Krisenmanagement

Gewappnet gegen die IT-Katastrophe

Was können KMU bei einer Katastrophe mit grossem Datenverlust in der Informatik tun? Die folgenden sieben Tipps helfen, diese Krisensituation sicher zu bewältigen.

Es ist ein Horrorszenario: Wegen eines technischen Defekts, eines Brandes oder eines Wasserschadens ist die IT-Infrastruktur unbrauchbar geworden. Daten, die im Büro gespeichert waren, sind verloren, das Backup im Schrank unlesbar. Im schlimmsten Fall steht der Betrieb über mehrere Tage still, und offene Bestellungen, Lieferungen und Aufträge müssen in mühsamer Handarbeit aufgearbeitet werden.

Es lohnt sich also für Geschäftsführer, vorgängig eine Strategie zu erarbeiten, wie mit solchen Situationen umgegangen werden soll. Diese Tipps helfen Ihnen beim Aufbau eines sogenannten Continuity-Managements, das den laufenden Betrieb im Katastrophenfall sicherstellt.

 

Tipp 1: Prävention

Die wirksamste Massnahme gegen eine IT-Katastrophe ist die Prävention. Dazu tragen folgende Punkte bei:

  • Die Geschäftsführung muss sich ihrer unternehmerischen Verantwortung bewusst sein.
  • Es muss ein Risikomanagementsystem bestehen, das regelmässig die Risikosituation des Unternehmens beurteilt.
  • Die Prozessverantwortlichen müssen die ihnen obliegenden Risiken im Griff haben.
  • Das akzeptierbare Risiko und der Soll-Sicherheitsstandard müssen definiert werden.
  • Gegenmassnahmen für die Risikobehandlung müssen identifiziert und umgesetzt werden.

 

Tipp 2: Business-Impact-Analyse erstellen

Es gilt, mittels Business-Impact-Analyse die relevanten kritischen Bedrohungsszenarien zu identifizieren sowie die kritischen Ressourcen und Prozesse zu erfassen. Das Wissen um den Ist-Zustand des Unternehmens und die Anforderungen des Kerngeschäfts sind dabei Schlüsselelemente. Relevante Fragen sind:

  • Welche Schäden können durch einen (teilweisen) IT-Betriebsunfall entstehen?
  • Wie entwickelt sich das Schadensausmass im Verlaufe einer längeren Ausfallzeit?
  • Welches sind die gegenseitigen Abhängigkeiten zwischen Prozessen (Geschäftsbereichen) und Outsourcern, also externen Dienstleistern und Lieferanten?
  • Wie lange darf ein wichtiger Geschäftsprozess maximal stillstehen (Recovery Time Objective)?
  • Bis zu welchem Zeitpunkt in der Vergangenheit dürfen Daten verloren gehen (Recovery Point Objective)?

 

Tipp 3: Strategie definieren und Pläne entwickeln

Auf Basis dieser Analyse lässt sich eine angemessene IT-Service-Continuity-Strategie festlegen und entsprechende Pläne zur erfolgreichen Krisenbewältigung (Alarmierungspläne, Notfallprozesse, Checklisten, Kommunikation) können entwickelt werden. Diese Pläne beschreiben die Aktivitäten zwischen dem Zeitraum des Eintritts einer Krise bis zur vollständigen Wiederherstellung des Normalbetriebs. Sie müssen periodisch auf ihre Aktualität überprüft und im Bedarfsfall angepasst werden.

 

Tipp 4: IT-Krisenorganisation aufbauen

Das blosse Abarbeiten von Checklisten und Massnahmenplänen reicht nicht aus, um eine IT-Katastrophe zu meistern. Es sind Managementinstrumente gefragt, die beim Normalbetrieb nicht notwendig sind. Dabei ist ein enges Zusammenarbeiten von IT-Krisenmanagement und Business-Continuity-Management unabdingbar. In solchen Situationen verschafft kontinuierliches Lernen und Training in Krisenstabsübungen mehr Sicherheit und Handlungsspielraum und hilft, die Ereignisse zielgerichtet zu bewältigen.

 

Tipp 5: Regelmässige Tests durchführen

Die im Rahmen der IT-Service-Continuity getroffenen Vorkehrungen müssen regelmässigen Tests unterzogen werden. Auch müssen die Wirksamkeit und Aktualität des IT-Service-Continuity-Managements in Übungen überprüft werden. Durch gezielte Massnahmen sollen Lücken identifiziert und geschlossen werden.

 

Tipp 6: Wachsende Erkenntnis in Unternehmen anstreben

Damit die IT-Service-Continuity-Strategie erfolgreich umgesetzt werden kann, muss im Unternehmen das Bewusstsein dazu gefördert werden. Die Mitarbeiterinnen und Mitarbeiter müssen erkennen, welchen Beitrag sie zu einem insgesamt wirksamen IT-Service-Continuity-Management erbringen können.

 

Tipp 7: Prozess kontinuierlich verbessern

Nach der Krise ist vor der Krise. Das heisst, dass alle Tipps im Rahmen eines kontinuierlichen Verbesserungsprozesses des IT-Service-Continuity-Managements regelmässig überarbeitet und den aktuellen Gegebenheiten angepasst werden müssen.

 


Silvan WyserAutor:

Silvan Wyser ist Marketingchef der GIA Informatik AG in Oftringen. GIA ist ein Unternehmen für Informatik-Dienstleistungen mit Kernkompetenzen im Erarbeiten und Betreiben von Lösungen aus einer Hand in den Bereichen ERP (SAP-Partner), IT-Services mit eigener Cloud-Infrastruktur und Produktentwicklung (PTC-Partner). Das Unternehmen mit 145 Mitarbeiterinnen und Mitarbeitern ist eine Tochterfirma des weltweit tätigen Müller-Martini-Konzerns.


 

Glossar

IT-Service-Continuity-Management: Es definiert und plant alle Massnahmen und Prozesse für unvorhergesehene Katastrophenfälle. Dabei ist es im übergeordneten Prozess Business-Continuity-Management eingebettet.

Business-Impact-Analyse: Diese Analyse ist im Business-Continuity-Management eine Methode zur Sammlung und Identifizierung von Prozessen und Funktionen innerhalb einer Organisation, um die den Prozessen zugrundeliegenden Ressourcen zu erfassen.

Recovery Time Objective (RTO): Dabei handelt es sich um die Zeit, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse vergehen darf. Der Zeitraum kann hier von null Minuten (Systeme müssen sofort verfügbar sein) bis zu mehreren Tagen (in Einzelfällen Wochen) betragen.

Recovery Point Objective (RPO): Dabei handelt es sich um den Zeitraum, der zwischen zwei Datensicherungen liegen darf; das heisst, wie viele Daten/Transaktionen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen dürfen. Wenn kein Datenverlust hinnehmbar ist, beträgt die RPO null Sekunden.

Jetzt lesen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.