen, Behörden und Gesellschaft sind Informationen inzwischen existenziell. Laut einer aktuellen Studie des Lösungsanbieters Synstar, der 700 europäische Unternehmen befragte, erfährt die Hälfte der Unternehmen monatlich durchschnittlich eine 20-minütige, unvorhergesehene Ausfallzeit ihrer IT-Systeme. Dabei bereiten Serverausfälle 30 Prozent der IT-Verantwortlichen die größten Sorgen.
Systemausfälle und möglicher Datenverlust bedeuten für viele Unternehmen ein bedrohliches Horrorszenario. Wenn beispielsweise einer Bank das Zahlungsverkehrssystem oder Börsensystem weg bricht, vier, fünf Tage stillsteht und die Daten verloren gehen, kann das für das Unternehmen eine ernsthafte Gefährdung bedeuten. Bei einem längeren Ausfall mit Datenverlust und nicht mehr wieder herstellbaren Archiven bleibt in Extremfällen oft nur noch der Gang zum Insolvenzverwalter. Auch die Einhaltung von gesetzlichen Regelungen wie GDPdU, das die revisionssichere Langzeitarchivierung von rechnungsrelevanten Dokumenten, Belegen, Angeboten, Aufträgen etc. – sofern elektronisch erfasst – vorschreibt, ist bei Systemausfällen gefährdet.
Business Continuity ist mehr als Datenspeicherung
Um sich gegen einen Datenverlust zu wappnen und Business Continuity zu garantieren, wird im einfachsten Fall eine regelmäßige Datensicherung und -wiederherstellung durchgeführt. Eine klassische Backup-Software speichert ausgewählte Daten zu bestimmten Intervallen auf ein Band. Backups können entweder Snapshots einer ganzen Festplatte sein oder inkrementell, d.h. sie berücksichtigen nur die Informationen, die seit der letzten Speicherung hinzugekommen sind. Darüber hinaus sollten unternehmenswichtige Daten durch ein stabiles, redundant konzipiertes Plattensubsystem abgesichert sein. Durch zusätzliche Spiegelung der Daten mittels Hard- oder Software auf ein zweites System wird die Verfügbarkeit zusätzlich erhöht. Der Einsatz eines redundanten Systems ist mit zusätzlichen Kosten verbunden, hat jedoch den Vorteil, dass die Sekundärarchitektur innerhalb weniger Minuten oder gar Sekunden einspringen kann. Auf diese Weise lassen sich Ausfallzeiten vermeiden. Eine Grundvoraussetzung für Business Continuity ist die räumliche Trennung von Produktions- und Backup-Systemen. Denn im Falle eines Brandes nützt es wenig, wenn der Produktionsspeicher durch Spiegelung und Backup gesichert ist, die Systeme aber alle im gleichen Brandabschnitt stehen. Fibre Channel-Technologien und Storage Area Networks (SANs) ermöglichen hier eine räumliche Trennung. Hohe Verfügbarkeit erreichen Unternehmen mittels Clustering-Technologie. Denn ein vorbildlich abgesicherter Speicher wird nutzlos, wenn der Server, über den die Anwender auf ihn zugreifen, ausfällt. Mit Hilfe der mit dem Betriebssystem gelieferten Tools oder durch eine unabhängige Software können zwei oder mehr geclusterte Server sich im Schadensfall gegenseitig vertreten, ohne dass der Produktionsbetrieb unterbrochen wird.
Die oben genannten Maßnahmen reichen jedoch für umfassende Business Continuity heute allein nicht aus. Angriffe aus dem Web in Form von Viren und Hackern sowie Diebstahl oder Missbrauch von Informationen erfordern nicht nur die klassische Speicherung der Daten, sondern vielmehr die Wahrung der Informationssicherheit. So kann es für Unternehmen einen erheblichen finanziellen und Imageschaden bedeuten, wenn elektronische, unverschlüsselte persönliche Informationen wie Kreditkartennummern gestohlen werden. Ein Business Continuity-Konzept sollte daher auch Technologien umfassen, die die Sicherheit, Überwachung der Daten, Zugangskontrolle, sichere Archivierung des Inhalts und deren Verknüpfungen garantieren. Denn wer rund um die Uhr im Geschäft bleiben will, braucht eine hoch verfügbare Informations-Infrastruktur. Wie diese beschaffen sein muss, hängt von spezifischen Anforderungen ab. Aber oft birgt die Vernachlässigung kleiner Details ungeahnte Verlustrisiken.
Folgende Checkliste gibt einen Überblick, welche Einzellösungen eine umfassende Business Continuity-Lösung enthalten sollte.
Komponenten einer umfassenden Business Continuity-Lösung:
Application-aware Backup: Diese Software ist speziell für Unternehmenssysteme konzipiert. Application-aware Backup-Software, wie beispielsweise CYA HOTBackup, speichert nicht nur die Daten, sondern auch deren Verknüpfungen innerhalb des Geschäftsprozesses. Die Software prüft die Daten und deren Verknüpfungen auf ihre Integrität und Vollständigkeit, bevor sie gespeichert werden. Sie macht ein inkrementelles Backup und sichert ausgewählte oder leicht geänderte Objekte, anstatt ein komplettes System zu speichern.
Daten-Archivierung: Hardware- und Softwaresysteme, die Daten am Ende ihres Lebenszyklus auf kostengünstigeren Medien als die Server-Festplatte speichern.
Disk-Mirroring: Liefert eine Art Spiegelbild einer zweiten Festplatte mit Daten, die auf der primären Festplatte abgelegt sind. Falls die erste Festplatte ausfällt, erkennt das System den Hardware-Fehler und greift auf die zweite Festplatte zu.
Secure Collaboration Systeme: Diese schützen wichtige Inhalte während sie gleichzeitig internen und externen Anwendern die Arbeit an diesen ermöglichen. Secure Collaboration-Systeme verbinden Datenverschlüsselung, Authentifizierung, Zugangskontrolle und Überwachung der User-Aktivitäten wie die Speicherung von Informationen auf Diskette, die Weiterleitung via E-Mail oder Ausdrucke etc. Gleichzeitig erlauben sie den Anwendern, Inhalte zur Überprüfung vorzumerken.
Umfassende Sicherheitsvorsorge: Dazu zählen Virenschutz, Firewall und Intrusion Detection-Systeme.
Authentifizierung: Überprüfung der Identität einer Person oder eines Prozesses. Mittels kryptografischer Verschlüsselungstechniken wird überprüft, ob eine Nachricht wirklich von der angegebenen Quelle stammt. So lassen sich digitale Unterschriften realisieren, die noch sicherer als Unterschriften auf Papier eindeutig einem Absender zugeordnet werden können.
Zugangskontrolle: Gewährt nur berechtigten Personen Zutritt zu Informationen und wichtigen Daten.
Virtual Private Network (VPN): Ermöglicht die sichere Anbindung externer Geräte an das interne Unternehmensnetz. Vertrauliche Informationen können so mit externen Anwendern sicher geteilt werden.
Public Key Infrastructure (PKI): Bietet eine Sicherheitsarchitektur, die die sichere Weitergabe von vertraulichen Informationen über das Internet ermöglicht.
Genaue Planung ist das A und O
Jedes Unternehmen sollte ein Business Continuity-Konzept haben, um die Aufrechterhaltung der Geschäftsprozesse zu gewährleisteten. Nur wer seine Risiken kennt, kann sie minimieren: Ein Business Continuity-Plan beinhaltet zuallererst die Auswertung der aktuellen Daten und Systeme im Unternehmen sowie ihrer Wichtigkeit innerhalb des Unternehmens. Dann muss geklärt werden, wie lange sich ein Unternehmen den Ausfall dieser Systeme leisten kann und welche Schritte notwendig sind, um die Vorgaben an Wiederherstellungszeiten und -ziele für jedes einzelne System einzuhalten. Wichtig ist auch die Untersuchung der Systeme hinsichtlich der Sicherheitsaspekte und gesetzlicher Vorgaben. Diese Untersuchungen erleichtern Unternehmen die Auswahl der geeigneten Technologie, um die Verfügbarkeit sowie die Einhaltung gesetzlicher und Sicherheitsvorgaben zu gewährleisten – das betrifft sowohl Server, Anwendungen und Daten.
Ein Business Continuity-Konzept sollte außerdem Richtlinien für Stromausfälle und ungeplanten Ereignissen wie natürliche oder andere Katastrophen enthalten. Abschließend sollte der Plan Zeitrahmen und Budget zur Implementierung der Technologien berücksichtigen.
Business Continuity ist heute ein Muss! Die Bedrohung der unternehmerischen Sicherheit und Geschäftsabläufe ist real. Mit einem Business Continuity-Plan können schon im Vorfeld präventive Maßnahmen gegen Datenverlust und Schäden getroffen und Unternehmensrisiken minimiert werden.
