Go to Top

Entwickeln Sie Ihren Business Continuity (BCP) und Disaster Recovery (DRP) Plan – Sechs wichtige Punkte, die dabei zu beachten sind…

Daten

Die ständig wachsende Menge an Daten ist in den letzten Jahren zu einer großen Herausforderung für Unternehmen geworden. Immer mehr Daten werden gesammelt, verarbeitet, übertragen und in internen oder externen Rechenzentren gespeichert. Big Data-Analyse wird zu einem Mainstream-Trend in Unternehmen seit die anspruchsvollen Software-Lösungen, die benötigt werden um solche Aufgaben durchzuführen, erschwinglich geworden sind. Aber mit mehr und mehr Daten, steigt auch das Risiko, ein Opfer von Datenverlust zu werden.

Im Laufe der Jahre hat Kroll Ontrack mehrere Umfragen über Datenverluste in Unternehmen und Privatpersonen durchgeführt. Die Ergebnisse dieser Umfragen sind offensichtlich: Trotz besserer Softwarelösungen und Hardware tritt Datenverlust immer noch auf und irgendwann wird jeder mit den Konsequenzen konfrontiert. Unabhängig von den Gründen – die Speicher-Festplatte war fehlerhaft oder war am Ende ihres Lebenszyklus angelangt, Benutzerfehler oder Naturkatastrophen wie Überschwemmungen oder Feuer – ein Datenverlust kann schwerwiegende Auswirkungen für das Unternehmen oder Einzelpersonen haben. Wenn die Daten für das Geschäft genutzt werden, kann ein Verlust von häufig verwendeten Daten – im schlimmsten Fall – zu einem Konkurs führen, z.B. wenn Fristen in einem laufenden Projekt nicht eingehalten werden können oder Datenbanken nicht mehr verfügbar sind. Kroll Ontrack Umfragen zeigen auch: Backups zu besitzen, bedeutet nicht notwendigerweise, dass sie auch funktionieren, wenn die Katastrophe eintritt. Deshalb einen soliden Business-Continuity-Plan sowie einen soliden Disaster Recovery-Plan zu haben, ist mehr als ein Nice-to-have, es ist vielmehr eine Notwendigkeit!

Was ist ein Business Continuity Plan (BCP) und was beinhaltet er?

Ein Business Continuity Plan (BCP) sollte einem Unternehmen helfen, falls aus irgendwelchen Gründen das Geschäft eines Unternehmens gestört wird. Wenn der Geschäftsbetrieb gestört wird, kostet es die Firma normalerweise viel Geld. Um diese Verluste auf ein Minimum zu begrenzen, sollte ein BCP-Dokument alle notwendigen Schritte und Zeitpläne abdecken, um die benötigten Ressourcen, Prozesse und Funktionen wieder zum Laufen zu bringen.

Was ist ein Disaster Recovery Plan (DRP) und was deckt er ab?

Ein Disaster Recovery Plan (DRP) ist ein dokumentierter Prozess zur Wiederherstellung einer Business-IT-Infrastruktur im Falle einer Katastrophe/eines Ausfalls. Eine Katastrophe könnte aus natürlichen oder von Menschen verursachten Gründen geschehen, zum Beispiel ein Wasserschaden durch Überschwemmungen oder ein Brandschaden oder durch Viren oder Hackerangriffe, wie die jüngsten Ransomware-Fälle zeigen. Wenn der Ernstfall eintritt, hat die IT-Umgebung schwerwiegende Probleme und Datenverlust ist höchstwahrscheinlich eine der Folgen.

Was muss bei der Entwicklung eines BCP / DRP berücksichtigt werden?

  1. Ein guter BD- / DR-Plan sollte nicht nur die üblichen Gründe für Datenverlust wie Hardware-Ausfall und natürliche Ursachen wie z.B. menschliches Versagen oder Rauch, Feuer und Wasserschaden abdecken. Er sollte auch Vorfälle abdecken, die nicht so häufig sind wie Datenverlust durch Hacker und Kriminelle – z.B. ein möglicher Ransomware-Angriff – oder Sabotage. Jedes Unternehmen sollte ihre BC / DR-Pläne an Gefahren anpassen, die vielleicht jetzt unbekannt sind, aber eine schwere Bedrohung in der Zukunft darstellen können.
  2. Ein guter BC- / DR-Plan sollte immer mit der Mitwirkung aller Beteiligten am Prozess erarbeitet werden. Es macht einfach keinen Sinn, einen Plan von einem oder zwei Personen erstellen und ihn dann durch das Management per Order auszuführen zu lassen. Je mehr Menschen an der Schaffung eines solchen Plans beteiligt sind, desto mehr mögliche Fallstricke können entdeckt werden und desto besser und zuverlässiger wird der Plan am Ende ausfallen. Darüber hinaus können Mitarbeiter die Anforderungen an Schwachstellen und Kapazitätsplanung im Voraus identifizieren.
  3. IT-Berater weisen häufig darauf hin, dass eine Risikobewertungsanalyse (Risk Assessment Analysis) notwendig ist, um einen anständigen BD- / DR-Plan zu schaffen, da in diesem Dokument alle möglichen Bedrohungen für das Unternehmen gelistet werden und damit überprüft wird, ob das Unternehmen in der Lage ist, sich gegen jede Gefahr zu schützen. Aber das ist nur zur Hälfte wahr. Eine solche Risikobewertung definiert, was zu einem Ausfall führen kann, und beschäftigt sich weniger mit dessen Auswirkungen.

Es ist besser, die wahrscheinlichsten Risiken zu identifizieren, die die eigentlichen Geschäftsfunktionen zuerst beeinflussen. Dieser Schritt dient dazu festzustellen, welche Risiken / Bedrohungen (sowohl intern als auch extern) den Betrieb der jeweiligen Geschäftsfunktionen beeinflussen können. Eine solche sogenannte Geschäftseinflussanalyse/Business Impact Analysis (BIA) kann einfach über eine Liste von Fragen an die betroffenen Mitarbeiter und deren Antworten erstellt werden. Wenn allerdings genug  Zeit und Geld zur Verfügung steht, ist eine Risikobewertungsanalyse zusammen mit einem BIA die beste Variante die man wählen kann.

  1. Tests sind notwendig, um einen BC- / DR-Plan zu erstellen, der gut funktioniert, wenn es zu einer „Katastrophe“ kommt. Deshalb ist bei der Entwicklung eines Plans das Testen ein integraler Bestandteil dieses Prozesses. Der Versuch, Kosten zu senken und nur begrenzte Tests zu machen, erzeugt keine wirkliche Sicherheit und hilft nur vermeintlich, im Budget zu bleiben. Denn wenn es zu einem Ausfall kommt, werden die Kosten am Ende viel höher sein. Deshalb: Organisieren Sie das notwendige Budget oder lassen Sie das Projekt gleich blieben.
  2. Häufige Updates sind nicht nur für die verwendete Soft- und Hardware in Ihrem Unternehmen notwendig, sondern auch für Ihren BC- / DR-Plan. Es ist nicht so ungewöhnlich, dass ein BC- / DR-Plan aus 100 oder mehr Seiten besteht, um jeden Schritt im Detail abzubilden. Da sich die Technologien so oft ändern. Und um mit diesen Änderungen im Plan stets auf dem Laufenden zu bleiben, ist es sinnvoll, den Plan in mehreren separaten Schritten für einen besseren Überblick zu unterteilen und in den Abschnitten später Änderungen durchzuführen.
  3. Eine wichtige Frage wird oft über die Verwendung von BC- und DR-Plänen gestellt: Ist es wirklich notwendig, einen umfangreichen BC- / DR-Plan mit Hunderten von Seiten zu entwickeln? Die Antwort ist nein. Manchmal sollte ein einfaches 2-10 Seiten langes Dokument mit den benötigten Informationen ausreichen, um alle notwendigen Schritte zu beschreiben, wie man im Falle einer Katastrophe oder eines Datenverlusts reagieren sollte. Aber das hängt natürlich stark von der Struktur des Unternehmens und ihren Regeln und Vorschriften ab. Wenn ein umfangreiches Dokument notwendig ist, ist es ratsam, eine weitere Kurz-Version dieses Plans zu erstellen, um die notwendigsten Schritte schnell für verantwortliche Mitarbeiter bereit zu stellen.

Bildnachweis: unsplash/ pexels.com/CC0 License