Was ist ein Business Continuity Plan?
Ein Business Continuity Plan (BCP) ist ein Dokument, das beschreibt, wie ein Unternehmen bei einer ungeplanten Betriebsunterbrechung weiterarbeitet. Er ist umfassender als ein Disaster-Recovery-Plan und enthält Eventualitäten für Geschäftsprozesse, Anlagen, Personal und Geschäftspartner – jeden Aspekt des Unternehmens, der betroffen sein könnte.
Die Pläne enthalten in der Regel eine Checkliste, die Material und Ausrüstung, Datensicherungen und Standorte für die Datensicherung umfasst. Pläne können auch Planadministratoren identifizieren und Kontaktinformationen für Notfallhelfer, Schlüsselpersonal und Anbieter von Backup-Standorten enthalten. Die Pläne können detaillierte Strategien bereitstellen, wie der Geschäftsbetrieb sowohl bei kurzfristigen als auch bei langfristigen Ausfällen aufrechterhalten werden kann.
Eine Schlüsselkomponente eines Business-Continuity-Plans (BCP) ist ein Disaster-Recovery-Plan, der Strategien für den Umgang mit IT-Unterbrechungen von Netzwerken, Servern, PCs und mobilen Geräten enthält. Der Plan sollte abdecken, wie Büroproduktivität und Unternehmenssoftware wiederhergestellt werden können, damit wichtige Geschäftsanforderungen erfüllt werden können. Manuelle Fehlerungehungen sollten im Plan skizziert werden, damit der Betrieb fortgesetzt werden kann, bis die Computersysteme wiederhergestellt werden können.
Es gibt drei Hauptaspekte für einen Business Continuity Plan für wichtige Anwendungen und Prozesse:
- Hochverfügbarkeit: Bereitstellung der Funktionalität und Prozesse, damit ein Unternehmen unabhängig von lokalen Ausfällen Zugriff auf Anwendungen hat. Diese Ausfälle können in den Geschäftsprozessen, in den physischen Einrichtungen oder in der IT-Hardware oder -Software liegen.
- Kontinuierlicher Betrieb: Sicherstellen der Fähigkeit, den Betrieb während einer Unterbrechung sowie während geplanter Ausfälle zu gewährleisten, z. B. bei geplanten Backups oder geplanten Wartungsarbeiten.
- Disaster-Recovery: Erstellen einer Methode zur Wiederherstellung eines Rechenzentrums an einem anderen Standort, wenn eine Katastrophe den primären Standort zerstört oder anderweitig funktionsunfähig macht.
Entwicklung von Business Continuity Plänen
Business Continuity Planning ist Anfang der 1970er Jahre aus der Disaster-Recovery-Planung hervorgegangen. Finanzorganisationen, wie Banken und Versicherungen, investierten in alternative Standorte. Backup-Bänder wurden an geschützten Standorten fernab von Computern gelagert. Die Wiederherstellungsmaßnahmen wurden fast immer durch ein Feuer, eine Überschwemmung, einen Sturm oder eine andere physische Verwüstung ausgelöst. In den 1980er Jahren wuchsen die kommerziellen Wiederherstellungsstandorte, die Computerdienste auf gemeinsamer Basis anboten, aber der Schwerpunkt lag immer noch nur auf der IT-Wiederherstellung.
Die 1990er Jahre brachten eine starke Zunahme der Globalisierung von Unternehmen und die Durchdringung des Datenzugriffs. Unternehmen dachten über Disaster-Recovery hinaus und ganzheitlicher über den gesamten Business-Continuity-Prozess nach. Sie erkannten, dass sie ohne einen gründlichen Business-Continuity-Plan Kunden und ihren Wettbewerbsvorteil verlieren könnten. Gleichzeitig wurde die Business-Continuity-Planung immer komplexer, da sie Anwendungsarchitekturen wie verteilte Anwendungen, verteilte Verarbeitung, verteilte Daten und hybride Rechenumgebungen berücksichtigen musste.
Unternehmen sind sich heute zunehmend ihrer Anfälligkeit für Cyber-Angriffe bewusst, die ein Unternehmen lahmlegen oder seine IT-Systeme dauerhaft zerstören können. Außerdem schaffen die digitale Transformation und die Hyperkonvergenz unbeabsichtigte Einfallstore für Risiken, Schwachstellen, Angriffe und Ausfälle. Business-Continuity-Pläne müssen eine Cyber-Resilience-Strategie beinhalten, die einem Unternehmen helfen kann, störende Cyber-Vorfälle zu überstehen. Die Pläne beinhalten in der Regel Möglichkeiten zur Abwehr dieser Risiken, zum Schutz kritischer Anwendungen und Daten und zur Wiederherstellung nach einer Verletzung oder einem Ausfall auf kontrollierte, messbare Weise.
Ein weiteres Problem sind die exponentiell wachsenden Datenmengen. Anwendungen wie Entscheidungsunterstützung, Data-Warehousing, Data-Mining und Customer Resource Management können Investitionen in Petabyte-Größe in Online-Speicher erfordern.
Die Datenrettung lässt sich nicht mehr eindimensional betrachten. Die komplexe IT-Infrastruktur der meisten Installationen übersteigt die Möglichkeiten der meisten Shops, so zu reagieren, wie sie es noch vor wenigen Jahren taten. Forschungsstudien haben gezeigt, dass Unternehmen, die sich irgendwie von einem unmittelbaren Katastrophenereignis erholt haben, ohne angemessene Planung häufig mittelfristig nicht überleben.
Warum ist ein Business Continuity Plan wichtig?
Es ist wichtig, einen Business Continuity Plan zu haben, der die Synchronisierung von Geschäftsprozessen, Anwendungen und IT-Infrastruktur identifiziert und berücksichtigt. Laut IDC kann ein Ausfall der Infrastruktur im Durchschnitt 100.000 USD pro Stunde kosten und ein Ausfall einer kritischen Anwendung kann 500.000 bis 1 Million USD pro Stunde kosten.
Um diesen vielen Bedrohungen standzuhalten und zu gedeihen, haben Unternehmen erkannt, dass sie mehr tun müssen, als eine zuverlässige Infrastruktur zu schaffen, die das Wachstum unterstützt und Daten schützt. Unternehmen entwickeln jetzt ganzheitliche Business-Continuity-Pläne, die den Betrieb aufrechterhalten, Daten schützen, die Marke sichern, Kunden binden – und letztlich helfen, die Gesamtbetriebskosten langfristig zu senken. Mit einem Business-Continuity-Plan können Ausfallzeiten minimiert und nachhaltige Verbesserungen in den Bereichen Business Continuity, IT-Disaster-Recovery, Krisenmanagement-Fähigkeiten des Unternehmens und Einhaltung gesetzlicher Vorschriften erreicht werden.
Die Entwicklung eines umfassenden Business-Continuity-Plans ist jedoch schwieriger geworden, da die Systeme zunehmend integriert und über hybride IT-Umgebungen verteilt sind, was potenzielle Schwachstellen schafft. Die Verknüpfung kritischerer Systeme miteinander, um höhere Erwartungen zu erfüllen, erschwert die Planung der Geschäftskontinuität – zusammen mit Disaster-Recovery, Ausfallsicherheit, Einhaltung gesetzlicher Vorschriften und Sicherheit. Wenn ein Glied in der Kette bricht oder angegriffen wird, können die Auswirkungen auf das gesamte Unternehmen übergreifen. Ein Unternehmen kann Umsatzeinbußen und ein schwindendes Kundenvertrauen erleiden, wenn es nicht in der Lage ist, die geschäftliche Widerstandsfähigkeit aufrechtzuerhalten und sich gleichzeitig schnell an Risiken und Chancen anzupassen und auf diese zu reagieren.
Einsatz von Consulting, Software und Cloud-basierten Lösungen für einen Business-Continuity-Plan
Viele Unternehmen haben Schwierigkeiten, ihre Ausfallsicherheitsstrategien schnell genug weiterzuentwickeln, um den heutigen hybriden IT-Umgebungen und sich ändernden Geschäftsanforderungen gerecht zu werden. In einer rund um die Uhr aktiven Welt können globale Unternehmen einen Wettbewerbsvorteil erlangen – oder Marktanteile verlieren – je nachdem, wie zuverlässig die IT-Ressourcen die Kerngeschäftsanforderungen erfüllen.
Einige Unternehmen nutzen externe Beratungsdienste für das Business Continuity Management, um die Synchronisierung von Geschäftsprozessen, Anwendungen und IT-Infrastrukturen zu identifizieren und zu verbessern. Berater können flexible Business-Continuity- und Disaster-Recovery-Beratung anbieten, um die Anforderungen eines Unternehmens zu erfüllen – einschließlich Bewertungen, Planung und Design, Implementierung, Tests und vollständigem Business-Continuity-Management.
Es gibt proaktive Services, wie die IBM IT Infrastructure Recovery Services, die Unternehmen dabei helfen, Risiken zu erkennen und sicherzustellen, dass sie auf die Erkennung, Reaktion und Wiederherstellung einer Störung vorbereitet sind.
Mit der Zunahme von Cyber-Angriffen gehen Unternehmen von einem traditionellen/manuellen Wiederherstellungsansatz zu einem automatisierten und softwaredefinierten Resiliency-Ansatz über. Der IBM Cyber Resilience Services Ansatz nutzt fortschrittliche Technologien und Best Practices, um Risiken zu bewerten, Prioritäten zu setzen und geschäftskritische Anwendungen und Daten zu schützen. Diese Services können Unternehmen auch dabei helfen, die IT während und nach einem Cyberangriff schnell wiederherzustellen.
Andere Unternehmen nutzen Cloud-basierte Backup-Services wie IBM Disaster Recovery as a Service (DRaaS), um eine kontinuierliche Replikation von kritischen Anwendungen, Infrastrukturen, Daten und Systemen für eine schnelle Wiederherstellung nach einem IT-Ausfall zu gewährleisten. Es gibt auch Optionen für virtuelle Server, wie IBM Cloud Virtualized Server Recovery, um kritische Server in Echtzeit zu schützen. Dies ermöglicht eine schnelle Wiederherstellung Ihrer Anwendungen in einem IBM Resiliency Center, um den Betrieb während Wartungsarbeiten oder unerwarteten Ausfallzeiten aufrechtzuerhalten.
Für eine wachsende Zahl von Unternehmen liegt die Antwort in der Resiliency Orchestration, einem Cloud-basierten Ansatz, der die Automatisierung von Disaster-Recovery und eine Reihe von Business Continuity Management-Tools nutzt, die speziell für hybride IT-Umgebungen entwickelt wurden. IBM Resiliency Orchestration hilft beispielsweise dabei, Abhängigkeiten von Geschäftsprozessen über Anwendungen, Daten und Infrastrukturkomponenten hinweg zu schützen. Es erhöht die Verfügbarkeit von Geschäftsanwendungen, so dass Unternehmen über ein zentrales Dashboard auf die notwendigen Informationen auf hoher Ebene oder in der Tiefe hinsichtlich Recovery Point Objective (RPO), Recovery Time Objective (RTO) und dem allgemeinen Zustand der IT-Kontinuität zugreifen können.
Hauptmerkmale eines effektiven Business Continuity Plans (BCP)
Die Komponenten der Geschäftskontinuität sind:
- Strategie: Objekte, die sich auf die Strategien beziehen, die das Unternehmen verwendet, um die täglichen Aktivitäten zu erledigen und gleichzeitig einen kontinuierlichen Betrieb sicherzustellen
- Organisation: Objekte, die sich auf die Struktur, die Fähigkeiten, die Kommunikation und die Verantwortlichkeiten der Mitarbeiter beziehen
- Anwendungen und Daten: Objekte, die sich auf die Software beziehen, die notwendig ist, um den Geschäftsbetrieb zu ermöglichen, sowie die Methode zur Bereitstellung von Hochverfügbarkeit, die zur Implementierung dieser Software verwendet wird
- Prozesse: Objekte, die sich auf die kritischen Geschäftsprozesse beziehen, die für den Betrieb des Unternehmens notwendig sind, sowie die IT-Prozesse, die für einen reibungslosen Betrieb sorgen
- Technologie: Objekte, die sich auf die Systeme, das Netzwerk und die branchenspezifische Technologie beziehen, die erforderlich sind, um einen kontinuierlichen Betrieb und Backups für Anwendungen und Daten zu ermöglichen
- Einrichtungen: Objekte, die sich auf die Bereitstellung eines Disaster-Recovery-Standorts beziehen, wenn der primäre Standort zerstört ist
Der Business-Continuity-Plan wird zum Zeitpunkt eines Business-Continuity-Ereignisses oder einer Krise zu einer Quellenreferenz und zur Blaupause für die Strategie und Taktik zur Bewältigung des Ereignisses oder der Krise.
Die folgende Abbildung veranschaulicht einen Business-Continuity-Planungsprozess, der von IBM Global Technology Services verwendet wird. Es ist ein geschlossener Kreislauf, der kontinuierliche Iteration und Verbesserung als Ziel unterstützt. Der Planungsprozess besteht aus drei Hauptabschnitten:
- Geschäftspriorisierung: Identifizierung verschiedener Risiken, Bedrohungen und Schwachstellen und Festlegung von Prioritäten.
- Integration in die IT: Aus dem Input der Geschäftspriorisierung wird ein Gesamtentwurf für ein Business-Continuity-Programm erstellt.
- Management: Verwaltung dessen, was beurteilt und entworfen wurde.
