BUSINESS-CONTINUITY

Gewappnet für den Ernstfall

05.11.2001
Zwei von fünf Unternehmen machen Pleite, wenn sie ihre Daten verlieren. Trotzdem sparen die meisten bei den Schutzmaßnahmen gegen Katastrophen aller Art. Es ist höchste Zeit, das Thema auf Vorstandsebene aufzuhängen.

Es war eine Frage von Minuten: Am Morgen des 11. September 2001 um kurz vor neun Uhr raste das erste von Terroristen entführte Flugzeug in das New Yorker World Trade Center. Wenig später klingelten die Telefone in der Chicagoer Zentrale des Katastrophen-Management-Unternehmens Comdisco. Um 9.02 Uhr sicherte sich der erste Anrufer aus dem New Yorker Finanzzentrum seinen Platz im Comdisco-Notbüro. Eine halbe Stunde später hatten bereits 30 Anrufer den Katastrophenzustand ausgerufen, nach zwei Stunden waren es 44. "Notunterkünfte für alle zu koordinieren war eine bisher nie dagewesene Herausforderung", sagt Martin Goulbourn, Leiter eines 330 Mann starken Katastrophenteams bei Comdisco.

Rund 4000 Mitarbeiter verschiedener Wallstreet-Firmen fanden schließlich bei Comdisco Unterschlupf. Die Zentrale des Krisen-Managers koordinierte dreimal mehr Fälle als bei der bisher schwerwiegendsten Katastrophe im Jahr 1999, als Hurrikan "Floyd" die Atlantikküste der USA verwüstet hatte. Müssen diese Szenarien auch einen deutschen Unternehmer schrecken? "Ja, sie müssen", sagt Michael Römer, Direktor für Disaster-Recovery und Business-Continuity bei IBM: "Es sind nicht nur Erdbeben oder Vulkanausbrüche, die den Betrieb lahm legen können." Schon wenn ein Toter im Rechenzentrum liege und der Staatsanwalt alles abriegele, tritt der Notfall ein, mit dem laut IBM-Statistik 2 von 1000 Firmen einmal im Jahr zu rechnen haben.

Wasserschäden, Feuer und zerstörte Telefon- und Stromleitungen zählen zu den häufigsten Vorkommnissen, die Römer in den sieben Jahren erlebt hat, seit er das IBM-Notfallteam für Zentral-Europa leitet. Der Vorsorgeservice kann in diesen Fällen die Lieferung von Hardware garantieren (kalte Lösung), stationäre oder mobile Ausweichrechenzentren anbieten (warme Lösung) oder Daten in Notzentren spiegeln (heiße Lösung).

Comdisco betreibt 27 solcher Notzentren allein in den USA. Drei platzen seit dem 11. September aus allen Nähten; zwei davon liegen in dem an Manhatten grenzenden Bundesstaat New Jersey, eines im New Yorker Stadtteil Long Island City. Dort drängeln sich im Erdgeschoss die Händler der Warenterminbörse "New York Board of Trade".

Sie war einer der Mieter im World Trade Center. Von den rund 1200 Angestellten und Händlern, die sich zum Zeitpunkt des Unglücks in den Räumen der Warenterminbörse aufhielten, werden noch vier vermisst. "Eine menschliche Tragödie", sagt Pat Gambaro, COO und CIO des New York Board of Trade. Ihm ist es zu verdanken, dass das Unglück nicht auch zu einer geschäftlichen Katastrophe wurde. Denn obwohl der alte Handelsraum unter den Trümmern der beiden zusammengestürzten Wolkenkratzer begraben wurde, konnten die Händler nur knapp eine Woche später wieder Baumwolle, Zucker oder Kaffee handeln - in der Comdisco-Notunterkunft. "Ohne einen Notfallplan hätte es sicher Monate gedauert, bis wir den Handel wieder hätten aufnehmen können", schätzt Gambaro. Jeder geschlossene Tag kostet das New York Board of Trade 300000 Dollar an entgangenen Handelsgebühren - keine außergewöhnliche Summe bei IT-Ausfällen (siehe Tabelle).

Notfallpläne halten alle Sicherheitsberater für den ersten und wichtigsten Schritt in Richtung eines ungestörten Fortgangs der Geschäfte im Katastrophenfall. "Ein Unternehmen muss ganz klar definieren, was seine geschäftskritischen Prozesse sind", sagt Günther Karl, Vertriebschef von Comdisco in Deutschland. Welche Daten sind wie kritisch, wie viel wert? Kann das Unternehmen einen Ausfall von sechs Stunden riskieren, oder braucht es eine Hochverfügbarkeitslösung, die noch schneller für das Wiederanlaufen aller Operationen sorgt?

Marktforscher Harald Himsel von IDC hält es für sinnvoll, zur Beantwortung dieser Fragen externe Berater zu konsultieren, denn: Drei Viertel aller Unternehmen belügen sich selbst, wenn sie über ihre Sicherheitsmaßnahmen reden, so eine aktuelle IDC-Studie. "Meist finden Sie nur Stückwerk", sagt Himsel. "Keiner mochte bislang den Ernstfall zu Ende denken." Auch CIO Gambaro wurde für seine Vorsicht gern belächelt "Die Leute hielten mich für verrückt, doch heute dankt mir jeder", sagt er.

Vom ersten Bombenattentat im World Trade Center 1993 aufgeschreckt, hatte der CIO nur wenige Monate später einen Notfallplan ausgetüftelt. Ein wesentlicher Punkt darin: ein zweiter Handelsraum, in dem die Börse im Notfall die kompletten Geschäfte abwickeln kann. Statt selbst Räume anzumieten, ließ Gambaro 1994 im Comdisco-Gebäude das Erdgeschoss in einen riesigen Handelsraum verwandeln. Mit 200000 Dollar musste sich das New York Board of Trade an dem Umbau beteiligen. Zudem richtete Gambaro in Long Island City ein Backup-System für die doppelte Speicherung aller Daten ein. "Wir sichern die meisten Daten per Spiegelung. Bis auf einige Dokumente, die nur auf den im World Trade Center zerstörten PCs gespeichert waren, haben wir keine Daten verloren." Ebenfalls 200000 Dollar zahlt das New York Board of Trade jährlich für die Wartung der Technik und für die Zusicherung, dass die umgebaute Fläche jederzeit zur Verfügung steht.

Große Finanzdienstleister haben sich längst daran gewöhnt, viel Geld für Sicherheit auszugeben. Sie stecken 15 Prozent ihrer Rechenzentren-Budgets in Backups und Ausweichrechenzentren. Andere Branchen knausern an dieser Stelle mit Investitionen zwischen 3 und 4 Prozent. 6 Prozent seien angemessen, sagen die Analysten von Gartner, die diese Zahlen ermittelt haben. Von ihnen stammt auch die Prognose, dass zwei von fünf Firmen am Ende sind, wenn ihnen ein IT-Desaster widerfährt. Das klingt nach Panikmache, wird aber durch eine ältere US-Statistik mehr als bestätigt: "68 Prozent aller Unternehmen in den USA, die einen Computerausfall von mehr als sieben Tagen erlitten, haben den Betrieb nie mehr aufgenommen", konstatierte James Lee Witt, Director US Federal Government im April 1997. Angesichts dieser Zahlen lohnt es, sich an CIOs wie Gambaro zu orientieren, der nach dem 11. September nie wieder für seine Arbeit belächelt wurde.

Schon am frühen Nachmittag des Unglückstags kam das IT-Team des New York Board of Trade im Notquartier an. Einige waren stundenlang durch die Stadt gelaufen, um nach Long Islang City zu gelangen. Am Abend desselben Tages lief das System. "Jeder wusste, wohin er zu gehen hatte. Das Notfallteam stand schon lange im voraus fest", sagt Gambaro. "Unsere Leute werden alle drei Monate auf den neuesten Stand gebracht, was sie im Ernstfall zu tun haben." Im Intranet waren die Informationen für die Mitarbeiter auch von zu Hause abrufbar. Viele kamen am nächsten Tag in das Notquartier, obwohl die Börse erst am darauf folgenden Montag wieder öffnete.

Auch deutsche Sicherheitsexperten raten, in Abständen von drei bis zwölf Monaten den Ernstfall zu proben. Neue Applikationen könnten schon innerhalb dieser Zeit geschäftskritisch werden, erklärt Comdisco-Mann Günther Karl. Und Roland Gruber, Fachbereichsleiter bei der Commerzbank, weiß, dass allein Umzüge von Abteilungen und hausinterne Umstrukturierungen die geschäftskritischen Prozesse verändern. Die Banker testen deshalb ständig, auf welche der knapp 10000 Frankfurter Arbeitsplätze sie im Ernstfall mit welchen Daten ausweichen können.

Gruber, der die Commerzbank immerhin seit 25 Jahren kennt, sagt, man habe in Frankfurt zwar durchgesetzt, bei jeder neuen Anwendung ein Katastrophen-Backup einzuplanen; das reiche indes nicht: "Sie müssen die Datensicherung auch auf geeignete Clients zurückspielen", sagt Gruber. "Dabei finden Sie bei jedem Test neue Schwierigkeiten."

Ken Berry, Leiter der regionalen IT-Sicherheit bei der Dresdner Bank in New York, hat diese Schwierigkeiten gerade hinter sich. Vier Stockwerke über der Warenterminbörse im Comdisco-Notfallzentrum sitzt der IT-Spezialist inzwischen wieder allein. Nur die grünen Bildschirmschoner, auf denen der Name der Bank prangt, erinnern noch daran, dass hier in den ersten eineinhalb Wochen nach dem 11. September ein Kernteam der Bank vierzig Arbeitsplätze belegt hatte. Das scheint wenig angesichts der 800 Mitarbeiter, die aus ihren Büros in der Wallstreet evakuiert worden waren, reichte aber, "um sicherzustellen, dass die Bank ihre Geschäfte fortführen konnte", sagt Berry.

Ein Teil der New Yorker Mitarbeiter konnte sich von zu Hause in das System der Bank einloggen. Unmittelbar nach der Krise kommunizierte das Management mit seinen Mitarbeitern über die Website und ließ sie telefonisch mit aktualisierten Standardnachrichten versorgen. Daten gingen auch der Dresdner Bank nicht verloren. Ähnlich wie das New York Board of Trade hat sie bei Comdisco ihr eigenes Computerzentrum. Seit dem 20. September arbeiten die Angestellten der Dresdner Bank wieder in ihren Büros in der Wallstreet. "Unser Notplan ist ausgesprochen glatt gelaufen", so Berry.

Auslöser für die Verbesserung des Katastrophenplans war bei der Dresdner Bank indes nicht der frühere Anschlag auf das World Trade Center, sondern eine Richtlinie der US-Notenbank Federal Reserve aus den Endachtzigern. Danach müssen Banken gewährleisten, dass sie auch im Katastrophenfall ihre Geschäfte fortführen können. "Das verlangt nicht nur IT-Backup-Lösungen, sondern auch Pläne, wie die Geschäfte in einer solchen Situation praktisch weitergeführt werden können - etwa in welchen Räumlichkeiten", sagt Berry.

Für ähnliche Auflagen ist hierzulande das Bundesaufsichtsamt für das Kredit- beziehungsweise das Versicherungswesen zuständig. "In diesem Bereich hatten wir jedoch noch keine schwerwiegenden Probleme", sagt die Sprecherin der Bundesaufsichtsbehörde, Sabine Lautenschläger. Und ein Sprecher der Allianz bestätigt: "Unsere Rolle als Versicherungsunternehmen verpflichtet uns dazu, mit gutem Beispiel voranzugehen. "Die Dresdner Bank ist somit nicht nur darauf vorbereitet, im Ernstfall außerhalb des eigenen Gebäudes zu arbeiten, sondern hat auch das Wallstreet-Büro "so gut wie möglich" gegen Geschäftsunterbrechungen gesichert. Die Bank verfügt über zwei Telefonnetze und steht über zwei voneinander unabhängige Provider mit dem Internet in Verbindung (siehe dazu auch die ISP-Checkliste). Gibt es Probleme mit der Stromversorgung – wie in den ersten Tagen nach der Katastrophe -, sorgen Batterien solange für Energie, bis wenig später Notgeneratoren anspringen.

Und das Drehbuch für den Härtefall geht noch weiter. "Brauchen die Generatoren Diesel-Nachschub, haben wir Verträge mit zwei verschiedenen Lieferanten, die die Tanks wieder auffüllen", sagt Berry. Selbst unter Katastrophenspezialisten gilt der Notfallplan seines Hauses als mustergültig. Die aktuelle Krise habe gezeigt, dass andere Firmen längst nicht so gut vorbereitet waren: "Nur 6 unserer mehr als 40 betroffenen Kunden hatten ausgereifte Datensicherungssysteme wie Shadowing oder Mirroring", sagt Krisen-Manager Martin Goulbourn. Andere Unternehmen hätten Daten aus der gesamten Woche vor dem Anschlag verloren.

Firmen, die nach wie vor auf Disks oder auf extern gelagerte Papierdokumente gesetzt hatten, mussten bis zu vier Tage auf deren Lieferung warten. Teilweise wurden die Disks und Papierstapel mit Lastwagen über hunderte von Kilometern herangeschafft. Iron Mountain, in Sachen externe Datenspeicherung mit einem Marktanteil von rund vierzig Prozent vertreten, gab an, man habe rund eine Million Magnetbänder an 94 Kunden ausgeliefert. John Ford, Analyst bei der Investment-Bank Bear Stearns & Co., schätzt, dass insgesamt über zwei Millionen Tapes verschickt wurden. Laut einer Umfrage der Investment-Bank Morgan Stanley will jedes fünfte US-Unternehmen die jüngsten Erfahrungen zum Anlass nehmen, mehr in Sicherheits- und Backup-Systeme zu investieren.

Am meisten dürfte dies IBM freuen, seit kurzem an der Spitze im Sicherheitsmarktsegment. Im letzten Jahr machte IBM nach Angaben der Gartner Group in dieser Sparte rund 600 Millionen Dollar Umsatz, gefolgt von Comdisco mit 480 Millionen Dollar; Sun-Gard ist mit Erlösen von 350 Millionen Dollar die Nummer drei. Der Markt wächst überdurchschnittlich, auch in Europa. Die deutschen Niederlassungen der Sicherheitsfirmen registrieren seit dem Anschlag in New York allerdings noch keine gesteigerte Nachfrage. Genau darin liegt die Chance für heimische CIOs: Allen Vorständen erscheint Business-Continuity im Augenblick so wichtig wie nie - und die Anbieter können noch Aufträge annehmen.

BSI und IT-Grundschutzhandbuch Michael Dickopf, Pressesprecher beim Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI), bleibt ganz ruhig. Sein 1991 gegründetes Amt gibt Unternehmen und Behörden Ratschläge, wie sie ihre Daten schützen können. "Mehr Anfragen von Unternehmen hat es nach den Terroranschlägen nicht gegeben", sagt er. "Nur viele Kollegen von ihnen." Eine neue Stellungnahme gibt es deshalb derzeit vom BSI nicht.

Dickopf empfiehlt allen das "IT-Grundschutzhandbuch" als Standardwerk für IT-Sicherheitsmaßnahmen, zu beziehen beim Bundesanzeiger-Verlag, PF 10 05 34, 50455 Köln,
Tel.: (0221) 97 66 82 00. Die 1600 Seiten (drei Ordner) kosten 218 Mark; für einen Rückumschlag gibt es die Tipps auch als CD-ROM.

Weitere Artikel zum Titelthema: Schutz für die Kronjuwelen Checkliste: "Internet-Provider Festplattenrettung", " Sicherheit durch "Managed Services", "Unsere Pläne funktionieren".