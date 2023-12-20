Veröffentlicht: 21. Dezember 2023
Geschäftskontinuität und Notfallwiederherstellung (BCDR) beschreibt einen Prozess, der Unternehmen im Katastrophenfall dabei hilft, zum normalen Geschäftsbetrieb zurückzukehren. Obwohl Geschäftskontinuität und Notfallwiederherstellung eng miteinander verknüpft sind, beschreiben sie zwei etwas unterschiedliche Ansätze des Krisenmanagements, die Unternehmen verfolgen können.
Da die Prävention von Datenverlusten und Ausfallzeiten immer teurer wird, erhöhen viele Unternehmen ihre Investitionen in das Notfallmanagement. Allein im Jahr 2023 sollten Unternehmen weltweit 219 Milliarden USD für Cybersicherheit ausgeben, was einem Anstieg von 12 % gegenüber dem Vorjahr entspricht,so ein aktueller Bericht der International Data Corporation.
Was ist ein Notfallwiederherstellungsplan?
Ein Desaster Recovery Plan (DRP) ist ein Notfallwiederherstellungsplan, der festlegt, wie sich ein Unternehmen von einem unerwarteten Ereignis erholt. DRPs helfen Unternehmen bei der Bewältigung verschiedener Katastrophenszenarien wie massive Ausfälle, Naturkatastrophen, Angriffe mit Ransomware und Malware und viele andere.
Was ist ein Plan für Geschäftskontinuität?
Wie DRPs spielen auch Pläne für Geschäftskontinuität (BCPs) eine wichtige Rolle bei der Notfallwiederherstellung und helfen Unternehmen, im Katastrophenfall zu ihren normalen Geschäftsfunktionen zurückzukehren. Während sich ein DRP speziell auf IT-Systeme konzentriert, konzentriert sich das Geschäftskontinuitätsmanagement auf verschiedene Aspekte der Vorsorge.
Die meisten Unternehmen unterteilen die BCDR-Planung in zwei separate Prozesse: Geschäftskontinuität und Notfallwiederherstellung. Dieser Ansatz ist effektiv, weil die beiden Prozesse zwar viele Schritte gemeinsam haben, es aber auch wesentliche Unterschiede in der Art und Weise gibt, wie Unternehmen die Pläne erstellen, implementieren und testen.
Der Hauptunterschied besteht darin, dass BCPs proaktiv sind und darauf abzielen, den Betrieb vor, während und unmittelbar nach einer Katastrophe aufrechtzuerhalten. DRPs hingegen sind reaktiv und konzentrieren sich darauf, wie Unternehmen auf einen Vorfall reagieren und sich davon erholen können. Diese Unterscheidung sollte die Erstellung Ihrer BCDR-Strategie bestimmen, wobei sich BCPs auf kritische Prozesse und Aufgaben konzentrieren, während bei DRPs der Fokus auf Wiederherstellungsmaßnahmen nach einem Vorfall liegt.
Beide Prozesse hängen stark von zwei kritischen Komponenten ab: dem Recovery Time Objective und dem Recovery Point Objective.
Recovery Time Objective (RTO)
RTO bezeichnet die Zeit, die benötigt wird, um Geschäftsprozesse nach einem ungeplanten Vorfall wiederherzustellen. Die Festlegung eines angemessenen RTO ist eine der ersten Maßnahmen, die Unternehmen ergreifen müssen, wenn sie ihren DRP erstellen.
Recovery Point Objective (RPO)
Das RPO Ihres Unternehmens bezeichnet die Menge an Daten, die einem Unternehmen bei einer Katastrophe verloren gehen darf, damit eine Wiederherstellung noch möglich ist. Da der Datenschutz eine Kernkompetenz vieler moderner Unternehmen ist, kopieren manche Unternehmen ihre Daten ständig in ein entferntes Rechenzentrum, um im Falle eines massiven Datenlecks die Kontinuität zu gewährleisten. Andere legen ein tolerierbares RPO von wenigen Minuten (oder sogar Stunden) fest, damit Geschäftsdaten von einem Backup-System wiederhergestellt werden können, in dem Wissen, dass sie alles wiederherstellen können, was in dieser Zeit verloren gegangen ist.
1. Durchführung einer Analyse der Auswirkungen auf das Geschäft
Um einen effektiven BCP zu erstellen, müssen Sie zunächst die verschiedenen Risiken verstehen, mit denen Ihr Unternehmen konfrontiert ist. Die Analyse der Auswirkungen auf das Geschäft (Business Impact Analysis, BIA) spielt eine entscheidende Rolle beim Risikomanagement und der Resilienz von Unternehmen. Die BIA ist der Prozess der Identifizierung und Bewertung der potenziellen Auswirkungen einer Katastrophe auf den normalen Betrieb. Eine starke BIA beinhaltet einen Überblick über alle potenziell bestehenden Bedrohungen und Sicherheitslücken – intern und extern – sowie detaillierte Pläne zu deren Abschwächung. Die BIA muss auch die Wahrscheinlichkeit für das Eintreten eines Ereignisses einschätzen, damit das Unternehmen entsprechende Prioritäten setzen kann.
2. Maßnahmen erarbeiten
Sobald Ihre BIA abgeschlossen ist, besteht der nächste Schritt beim Erstellen Ihres BCP darin, effektive Reaktionen auf jede der von Ihnen identifizierten Bedrohungen zu planen. Unterschiedliche Bedrohungen erfordern natürlich unterschiedliche Strategien zur Notfallwiederherstellung. Daher sollte jede Ihrer Reaktionen einen detaillierten Plan umfassen, wie das Unternehmen eine bestimmte Bedrohung erkennen und damit umgehen wird.
3. Wichtige Aufgaben und Zuständigkeiten identifizieren
In diesem Schritt legen Sie fest, wie wichtige Mitglieder Ihres Teams reagieren werden, wenn sie mit einer Krise oder einem störenden Ereignis konfrontiert sind. Hier werden die Erwartungen an jedes Teammitglied dokumentiert sowie die Ressourcen, die es benötigt, um seine Aufgaben zu erfüllen. Dies ist ein guter Punkt im gesamten Prozess, um zu überlegen, wie Einzelpersonen bei Eintreten eines Vorfalls kommunizieren werden. Bei einigen Bedrohungen werden wichtige Netzwerke – wie Mobilfunk- oder Internetverbindungen – abgeschaltet, daher ist es wichtig, dass Sie über zuverlässige alternative Kommunikationsmethoden verfügen.
4. Den Plan erproben und aktualisieren
Um handlungsfähig zu sein, müssen Sie Ihren BCDR-Plan ständig praktisch üben und verfeinern. Durch wiederkehrende Tests und Schulungen der Mitarbeiter wird eine reibungslose Umsetzung im Katastrophenfall gewährleistet. Proben Sie realistische Szenarien wie Cyberangriffe, Brände, Überschwemmungen, menschliches Versagen, massive Stromausfälle und andere relevante Bedrohungen, damit die Teammitglieder Sicherheit bei der Ausführung ihrer Aufgaben und beim Übernehmen ihrer Verantwortlichkeiten entwickeln können.
Wie BCPs erfordern auch DRPs eine BIA – die Beschreibung von Aufgaben und Verantwortlichkeiten sowie ständige Tests und Verfeinerungen. Aber weil DRPs von Natur aus reaktiver sind, liegt der Schwerpunkt eher auf Risikoanalysen und auf Daten-Backup und Wiederherstellung. Die Schritte 2 und 3 der DRP-Entwicklung, die Durchführung der Risikoanalyse und die Erstellung eines Asset-Bestands sind in keiner Weise Bestandteil der Entwicklung eines BCP.
Hier ist ein weit verbreiteter fünfstufiger Prozess zur Erstellung eines DRP:
1. Durchführung einer Analyse der Auswirkungen auf das Geschäft
Beginnen Sie wie in Ihrem BCP-Prozess jede Bedrohung, der Ihr Unternehmen ausgesetzt sein könnte, zu bewerten und sich klar zu machen, welche Auswirkungen sie haben könnte. Überlegen Sie, wie sich potenzielle Bedrohungen auf den täglichen Betrieb, die regulären Kommunikationskanäle und die Sicherheit der Mitarbeiter auswirken könnten. Weitere Überlegungen für eine starke BIA sind Einnahmeverluste, Kosten für Ausfallzeiten, Kosten für die Wiederherstellung des guten Rufs (Öffentlichkeitsarbeit), Verlust von Kunden und Investoren (kurz- und langfristig) sowie etwaige Strafen aufgrund von Compliance-Verstößen.
2. Analyse der Risiken
DRPs erfordern in der Regel eine sorgfältigere Risikobewertung als BCPs, da sie sich auf die Wiederherstellung nach einer potenziellen Katastrophe konzentrieren sollen. Berücksichtigen Sie bei der Risikoanalyse im Rahmen der Planung die Wahrscheinlichkeit eines Risikos und die potenziellen Auswirkungen auf Ihr Unternehmen.
3. Erstellen eines Asset-Bestands
Um einen wirksamen DRP zu erstellen, müssen Sie genau wissen, was Ihr Unternehmen besitzt, welchen Zweck und welche Funktion diese Assets haben und in welchem Zustand sie sich befinden. Eine regelmäßige Bestandsaufnahme der Assets hilft bei der Identifizierung von Hardware, Software, IT-Infrastruktur und allem anderen, was Ihr Unternehmen besitzen könnte und was für Ihren Geschäftsbetrieb wichtig ist. Sobald Sie Ihre Assets identifiziert haben, gruppieren Sie sie in drei Kategorien: kritisch, wichtig und unwichtig:
4: Zuweisung von Rollen und Zuständigkeiten
Genau wie bei der Entwicklung Ihres BCP müssen Sie die Zuständigkeiten klar umreißen und sicherstellen, dass die Teammitglieder über das verfügen, was sie zur Erfüllung ihrer Aufgaben benötigen. Ohne diesen entscheidenden Schritt weiß niemand, wie man sich im Katastrophenfall verhält. Im Folgenden finden Sie einige Aufgaben und Verantwortlichkeiten, die Sie beim Erstellen Ihres DRP berücksichtigen sollten:
5. Testen und verfeinern
Wie Ihr BCP erfordert auch Ihr DRP ständiges Üben und Verbesserungen, um effektiv zu sein. Üben Sie es regelmäßig und aktualisieren Sie es gemäß aller wichtigen Änderungen, die vorgenommen werden müssen. Wenn Ihr Unternehmen beispielsweise nach der Erstellung Ihres DRP ein neues Asset erwirbt, müssen Sie dieses in Ihren Plan aufnehmen, damit es in Zukunft geschützt ist.
Bei der BCDR-Planung hat jedes Unternehmen seine eigenen, individuellen Anforderungen. Hier sind einige Beispiele für Pläne, die für Unternehmen unterschiedlicher Größe und Branchen wirksam sind:
Krisenmanagementplan
Ein Krisenmanagementplan, auch Vorfallmanagementplan genannt, ist ein detaillierter Plan für den Umgang mit einem bestimmten Vorfall. Es enthält detaillierte Anweisungen, wie Ihr Unternehmen auf eine bestimmte Krise reagieren wird, z. B. auf einen Stromausfall, einen Cyberangriff oder eine Naturkatastrophe.
Kommunikationsplan
Ein Kommunikationsplan beschreibt, wie Ihr Unternehmen die Öffentlichkeitsarbeit (PR) im Katastrophenfall handhaben wird. Führungskräfte formulieren in Abstimmung mit Kommunikationsspezialisten Kommunikationspläne ergänzend zu allen Krisenmanagementaktivitäten, die erforderlich sind, um den Geschäftsbetrieb während eines ungeplanten Vorfalls am Laufen zu halten.
Wiederherstellungsplan für Rechenzentren
Ein Wiederherstellungsplan für Rechenzentren konzentriert sich auf die Sicherheit einer Rechenzentrumseinrichtung und ihre Fähigkeit, nach einem ungeplanten Vorfall wieder betriebsbereit zu sein. Zu den häufigsten Bedrohungen für die Datenspeicherung gehören überlastetes Personal, das zu menschlichen Fehlern führen kann, Cyberangriffe, Stromausfälle und Schwierigkeiten bei der Einhaltung von Compliance-Anforderungen.
Netzwerkwiederherstellungsplan
Netzwerk-Wiederherstellungspläne helfen Unternehmen bei der Wiederherstellung nach einer Unterbrechung der Netzwerkdienste, einschließlich Internetzugang, Mobilfunkdaten, lokale Netzwerke und Weitverkehrsnetze. Angesichts der entscheidenden Bedeutung, die vernetzte Services für den Geschäftsbetrieb haben, muss ein effektiver Netzwerk-Wiederherstellungsplan die Schritte, Aufgaben und Verantwortlichkeiten klar umreißen, die für eine schnelle und effektive Wiederherstellung der Services nach einer Netzwerkkompromittierung erforderlich sind.
Virtualisierter Wiederherstellungsplan
Ein virtualisierter Wiederherstellungsplan basiert auf Instanzen virtueller Maschinen (VM), die innerhalb weniger Minuten nach einer Unterbrechung in Betrieb genommen werden können. Virtuelle Maschinen sind Darstellungen/Emulationen von physischen Computern, die die Wiederherstellung kritischer Anwendungen durch Hochverfügbarkeit oder die Fähigkeit eines Systems ermöglichen, kontinuierlich ohne Ausfälle zu arbeiten.
Die BCDR-Planung hilft Unternehmen, die Bedrohungen, denen sie ausgesetzt sind, besser zu verstehen und sich besser darauf vorzubereiten. Unternehmen, die keine BCDR-Planung durchführen, sind verschiedenen Risiken ausgesetzt, darunter Datenverlust, Ausfallzeiten, Geldstrafen und Reputationsschäden. Eine effektive BCDR-Planung trägt dazu bei, die Geschäftskontinuität und die sofortige Wiederherstellung von Diensten nach einer Betriebsunterbrechung zu gewährleisten. Hier sind einige der Vorteile, von denen Unternehmen mit einer starken BCDR-Planung profitieren:
Wenn ein ungeplanter Vorfall den normalen Geschäftsbetrieb stört, kann das Hunderte von Millionen Dollar kosten. Darüber hinaus sorgen aufsehenerregende Cyberangriffe häufig für unerwünschte Aufmerksamkeit in der Presse und können zu einem Vertrauensverlust bei Kunden und Investoren führen. BCDR-Pläne verbessern die Fähigkeit eines Unternehmens, nach einem ungeplanten Vorfall schnell und reibungslos wieder in Betrieb zu gehen.
Laut IBMs aktuellem Bericht „Cost of Data Breach“ beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2023 auf 4,45 Millionen USD – ein Anstieg von 15 % in den letzten drei Jahren. Unternehmen mit einer starken BCDR können diese Kosten reduzieren, indem sie die Geschäftskontinuität während eines Vorfalls aufrechterhalten und die Wiederherstellung nach einem Vorfall beschleunigen. Eine weitere Möglichkeit für Kosteneinsparungen durch starke BCDR ist die Cyberversicherung. Viele Versicherer werden Unternehmen nicht versichern, wenn diese keinen starken BCDR-Plan aufgestellt haben.
Data Breaches führen zu hohen Geldstrafen, wenn private Kundeninformationen kompromittiert werden. Unternehmen, die in stark regulierten Sektoren wie dem Gesundheitswesen und der Finanzbranche tätig sind, müssen mit besonders hohen Strafen rechnen. Da diese Strafen oft an die Dauer und Schwere eines Verstoßes geknüpft sind, ist die Aufrechterhaltung der Geschäftskontinuität und die Verkürzung der Reaktions- und Wiederherstellungszyklen entscheidend, um die finanziellen Strafen gering zu halten.
