Bei einem IT-Ausfall soll sich die IT-Betriebsbereitschaft und die Datenverfügbarkeit rasch wiederherstellen lassen (Disaster Recovery). Diese Fähigkeit gehört zum Fundament eines durchdachten IT-Konzepts jedes KMU. Denn dauert die Downtime (Ausfallzeit) der IT-Infrastruktur zu lange an oder lassen sich verlorene Daten nicht schnell wieder rekonstruieren, kann dies ein Unternehmen empfindlich treffen.
Treffen Krisenereignisse wie Feuer, Überschwemmungen, Stromausfälle, Cyberkriminalität, Datendiebstähle, Hard- oder Software-Fehler ein KMU, so muss es rasch und professionell reagieren können. Eine robuste Strategie zur Sicherung der unternehmerischen Kontinuität (Business Continuity) schützt KMU vor geschäftlichen Einbussen oder Reputationsschäden nach solchen Zwischenfällen. Dazu gehören auch Haftungsansprüche Dritter aufgrund von vertraglich vereinbarten Verpflichtungen, die den uneingeschränkten Zugang zu Daten voraussetzen.
Zur Business Continuity gehört eine passende Disaster-Recovery-Strategie. Sie ist Teil der gesamten Cyber Security in einem KMU. Disaster Recovery trägt dazu bei, schädliche Auswirkungen von Krisensituationen auf die Geschäftsentwicklung von KMU zu verhindern oder zu begrenzen. Fällt aufgrund eines Krisenereignisses die IT-Infrastruktur aus oder gehe Daten verloren, ist die vorangegangene Wiederherstellungsplanung entscheidend. Damit lassen sich Betriebsbereitschaft und Daten in wesentlich kürzerer Zeit wiederherstellen als bei einem ungeplanten Notfallszenario.
Was enthält eine wirksame Disaster Recovery Strategie?
1. Sichere Backup-Lösungen für Daten
In KMU bilden Daten oft die Grundlage für einzigartige Wettbewerbsvorteile. Gehen Daten verloren, ist die Positionierung des Unternehmens gefährdet oder Betriebsabläufe werden empfindlich gestört. Die Folgen davon sind Ertragsausfälle, Knowhow-Verlust oder Reputationsschäden. Ein Backup-Konzept zur Datensicherung muss die Risiken für die verschiedenen Krisenszenarien miteinbeziehen und effiziente Sicherungs- sowie wirksame Wiederherstellungsverfahren vorsehen. Die gewählte Backup-Lösung soll die Daten bei einem Datenverlust rasch und unkompliziert wiederherstellen können, unabhängig davon, um welche Art von Zwischenfall es sich handelt
Für welche Fälle braucht es Backup-Lösungen?
- Elementarschäden
Naturkatastrophen wie Feuer, Überschwemmungen, Stürme oder Erdbeben können IT-Infrastrukturen beschädigen und Daten zerstören. - Hardware-Ausfälle
Alterungsprozesse von Elektronik-Bauteilen führen zu Ausfällen von Disk-Drives, Computerstationen und anderen IT-Komponenten, was Datenverlust zur Folge haben kann. - Software-Ausfälle und defekte Dateien
Software und Programme können Fehlfunktionen erzeugen. Dadurch können wichtige Dateien plötzlich defekt und nicht mehr zugänglich sein. - Menschlicher Irrtum
Versehentlich gelöschte Dateien, Klicks auf schädliche Links, heruntergefallene oder verlorene Notebooks sind häufige Ursachen für Datenverlust. - Fahrlässigkeit und bewusste Fehlmanipulationen
Fahrlässiges Fehlverhalten oder bewusste Fehlmanipulationen können zu Datenverlust oder -verschlüsselung führen. - Cyberkriminalität
Viren und Schadsoftware in Form von Malware beschädigen Dateien. Ransomware-Angriffe verschlüsseln Unternehmensdaten und macht sie unbrauchbar, bis das KMU Lösegeld bezahlt.
Redundante (mehrfache) Sicherungsspeicherungen am selben Standort allein genügen nicht, um die Daten sämtlicher oben erwähnter Zwischenfälle in kurzer Zeit wiederherzustellen. Um etwa bei Elementarschäden wie einer Überschwemmung oder einem Feuer vor Ort die Daten weiterhin nutzen zu können, sind zwingend auch externe Online-Speicher in separaten Rechnern oder Rechenzentren notwendig. Lösungen wie Online-Backup und Managed Backup bieten dazu die notwendige Sicherheit und die Gewissheit, im Ernstfall rasch die benötigten Daten standortunabhängig wiederherstellen zu können.
2. Disaster Recovery Team
Zusätzlich zu ihrer angestammten Rolle im Unternehmen sollen in jedem KMU ausgewählte Mitarbeitende Teil eines schlagkräftigen Disaster-Recovery-Teams sein. Dieses Team steuert und koordiniert im Krisenfall die Umsetzung des Wiederherstellungsplans. Es sorgt zudem dafür, dass der Plan regelmässig aktualisiert und getestet wird.
Was ist bei der Bildung eines Disaster Recovery Teams zu beachten?
- Herkunft
Die Team-Mitglieder sollen aus allen für die Wiederherstellung relevanten Abteilungen des Unternehmens stammen. - Rollen
Jedem Team-Mitglied sind klare Rollen und Verantwortlichkeiten für den Ernstfall und ausserhalb von Krisensituationen zugewiesen. - Stellvertretungen
Ersatz-Teammitglieder je Abteilung kompensieren allfällige Abwesenheiten. - Mitgliederliste
Die Mitglieder des Disaster-Recovery-Teams mit all ihren Kontaktdetails und Verantwortlichkeiten sind im Wiederherstellungsplan schriftlich erfasst. - Hierarchie
Die Team-Hierarchie ist definiert und im Organigramm des Disaster Recovery Plans dokumentiert. - Handlungsautorität
Individuelle Befugnisse für den Eintritt eines Disaster-Recovery-Falls für jedes Team-Mitglied sind im Wiederherstellungsplan aufgeführt. - Information
Die Geschäftsführung informiert gesamte Belegschaft regelmässig über die Zusammensetzung und die Befugnisse des Disaster Recovery Teams.
3. Disaster Recovery Plan
Ein umfassender IT-Wiederherstellungsplan (Disaster Recovery Plan) ist ein wichtiger Teil der Disaster-Recovery-Strategie innerhalb des Cyber-Security-Konzepts eines Unternehmens. Mit einem solchen Plan ist eine Organisation in der Lage, in IT-Krisensituationen ihre Geschäftskontinuität aufrecht zu erhalten.
Ein Disaster Recovery Plan unterstützt das KMU bei der Vorbereitung einer strukturierten Vorgehensweise, um wirkungsvoll auf IT-Zwischenfälle reagieren zu können.
Was gehört in einen Disaster Recovery Plan?
- Inventarisierung
Hardware- und Softwarekomponenten sind im Plan erfasst. Ziel ist ein vollständiger Überblick über die gesamte im Unternehmen eingesetzte IT-Hardware und -Software mit Herkunft, Service-Status und Priorität für das Kerngeschäft. - Risikoanalyse
Mittels einer Risikoanalyse spielt ein KMU verschiedene Störungs- und Krisenszenarien durch, mit denen es konfrontiert sein könnte. Es bewertet darin Gefahren und legt Ziele für den Ernstfall fest. Die Risikoanalyse schätzt ein, welche Teile der IT-Infrastruktur oder Software ausfallen können und listet die relative Eintrittswahrscheinlichkeit der verschiedenen Bedrohungen auf. - Abläufe
Schriftlich dokumentierte Anleitungen beschreiben Schritt für Schritt die Vorgehensweise der jeweiligen IT-Wiederherstellung mit den konkreten Massnahmen für die unterschiedlichen Krisenszenarien. - Disaster Recovery Team
Das zuständige Disaster Recovery Team wird im Wiederherstellungsplan beschrieben. Dazu gehören die Rollen, Stellvertretungsregelungen, Namen der Mitglieder, Hierarchie des Teams und die Handlungsautorität des Teams und der einzelnen Mitglieder. - Kommunikationsplan
Während der Wiederherstellung der IT-Betriebsbereitschaft im Krisenfall sorgt ein klarer Kommunikationsplan für den zeitnahen Informationsfluss. Zu berücksichtigen sind die verschiedenen Anspruchsgruppen wie etwa Personal, Kunden, Handel und Lieferanten. Besteht ein öffentliches Interesse am Unternehmen oder am spezifischen Krisenfall, sind auch die Medien miteinzubeziehen.
4. Disaster Recovery Testing
Bei einem IT-Krisenfall muss die Wiederherstellungsprozess reibungslos ablaufen können. Voraussetzung dafür ist ein aktueller und umsetzbarer Disaster-Recovery-Plan. Mit periodischen Tests dieses Wiederherstellungsplans vergewissert sich das KMU, dass die geplanten Recovery-Prozesse unter realen Krisenbedingungen funktionieren und die Reaktionen der Mitarbeitenden zielführend sind. Gleichzeitig ist der Plan laufend zu aktualisieren, um der Entwicklung der IT-Infrastruktur zu entsprechen.
Unterstützung für die Disaster Recovery
KMU, die ihre Disaster-Recovery-Strategie vollständig mit eigenen Ressourcen umsetzen möchten, müssen ihren Wissensstand laufend auf dem aktuellen Stand der IT-Technologie halten. So können sie den notwendigen Erneuerungsbedarf der IT-Infrastruktur rechtzeitig einschätzen und wichtige Entscheidungen zum Kauf schnellerer Server oder zum Speichern der Daten an sichereren Standorten oder zur präventiven Überwachung von Backup-Prozessen selbständig vornehmen. Soll dieses Knowhow nicht intern aufgebaut werden, lässt sich ein Anbieter von Managed IT Services mit der Erarbeitung und Umsetzung der Disaster-Recovery-Strategie oder zur begleitenden Beratung beiziehen.