Zum Hauptinhalt wechseln

Anpassen und Reagieren auf Risiken mit einem Plan zur Geschäftskontinuität


Was ist ein Plan zur Aufrechterhaltung des Geschäftsbetriebs?

Ein Geschäftskontinuitätsplan ist ein Dokument, in dem dargelegt wird, wie ein Unternehmen seinen Betrieb bei einer ungeplanten Unterbrechung fortsetzen wird. Er ist umfassender als ein Notfallwiederherstellungsplan und enthält Notfallpläne für Geschäftsprozesse, Vermögenswerte, Personal und Geschäftspartner - also für jeden Aspekt des Unternehmens, der betroffen sein könnte.

Die Pläne enthalten in der Regel eine Checkliste, in der Material und Ausrüstung, Datensicherungen und Standorte für die Datensicherung aufgeführt sind. Die Pläne können auch die Planverwalter benennen und Kontaktinformationen für Notfallhelfer, wichtige Mitarbeiter und Anbieter von Ausweichstandorten enthalten. Die Pläne können detaillierte Strategien enthalten, wie der Geschäftsbetrieb sowohl bei kurz- als auch bei langfristigen Ausfällen aufrechterhalten werden kann.

Eine Schlüsselkomponente eines Business-Continuity-Plans ist ein Disaster-Recovery-Plan, der Strategien für den Umgang mit informationstechnischen Unterbrechungen von Netzwerken, Servern, PCs und mobilen Geräten enthält. Der Plan sollte vorsehen, wie die Büroproduktivität und die Unternehmenssoftware wiederhergestellt werden können, damit die wichtigsten Geschäftsanforderungen erfüllt werden können. Der Plan sollte auch manuelle Umgehungsmöglichkeiten vorsehen, damit der Betrieb fortgesetzt werden kann, bis die Computersysteme wiederhergestellt werden können.

Es gibt drei Hauptaspekte eines Business-Continuity-Plans für wichtige Anwendungen und Prozesse:

  • Hohe Verfügbarkeit: Sorgen Sie für die Fähigkeit und die Prozesse, dass ein Unternehmen unabhängig von lokalen Ausfällen Zugang zu den Anwendungen hat. Diese Ausfälle können in den Geschäftsprozessen, in den physischen Einrichtungen oder in der informationstechnischen Hardware oder Software liegen.
  • Kontinuierlicher Betrieb: Sicherstellung der Fähigkeit, den Betrieb während einer Unterbrechung sowie während geplanter Ausfälle wie geplanter Backups oder geplanter Wartungsarbeiten aufrechtzuerhalten.
  • Wiederherstellung im Katastrophenfall: Schaffung einer Möglichkeit, ein Rechenzentrum an einem anderen Standort wiederherzustellen, wenn eine Katastrophe den Hauptstandort zerstört oder anderweitig funktionsunfähig macht.

Entwicklung von Betriebskontinuitätsplänen

Die Business Continuity Planung hat sich Anfang der 1970er Jahre aus der Disaster Recovery Planung entwickelt. Finanzorganisationen, wie Banken und Versicherungen, investierten in alternative Standorte. Backup-Bänder wurden an geschützten Standorten fernab von Computern gelagert. Die Wiederherstellungsmaßnahmen wurden fast immer durch ein Feuer, eine Überschwemmung, einen Sturm oder eine andere äußere Gewalteinwirkung ausgelöst. In den 1980er Jahren sind Recovery-Sites entstanden, die Computerleistungen als Shared Services anboten, aber der Schwerpunkt lag immer noch nur auf der IT-Wiederherstellung.

Die 1990er Jahre brachten eine starke Zunahme der Globalisierung von Unternehmen und den durchgängigen Zugriff auf Daten.  Unternehmen denken über die Notfallwiederherstellung hinaus und betrachten den gesamten Prozess der Geschäftskontinuität ganzheitlich. Unternehmen haben erkannt, dass sie ohne einen gründlichen Geschäftskontinuitätsplan Kunden und ihren Wettbewerbsvorteil verlieren könnten. Gleichzeitig wurde die Planung der Geschäftskontinuität immer komplexer, da sie Anwendungsarchitekturen wie verteilte Anwendungen, verteilte Verarbeitung, verteilte Daten und hybride Datenverarbeitungsumgebungen berücksichtigen musste.

Unternehmen sind sich heute zunehmend ihrer Anfälligkeit bei Cyber-Angriffen bewusst, denn diese können ein Unternehmen lahmlegen oder seine Informationstechniksysteme dauerhaft zerstören. Außerdem schaffen die Digitale Transformation und Hyperkonvergenz unbeabsichtigte Ansatzpunkte für Risiken, Schwachstellen, Angriffe und Ausfälle. Geschäftskontinuitätspläne müssen eine Strategie für die Cyber-Resilienz enthalten, die einem Unternehmen helfen kann, störende Cyber-Vorfälle zu überstehen. Die Pläne enthalten in der Regel Maßnahmen zur Abwehr dieser Risiken, zum Schutz kritischer Anwendungen und Daten und zur kontrollierten, messbaren Wiederherstellung nach einer Verletzung oder einem Ausfall.

Ein weiteres Problem sind die exponentiell wachsenden Datenmengen. Anwendungen wie Entscheidungsunterstützung, Data Warehousing, Data Mining und Kundenressourcenmanagement können Investitionen in den Online-Speicher in Petabyte-Größe erfordern.

Die Datenwiederherstellung lässt sich nicht mehr eindimensional angehen. Die komplexe informationstechnische Infrastruktur der meisten Installationen übersteigt die Möglichkeiten der meisten Unternehmen, so zu reagieren, wie sie es noch vor einigen Jahren taten. Forschungsstudien haben gezeigt, dass Unternehmen, die sich irgendwie von einem unmittelbaren Katastrophenereignis erholt haben, ohne angemessene Planung häufig mittelfristig nicht überleben.

Warum ist ein Geschäftskontinuitätsplan wichtig?

Ein Geschäftskontinuitätsplan ist wichtig, um die Synchronisierung von Geschäftsprozessen, Anwendungen und Informationstechnikinfrastruktur zu ermitteln und zu berücksichtigen. Laut IDC kann ein Ausfall der Infrastruktur im Durchschnitt 100.000 USD pro Stunde kosten, und ein Ausfall einer kritischen Anwendung kann 500.000 USD bis 1 Million USD pro Stunde kosten.

Um den zahlreichen Bedrohungen standzuhalten und zu überleben, haben Unternehmen erkannt, dass sie mehr tun müssen als nur eine zuverlässige Infrastruktur zu schaffen, die das Wachstum unterstützt und Daten schützt. Die Unternehmen entwickeln jetzt ganzheitliche Pläne für die Geschäftskontinuitätdie den Geschäftsbetrieb aufrechterhalten, Daten schützen, die Marke schützen, Kunden binden - und letztlich dazu beitragen, die Gesamtbetriebskosten langfristig zu senken. Mit einem Geschäftskontinuitätsplan können Ausfallzeiten minimiert und nachhaltige Verbesserungen in den Bereichen Geschäftskontinuität, Wiederherstellung von Informationstechnologien im Katastrophenfall, Krisenmanagement und Einhaltung gesetzlicher Vorschriften erzielt werden.

Die Entwicklung eines umfassenden Plans zur Aufrechterhaltung des Geschäftsbetriebs ist schwieriger geworden, weil Systeme zunehmend integriert und über hybride informationstechnische Umgebungen verteilt sind, was zu potenziellen Schwachstellen führt. Die Verknüpfung kritischerer Systeme, um höhere Erwartungen zu erfüllen, erschwert die Planung der Geschäftskontinuität - zusammen mit der Wiederherstellung im Katastrophenfall, der Widerstandsfähigkeit, der Einhaltung von Vorschriften und der Sicherheit. Wenn ein Glied in der Kette ausfällt oder angegriffen wird, können sich die Auswirkungen auf das gesamte Unternehmen ausbreiten. Ein Unternehmen kann Umsatzeinbußen erleiden und das Vertrauen seiner Kunden verlieren, wenn es nicht in der Lage ist, seine Geschäftsfähigkeit aufrechtzuerhalten und sich gleichzeitig schnell an Risiken und Chancen anzupassen und darauf zu reagieren.

Einsatz von Beratung, Software und Cloud-basierten Lösungen für einen Geschäftskontinuitätsplan

Viele Unternehmen haben Schwierigkeiten, ihre Ausfallsicherheitsstrategien schnell genug weiterzuentwickeln, um den heutigen hybriden informationstechnischen Umgebungen und sich ändernden Geschäftsanforderungen gerecht zu werden. In einer Welt, in der alles rund um die Uhr läuft, können globale Unternehmen einen Wettbewerbsvorteil erlangen - oder Marktanteile verlieren - je nachdem, wie zuverlässig die Ressourcen der Informationstechnik die wichtigsten Geschäftsanforderungen erfüllen.

Einige Unternehmen nutzen externe Beratungsdienste für das Management der Geschäftskontinuität, um die Synchronisierung der Ausfallsicherheit zwischen Geschäftsprozessen, Anwendungen und der informationstechnischen Infrastruktur zu ermitteln und anzugehen. Berater können eine flexible Business-Continuity- und Disaster-Recovery-Beratung anbieten, die den Anforderungen eines Unternehmens entspricht - einschließlich Bewertungen, Planung und Design, Implementierung, Tests und vollständigem Business-Continuity-Management.

Es gibt proaktive Dienste wie die Kyndryl Incident Recovery Services, die Unternehmen dabei helfen, Risiken zu erkennen und sicherzustellen, dass sie darauf vorbereitet sind, eine Störung zu erkennen, darauf zu reagieren und sich davon zu erholen.

Angesichts der Zunahme von Cyberangriffen gehen Unternehmen von einem traditionellen oder manuellen Wiederherstellungsansatz zu einem automatisierten und softwaredefinierten Resilienzansatz über. Der Ansatz der Kyndryl Data Protection Services nutzt fortschrittliche Technologien und Best Practices, um Risiken zu bewerten, Prioritäten zu setzen und geschäftskritische Anwendungen und Daten zu schützen. Diese Dienste können Unternehmen auch dabei helfen, die IT während und nach einem Cyberangriff schnell wiederherzustellen.

Andere Unternehmen nutzen Cloud-basierte Sicherungsdienste wie Kyndryl Cyber Incident Recovery Services, um eine kontinuierliche Replikation wichtiger Anwendungen, Infrastrukturen, Daten und Systeme für eine schnelle Wiederherstellung nach einem IT-Ausfall zu gewährleisten. Es gibt auch Optionen für virtuelle Server zum Schutz kritischer Server in Echtzeit. Dies ermöglicht eine schnelle Wiederherstellung Ihrer Anwendungen in einem Kyndryl Resiliency Center, um den Geschäftsbetrieb während Wartungsarbeiten oder unerwarteten Ausfallzeiten aufrechtzuerhalten.

Für eine wachsende Zahl von Unternehmen liegt die Antwort in der Resiliency Orchestration, einem Cloud-basierten Ansatz, der die Automatisierung der Notfallwiederherstellung und eine Reihe von Business-Continuity-Management-Tools nutzt, die speziell für hybride informationstechnische Umgebungen entwickelt wurden. Kyndryl Resiliency Orchestration Services beispielsweise hilft, die Abhängigkeiten von Geschäftsprozessen über Anwendungen, Daten und Infrastrukturkomponenten hinweg zu schützen. Es erhöht die Verfügbarkeit von Geschäftsanwendungen, so dass Unternehmen auf die notwendigen Informationen auf hoher oder tiefer Ebene zugreifen können. Wiederherstellungspunkt-Ziel, Wiederherstellungszeitziel und den Gesamtzustand der Kontinuität der Informationstechnik über ein zentrales Dashboard abrufen können.

Hauptmerkmale eines wirksamen Plans zur Aufrechterhaltung des Geschäftsbetriebs

Die Komponenten der Geschäftskontinuität sind:

  • Strategie: Objekte, die sich auf die Strategien beziehen, die das Unternehmen einsetzt, um die täglichen Aktivitäten zu erledigen und gleichzeitig einen kontinuierlichen Betrieb zu gewährleisten    Organisation: Objekte, die sich auf die Struktur, die Fähigkeiten, die Kommunikation und die Verantwortlichkeiten der Mitarbeiter beziehen
  • Anwendungen und Daten: Objekte, die sich auf die Software beziehen, die für den Geschäftsbetrieb erforderlich ist, sowie auf die Methode zur Gewährleistung der Hochverfügbarkeit, die zur Implementierung dieser Software verwendet wird
  • Prozesse: Objekte, die sich auf die kritischen Geschäftsprozesse beziehen, die für den Geschäftsbetrieb notwendig sind, sowie die informationstechnischen Prozesse, die zur Gewährleistung eines reibungslosen Betriebs eingesetzt werden
  • Technologie: Objekte, die sich auf die Systeme, das Netzwerk und die branchenspezifische Technologie beziehen, die für einen kontinuierlichen Betrieb und die Sicherung von Anwendungen und Daten erforderlich sind
  • Einrichtungen: Objekte, die sich auf die Bereitstellung eines Wiederherstellungsstandort im Falle der Zerstörung des Hauptstandorts

Der Plan zur Aufrechterhaltung des Geschäftsbetriebs wird zum Zeitpunkt eines Business-Continuity-Ereignisses oder einer Krise zu einer Referenzquelle und ist der Entwurf für die Strategie und Taktik zur Bewältigung des Ereignisses oder der Krise.

Die folgende Abbildung veranschaulicht den von Kyndryl Global Technology Services angewandten Prozess der Geschäftskontinuitätsplanung. Es handelt sich um einen geschlossenen Kreislauf, der eine kontinuierliche Iteration und Verbesserung zum Ziel hat. Der Planungsprozess besteht aus drei Hauptabschnitten:

  • Festlegung von Prioritäten für das Unternehmen: Identifizieren Sie verschiedene Risiken, Bedrohungen und Schwachstellen und legen Sie Prioritäten fest
  • Integration in die Informationstechnik: Nehmen Sie den Input aus der Geschäftspriorisierung und führen Sie ein umfassendes Business-Continuity-Programmdesign durch
  • Verwalten: Verwalten, was bewertet und entworfen wurde