Business Continuity Management
Sind Sie auf den Ernstfall vorbereitet?
Server-Räume
Wo eine IT-Abteilung existiert, ist ein Serverraum nicht weit weg. Selbst wenige Minuten Serverausfall können hier fatal sein. Um Ausfällen vorzubeugen oder sie zu kompensieren, gibt es verschiedene Möglichkeiten. Eine zweite Räumlichkeit, also einen redundanten Serverraum aufzustellen, ist eine Option - aber nicht gerade die günstigste. Denkbar ist eine Betriebsausfallversicherung, doch auch diese bezahlt nur den monetären Schaden. Kunden und Folgeaufträge bleiben vom Versicherungsschutz unberührt.
Doch ein BCM lässt sich auch in der Planungsphase von Serverräumen, speziell im Bereich des Brandschutzes, mit einbeziehen. Der vorbeugende Brandschutz - bestehend aus baulichem, technischem und organisatorischem Brandschutz - muss eine lückenlose Kette der Sicherheit bilden. Schon die Wahl des Löschverfahrens/Löschmediums ist entscheidend. Falsche Löschwerkzeuge können Nutzer in ihrer Arbeit einschränken, unter Umständen gar zerstörerische Folgen nach sich ziehen.
"Um bei der Konzeptionierung von IT-Sicherheit erfolgreich zu sein, muss interdisziplinär und fachübergreifend gearbeitet werden", fordert Andreas Koch, Lehrbeauftragter für technischen Brandschutz an der Hochschule Esslingen. Wer für seine Serverräume beispielsweise geeignete Löschsysteme suche, habe diverse Kriterien zu beachten. Zum einen sei vorher festzustellen, wie empfindlich die Technik auf Temperaturschwankungen, Feuchtigkeit oder auch Schalleinflüsse reagiere, so Koch. Zum anderen spielten bauliche Voraussetzungen eine Rolle - wie beispielsweise die Dichtigkeit und Druckbeständigkeit des Raumes.
Des Weiteren seien organisatorische Randbedingungen zu beachten: Bestimmten Personengruppen, die für den IT-Betrieb verantwortlich sind, könnten die Serverräume dauerhaft zugänglich sein. Koch resümiert: "Der Brandschutzexperte sollte Teil des IT-Sicherheitsteams sein. Er besitzt neben dem baulichen und organisatorischen Brandschutz auch fundierte Kenntnisse im technischen Brandschutz."
Systeme
Oberstes Ziel einer BCM-Strategie ist es, kritische Systeme angemessen und vertretbar zu schützen. Neben Servern dürfen dabei andere wichtige Systeme nicht fehlen. Zu nennen sind hier wichtige Steuerungselemente für Fertigungen oder andere Clients. Eine transparente Risikobetrachtung ist das A und O. Die Verantwortlichen müssen sich fragen, wie kritisch das jeweilige System ist und ob ein gezieltes Notfallmanagement hier überhaupt sinnvoll ist. Schließlich können es sich viele Unternehmen finanziell nicht leisten, eine redundante Kommunikationsverbindung aufzustellen oder diese zu versichern. Das ist aber auch gar nicht nötig - ein BCM taugt nicht für alle Systeme.
Anwendungen
Auf Clients laufen Anwendungen. Das ist zum einen Software zur Steuerung von Anlagen, zum anderen welche, die im Rahmen der alltäglichen Geschäftsabwicklung benötigt wird - wie E-Mail-Clients. Um die Integrität der Daten zu wahren und sich vor Verlusten zu schützen, hilft die regelmäßige Datensicherung. Der BSI-Grundschutzkatalog gibt dazu Hilfestellungen.
Immer im Blick haben müssen IT-Verantwortliche das Maximumprinzip, die ganzheitliche Betrachtung von Räumen, den darin enthaltenen Systemen und Anwendungen. Der maximalste Schutzbedarf ist ausschlaggebend für alle darunter liegenden Faktoren. Auch dazu sind weitergehende BSI-Informationen verfügbar.
Personal
Vergessen wir aber nicht den Dauerpatienten Mensch - sowohl das interne als auch das externe Personal. Unternehmen sollten zumindest darauf vorbereitet sein, dass die wichtigsten Mitarbeiter ausfallen oder das Unternehmen Richtung Konkurrenz verlassen. Eine Möglichkeit ist, andere Mitarbeiter rechtzeitig mit deren Know-how zu schulen, was allerdings zeitaufwändig ist und den laufenden Betrieb einschränken kann. Besser ist es, auf externe Personaldienstleister zurückzugreifen. Jedoch kann auch das zum Risiko werden.
Thorsten Hoth, langjähriger Unternehmer in der Sicherheitsbranche, kennt die Gefahr aufgrund des herrschenden Niedriglohn-Niveaus und einer lediglich vorausgesetzten Ein-Tages-Prüfung seitens der IHK gut: "In dem meisten Fällen bieten unsere Sicherheitsfirmen nur Statisten, die unmotiviert und oft übernächtigt sind." Diese helfen in wirklichen Notsituationen kaum weiter. Deshalb sei es wichtig, nicht nur auf den Faktor Personalkosten zu schauen: "Statt dem billigsten Anbieter den Zuschlag zu erteilen, sollte man den günstigen wählen. Denn günstig heißt hier, das beste Preis-Leistungsverhältnis zu nehmen", rät Hoth. Nur so stellten Unternehmen wirklich sicher, dass bei Personalausfall professioneller Ersatz vorhanden sei und die Sicherheit nicht zusätzlich leide.