IT-Resilienz: Unternehmen wollen krisenfest werden

Die Corona-Pandemie hat gezeigt, wie unvorhersehbare Krisen entstehen können. Geschäftsprozesse und IT-Umgebungen sollten vorbereitet werden. [...]

„Straucheln“ lässt sich vermeiden, wenn Unternehmen im Vorfeld eine Business-Resilienz-Strategie erarbeiten (c) pixabay.com

Die Geschäfte laufen gut; Umsatz und Gewinn steigen; Kunden, Partner und Anteilseigner sind zufrieden. Und dann kommt aus heiterem Himmel ein Ereignis wie Corona. Lieferketten funktionieren nicht mehr, Mitarbeiter müssen ad hoc ins Homeoffice verlagert werden, Prozesse und Angebote im Eiltempo auf eine digitale Basis gestellt werden, etwa im Handel.

„Die Covid-19-Krise führt uns eindrucksvoll die Auswirkungen externer Einflüsse und Risiken für Unternehmen vor Augen. Fragile Lieferketten, autarke IT-Anwendungen, Datensilos, manuelle Workflows und veraltete Infrastrukturen bringen Unternehmen in Krisen schnell ins Straucheln“, erklärt Stephan Romeder, Vice President Global Business Development bei Magic Software Enterprises, einem Anbieter von Software-Plattformen für die Digitalisierung und Automatisierung von Workflows.

Ein solches „Straucheln“ lässt sich vermeiden, wenn Unternehmen im Vorfeld eine Business-Resilienz-Strategie erarbeiten. Diese sollte nicht nur Geschäftsprozesse und interne Abläufe berücksichtigen, sondern auch die IT-Umgebung und Vorkehrungen gegen die Auswirkungen von Cyber­angriffen. „Business Resilience ist die Fähigkeit einer Organisation, sich schnell an Störungen anzupassen und gleichzeitig den Geschäftsbetrieb aufrechtzuerhalten sowie Mitarbeiter, Vermögenswerte und den Markenwert zu schützen“, definiert Heiko Böhm, Managing Director EMEA – Azure Business Group bei NetApp.

Business Resilience geht daher weiter als Maßnahmen für Business Continuity und Disaster Recovery. „Business Resilience bietet Strategien für die Zeit nach einem Ereignis, damit ein Unternehmen Ausfallzeiten vermeiden, Schwachstellen beseitigen und den Geschäftsbetrieb gewährleisten kann“, so Böhm weiter. Obwohl eine „Katastrophe“ wie Corona deutlich gemacht hat, wie wichtig Business Resilience ist, beschränkt sich dieser Ansatz nicht auf solche Ereignisse. Er unterstützt Unternehmen generell dabei, Vorkehrungen gegen plötzliche Veränderungen jeder Art zu treffen.

„Es geht insbesondere um die Frage, wie man mit externen oder internen Einwirkungen auf bestehende Arbeitsstrukturen so umgeht, dass man am Steuer bleibt und nicht zum Getriebenen dieser Einflüsse wird. Es stellt sich die Frage, wie flexibel und anpassungsfähig die Prozesse innerhalb eines Unternehmens sind und welche Aspekte dabei berücksichtigt werden müssen“, unterstreicht Jürgen Pinkl, Managing Director Technology beim Beratungshaus Accenture in Deutschland, Österreich, der Schweiz und Russland.

Zu berücksichtigen ist zudem, in welcher Branche ein Unternehmen oder eine Organisation angesiedelt ist und in welchem Maß die Geschäftsabläufe digitalisiert sind. Vor allem Unternehmen aus dem Bereich der verarbeitenden Indus­-
trie seien äußeren Einflüssen stärker ausgesetzt, so Stephan Romeder. „Ein Servicedienstleister kann seine Online-Bestellplattform ortsunabhängig betreiben, während ein Maschinenbauer auf seine Produktionsstandorte angewiesen ist.“ So seien durch Corona in Produktion und Logistik teilweise fatale Auswirkungen aufgetreten, weil Abläufe durcheinanderkamen und sich Produktionsprozesse etwa durch Ausfälle bei Lieferteilen verzögerten.

„Die Schaffung einer transparenten Sicht auf diese Unternehmensdaten, Daten aus Lieferketten und Wertströmen ist daher eine der dringendsten betrieblichen Anforderungen“, betont Romeder. „Ohne Zugriff auf präzise Echtzeitdaten und Einblicke in die gesamte Lieferkette kann beispielsweise von Supply-Managern nicht erwartet werden, dass sie zeitnah die richtigen Entscheidungen treffen.“

IT-Resilienz und Cybersecurity

Doch damit solche Daten zur Verfügung stehen, müssen IT-Systeme, Cloud-Computing-Ressourcen und Cybersecurity-Maßnahmen reibungslos funktionieren – und ebenfalls „resilient“ ausgelegt sein. Daher haben sich gewissermaßen als Untermenge der Business-Resilienz Sparten wie IT Resilience und Cyber Resilience herausgebildet. „Während Business-Resilienz viele Elemente wie Mitarbeiter, Marktverhältnisse, Umsätze oder auch politische Verhältnisse in einer Region einschließt, dreht sich die IT-Resilienz um Konzepte und Technologien in der Informationstechnologie, um den fortlaufenden Geschäftsbetrieb zu garantieren.

Da jedoch heute in fast jedem Unternehmen die IT eine der Kernkomponenten darstellt, ist deren Resilienz besonders wichtig für das Business“, erklärt Florian Malecki, International Product Marketing Senior Director bei StorageCraft, einem Anbieter von Lösungen für Disaster Recovery und IT Resilience.

Business Resilience und Business Continuity: Geschäftsresilienz deckt zusätzlich Szenarien jenseits der IT ab, etwa den Klimawandel und politische Entwicklungen (c) Cisco

Im ersten Schritt empfiehlt der IT-Security-Spezialist RSA, die Abhängigkeit von Geschäftsprozessen voneinander und von speziellen IT-Komponenten und Services zu überprüfen. Eine solche Business Impact Analysis (BIA) gibt Aufschluss darüber, welche kritischen Prozesse vorhanden sind, von welchen IT-Ressourcen sie abhängen und in welcher Reihenfolge diese Abläufe nach einer Störung wiederhergestellt werden sollten.

Solche BIAs lassen sich mit Tools für die Analyse und das Management von Prozessen durchführen. Wichtig bei der Auswahl einer BIA-Plattform oder -Software ist, dass sie allen involvierten Mitarbeitern und Teams im Unternehmen Informationen über die Verzahnung von Abläufen und die verknüpften Business-Resilienz-Maßnahmen zur Verfügung stellt.

Zweites Element ist ein „Incident Management“. Es erfasst und kategorisiert Vorfälle, die den Geschäftsbetrieb beeinträchtigen. Das können Cyberangriffe und der Ausfall zen­traler IT-Systeme sein, aber auch geopolitische Vorkommnisse wie Unruhen in einem Land, in dem eine Firma oder Zulieferer Fertigungsstätten unterhalten. Nach einer Bewertung der Vorfälle und ihrer Auswirkungen erhalten Manager und IT-Verantwortliche Vorschläge, welche Gegenmaßnahmen in Betracht kommen. Diese Erkenntnisse können auf zentralen Dashboards übersichtlich zusammengefasst werden.

AnbieterLösungenEinsatzfelder/Schwerpunkte
AlyneAlyneCyber Resilience und Operational Resilience
AccentureAccenture Systems Resilience DiagnosticIT Resilience
ArcserveArcserve Continuous AvailabilityBusiness Continuity
Capgemini3R-AnsatzBusiness Resilience, Cyber Resilience
CastellanAssurance Continuity Manager, CatalystBusiness Continuity
Continuity2MeridianBCMSBusiness Continuity
Continuity LogicContinuity Logic PlatformBusiness Resilience, Risk Management, Incident Management, DR-Management
CloudEndure (Amazon Web Services)CloudEndure Disaster RecoveryDisaster Recovery, Business Continuity, Cyber Resilience
DattoDatto Siris, Alto, Cloud Continuity für PCs und SaaS ProtectionBusiness Continuity, Disaster Recovery, Cyber Resilience
Dell TechnologiesBusiness Resiliency ServicesBusiness Continuity, Disaster Recovery, IT Resilience
DruvaDruva Cloud PlatformDisaster Recovery, Backup
Fusion Risk ManagementFusion Framework SystemRisk Management, Business Continuity Management, Disaster Recovery
GalvanizeHighBondBusiness Continuity, Disaster Recovery
IBMIBM Resiliency OrchestrationDisaster Recovery, Business Resilience
Magic Softwarexpi IntegrationsplattformDigitalisierungsplattform, Business Continuity,
Data Analytics
MetricStreamM7 Integrated Risk PlatformBusiness Resilience, Risk Management, Incident Management, DR-Management
NetAppONTAP, Azure NetApp Files, Cloud Volumes ONTAP, SnapMirrorDisaster Recovery, Business Continuity, Backup, Datenmanagement
Premier ContinuumParasolutionBusiness Resilience, Business Continuity
Q_PeriorIT Resilience AssessmentIT Resilience
RSARSA Archer SuiteBusiness Continuity, Cyber Resilience, Business Resilience; Disaster Recovery
RubrikCloud Data ManagementDisaster Recovery, Business Continuity, Cyber Resilience
SAI GlobalSAI360 BCM, SAI IRM PlatformBusiness Continuity, Business Resilience, Disaster Recovery, Risk Management
ServiceNowNow PlatformBusiness Continuity Management, Business Resilience, Risk Management, Compliance Management
SolarwindsSolarwinds MSPDisaster Recovery
StorageCraftStorageCraft Cloud ServicesDisaster Recovery, Business Continuity, IT Resilience
TCSCyber Security Implementation Services, Cyber Security Advisory ServicesCyber Resilience
UnitrendsRecovery Series Appliances, Unitrends Cloud Backup, VM Backup EssentialsDisaster Recovery, Backup
VeeamVeeam Availability Suite, Cloud Data Management, Veeam One, Backup & ReplicationDisaster Recovery, Backup, Disaster Recovery as a Service
VeritasVeritas InfoScale AvailabilityDisaster Recovery, Backup;
VMware – Carbon BlackVMware Carbon Black CloudCyber Resilience, Risk Management
ZertoZerto IT Resilience PlatformIT Resilience, Business Continuity

Werkzeuge für IT-Resilienz

Zu den klassischen Werkzeugen im Bereich IT-Resilienz zählen Disaster Recovery (DR) und Business Continuity Management (BCM). Beide Bereiche wachsen zusammen. Backup konzentriert sich darauf, Kopien von Dateien, System-Images oder Datenbanken auf anderen Speichermedien abzulegen – im eigenen Rechenzentrum oder auf Systemen von (Cloud-)Service-Providern. Disaster Recovery ergänzt dies um Vorgehensweisen, Systeme und Services, um komplette IT-Umgebungen nach einem „Desaster“ schnellstmöglich wiederherzustellen. Das schließt Daten, Server, Netzwerkverbindungen, Virtual Machines, Anwendungen und Prozesse mit ein. Diese werden in ein entferntes Rechenzentrum oder eine Cloud-Umgebung repliziert und stehen für den Notfalleinsatz zur Verfügung.

Nahezu alle Anbieter von Public-Cloud-Plattformen wie AWS, Microsoft, Google, IBM und Ionos Cloud bieten cloudbasierte Backup- und DR-Dienste an. Doch auch die Anbieter traditioneller Backup- und DR-Lösungen setzen zunehmend auf die Cloud, teils in Zusammenarbeit mit Hyperscalern wie AWS oder Microsoft. Einige Beispiele sind NetApp, StorageCraft, Acronis und Arcserve, aber auch Anbieter wie VMware und Veeam.

Business Continuity: Ein Bestandteil von Business-Resilienz ist dem Analystenhaus Gartner zufolge ein Business Continuity Management (BCM) (c) Gartner

BCM ist im Vergleich zu DR eine Ebene höher angesiedelt und darauf ausgelegt, proaktiv den Folgen unerwarteter Ereignisse entgegenzuwirken. Gartner zufolge umfasst BCM Planungen, um die Verfügbarkeit von Ressourcen sicherzustellen, die der Geschäftsbetrieb erfordert. Das beginnt beim Telefon und Client-Systemen wie Notebooks und setzt sich über Netzwerkverbindungen, Datenbanken und Anwendungen fort. Eine zentrale Rolle bei BCM spielen die Geschäftsprozesse. Ein Business-Continuity-Plan definiert etwa, welche Kunden und Zulieferer besonders hohe Priorität haben oder welche Online-Angebote möglichst schnell wiederhergestellt werden müssen.

Der Fokus eines BCM liegt stärker auf organisato­rischen Überlegungen, unterstützt durch Risikoabwägungen (Risk Management).Unter den Anbietern von BCM-Lösungen und -Plattformen finden sich laut Gartner nur wenige bekannte Namen. Zu den Firmen, die auch in Deutschland über eine beträchtliche Zahl von Kunden verfügen, zählen Castellan, ServiceNow und Metric­stream. Allerdings unterhalten weitere BCM-Spezialisten in Deutschland Customer Support Center und Rechenzentren, über die sie ihre Services anbieten. Beispiele sind Fusion Risk Management, SAI Global, Galvanize und Continuity Logic.

Als Folge der Corona-Krise könnte Business Continuity Management einen Aufschwung verzeichnen. Zudem ist davon auszugehen, dass neben Beratungshäusern wie Accenture, TCS und Capgemini auch große Software-Firmen wie Microsoft, Oracle und SAP ihr Engagement in diesem Bereich ausweiten. Gleiches gilt für IT-Unternehmen wie Dell Enterprise, Cisco, HPE und IBM.

Tipps zur IT-Resilienz

Ein wichtiger Bestandteil einer Business-Resilienz-Strategie besteht darin, auch die IT-Umgebung proaktiv vor Ausfällen zu schützen. Um das zu erreichen, empfiehlt das Beratungshaus
TCS fünf Schritte.

Wegen der Digitalisierung von Prozessen und Angeboten spielt eine robuste IT-Umgebung eine zentrale Rolle in Unternehmen und öffentlichen Einrichtungen. Daher sollten Unternehmen den Faktor IT-Resilienz nicht unterschätzen, so TCS. Wenn Anwender eine Strategie dafür entwickeln, sollten sie nach Einschätzung des Technologieberatungsunternehmens vor allem die folgenden Punkte in Betracht ziehen: 

Mit KI Anomalien entdecken: Das Monitoring einer IT-Umgebung basiert auf individuellen Metriken für Systeme und Anwendungen. Treten Abweichungen auf, informieren gängige Monitoring-Lösungen die IT-Abteilung. Administratoren prüfen dann manuell, ob eine Anomalie beispielsweise auf Systemfehler oder gar einen Cyberangriff zurückzuführen ist. Diese Vorgehensweise ist in IT-Umgebungen, die sich permanent an geänderte Anforderungen anpassen müssen, nicht mehr zeitgemäß.Einen Ausweg bieten Monitoring-Lösungen mit KI- und Machine-Learning-Funktionen. Sie ermitteln ohne manuelle Hilfe, welchen „Normalzustand“ Applikationen, Services und IT-Komponenten aufweisen. Wenn abweichende Muster erkannt werden, dann können solche Systeme automatisch Gegenmaßnahmen einleiten.

Selbstheilende IT-Infrastruktur: Solch ein Zustand lässt sich erreichen, wenn Ansätze wie die vorausschauende Analyse (Predictive Analytics) und Infrastruktur als Code (IaC) zum Einsatz kommen. Einem Kunden von TCS (ein europäischer Stahlproduzent) gelang es auf diese Weise, IT-Probleme weitgehend automatisch zu beheben. Das gilt für mehr als 80 Prozent der Vorfälle (Incidents). Die Vorteile: Fehler werden schneller behoben, und das mit einem Minimum an manuellen Eingriffen seitens der IT-Fachleute.

Unveränderliche IT-Umgebung: Bei diesem Konzept werden Services und Anwendungen nicht an neue Anforderungen angepasst, sondern komplett durch neue Versionen ersetzt. Das hört sich aufwendiger an, als es in der Praxis ist. Denn Software-Container, agile Entwicklungsmethoden sowie Ansätze wie DevOps und Infrastructure as Code machen solche Wechsel einfacher. Die Vorteile: die Möglichkeit, Services und Software präzise auf geänderte Gegebenheiten zuzuschneiden und kürzere Implementierungszeiten. Außerdem sinkt das Risiko, dass sich durch die Anpassung von bestehenden Applikationen Fehler einschleichen. Container ermöglichen es zudem, auf einfache Weise auf einen früheren Release-Stand zurückzugehen. Das kommt der Resilienz zugute.

Automatisierung des Disaster Recovery: DR-Lösungen sollten so aufgebaut sein, dass sich geschäftskritische Anwendungen und Daten quasi mit einem Mausklick wiederherstellen lassen. Das heißt, auch im Bereich Disaster Recovery ist es wichtig, Vorgänge zu automatisieren. Das gilt auch für Übungsläufe, bei denen der Ausfall und das Wiederherstellen kritischer IT-Ressourcen simuliert werden. Von einer Automatisierung von DR-Funktionen profitieren nicht nur große Unternehmen mit komplexen IT-Umgebungen, sondern auch kleine und mittelständische Firmen, die nur über begrenzte personelle Ressourcen im IT-Bereich verfügen.

Best Practices: Solche Methoden verhindern beispielsweise, dass durch Erpresser-Software (Ransomware) Daten und Anwendungen unzugänglich werden. TCS rät daher dazu, alle Backup-Systeme im Unternehmensnetz zentral zu erfassen und zu verwalten. Das gilt auch für Datensicherungslösungen und Daten in einer Cloud. Außerdem sollten solche Lösungen Wiederherstellungszeiten (RPOs, Recovery Point Objectives) von wenigen Minuten bieten, auch dann, wenn große Datenbestände wiederhergestellt werden müssen. Weiterhin sollte eine Instant-Backup-Funktion zur Verfügung stehen, mit der sich Daten von Produktions- und Testumgebungen umgehend speichern lassen. Als Ergänzung dienen IT-Sicherheitsmaßnahmen und eine Cyber-Resiliency-Strategie.

Cyber Resilience

Ein weiterer Eckpunkt einer Business-Resilienz-Strategie ist der Schutz von Unternehmensdaten und Anwendungen vor Cyberattacken, vor allem vor Verschlüsselungstrojanern (Ransomware). „Es gilt, den Datenbestand zu schützen, den stetigen Zugriff darauf zu ermöglichen und ihn im Fall einer erfolgreichen Attacke wiederherzustellen“, erläutert Markus Grau, Systems Engineering Strategist bei Pure Storage. Umsetzen lasse sich dies, indem Unternehmen „Hochverfügbarkeit implementieren“, so Grau. Das bedeute, ein praktika­bles Disaster-Recovery-Konzept zu implementieren, das regelmäßig getestet wird. Außerdem rät Pure Storage dazu, Datensicherungen zu erstellen, die nicht manipuliert werden können, denn solche Backups seien auch vor Ransomware sicher.

„Entscheidend ist, dass die Wiederherstellung von Daten mit minimaler Verzögerung erfolgt“, so Grau. „Wir sehen daher verstärkt Unternehmen, die Hochleistungs-Flash-Speicherlösungen einsetzen. Damit können sie im Handumdrehen sogar an kalte Daten wieder herankommen.“ Das sind Informationen, die im Gegensatz zu „Hot Data“ seltener genutzt werden. Dennoch haben viele Unternehmen aus Sicht von Pure Storage beim Thema Cyber Resilience noch Nachholbedarf. „Es braucht oft eine Lernkurve, bis zielführende Investitionen in diesem Bereich getätigt werden“, sagt Grau. „So sind Ransomware-Angriffe häufig der Schuss vor den Bug – oder gar in den Bug, der die Entscheider wachrüttelt.“

Digital macht resilient

Im Lauf der Pandemie stellte sich heraus, dass Unternehmen mit hohem Digitalisierungsgrad besser durch die Krise kommen, sagt eine Umfrage, die der Digitalverband Bitkom im Herbst 2020 durchführen ließ. Darin erklärten 70 Prozent der Unternehmen, deren Geschäftsmodell bereits digitalisiert ist, dass sie durch Corona weniger Probleme haben. Dass Digitalisierung hilft, Krisen besser zu meistern, bestätigt Santu Mandal, Head Manufacturing Business Unit bei TCS in Deutschland: „Corona hat die Digitalisierung rasant beschleunigt“, so der Manager des Beratungshauses. „Die Pandemie hat auch deutlich gemacht, dass Digitalisierung für Unternehmen zwingend notwendig ist, um flexibel und belastbar zu bleiben. Firmen müssen heute digitale Technologien und digitale Geschäftsmodelle einführen, um auch künftig schwierige Rahmenbedingungen besser zu meistern.“

Warum das so ist, erläutert Jürgen Pinkl von Accenture anhand von zwei Beispielen: der Kontrolle von Lieferketten und Remote Working. „Wenn einzelne Stationen und Akteure einer Wertschöpfungskette mithilfe digitaler Strategien jederzeit abrufbar und alle Mitarbeitenden untereinander gut vernetzt sind, können Fehler und Defizite in der Supply-Chain schneller erkannt und behoben werden“, so Pinkl. Externe Schocks lassen sich dem Experten zufolge dann schneller abfedern, weil Mitarbeiter auf die relevanten Informationen auch remote zurückgreifen können. „Die tiefergehende Digitalisierung ermöglicht es zudem, agilere Geschäftsstrukturen aufzubauen. Ein Unternehmen kann so auf Schwankungen der Nachfrage schneller reagieren und neue Produkte und Dienstleistungen darauf aufbauen“, ergänzt Pinkl.

Doch damit die Digitalisierung die Business-Resilienz stärken kann, ist nach übereinstimmender Einschätzung der Experten ein Faktor mitentscheidend: die Analyse von Daten. „Vom Office bis zum Online-Shop und zur Fertigung muss es das Ziel sein, in Echtzeit Einblicke in alle anfallenden Daten zu erhalten. Nur mit dieser Transparenz lassen sich Planbarkeit und schnelle Reaktionsfähigkeit sicherstellen“, betont etwa Stephan Romeder von Magic Software. Zudem seien Datenanalysen wichtig, um automatisierte, robuste Prozesse aufzusetzen.

Beratungshäuser wie TCS plädieren dafür, KI und maschinelles Lernen für das Erfassen und Auswerten von Daten einzusetzen, die von IT-Systemen und Anwendungen bereitgestellt werden. So ließen sich aufkommende Probleme schneller erkennen und beheben. Magic Software wiederum fordert, bereits bei der Auswahl einer Digitalisierungsplattform auf Funktionen wie Datenintegration und Echtzeit-Data-Analytics zu achten, damit Fachleute im Krisenfall schnell die „richtigen“ Anpassungen vornehmen können.

Workplace in der Cloud

Um dafür gerüstet zu sein, dass erneut Mitarbeiter nicht an ihrem Arbeitsplatz im Firmenbüro aktiv sein dürfen, reicht es aber nicht aus, einfach Homeoffice-Arbeitsplätze einzurichten. „Man muss in Sachen Digitalisierung einen Schritt weitergehen“, unterstreicht Jürgen Pinkl von Accenture. Er plädiert für eine Workplace-Infrastruktur, die zentral in die Cloud überführt wird und sich an die Arbeitsbedingungen und Anforderungen des Unternehmens anpassen lässt: „Insbesondere im Homeoffice ist der gesicherte Zugriff auf Daten entscheidend, die an einem zentralen Speicherort liegen, um auch im Krisenfall flexibel und agil arbeiten zu können.“ Solche Workplaces bietet etwa Microsoft mit Windows Virtual Desktop an. Citrix hat mit Virtual Apps and Desktops ein ähnliches Konzept entwickelt.

Eine weitere Option für Unternehmen, die sich nachhaltig vor den Folgen von Naturkatastrophen und Cyberangriffen schützen wollen, liegt für NetApp darin, geschäftskritische Workloads in mehreren Regionen vorzuhalten. „Wenn zudem der Wechsel, also das Failover, schnell und einfach erfolgt, lassen sich kostspielige Ausfallzeiten vermeiden“, sagt Heiko Böhm. Sein Unternehmen bietet mit Cross Region Replication (CRR) eine entsprechende Lösung für Azure NetApp Files an, mit SnapMirror für Cloud Volumes ONTAP. Unter dem Aspekt Datenspeicherung ist laut Böhm zudem in gemischten Windows- und Linux-Umgebungen wichtig, dass Anwender sowohl auf NFS-Dateien (Network File Systems) als auch auf SMB-Files (Server Message Block) zugreifen können. Erreichen lasse sich das mit Dual-Protocol-Volumes, die etwa in der Azure-Cloud abgelegt werden.

Doch allein mit Plattformen, Tools, Clouds und Assessments sei es nicht möglich, Business- und IT-Resilienz zu gewährleisten. Business Resilience beginne zwar mit dem Verständnis, dass Arbeitsabläufe erhalten bleiben müssen, damit Unternehmen unerwartete Ereignisse überleben, so Heiko Böhm, eine oft übersehene Herausforderung bei der Planung von Business Resilience sei aber das menschliche Element:  „Mitarbeiter müssen darauf vorbereitet und geschult werden, wie sie in einer chaotischen Situation reagieren sollen.“

Fazit & Ausblick

Unternehmen müssen ihre Vorkehrungen im Bereich Business-Resilienz ausbauen. Hauptgrund ist, dass durch Digitalisierung und Globalisierung komplexe Liefer- und Produktionsketten entstanden sind. Hinzu kommt die höhere Anfälligkeit vernetzter IT- und Produktionsumgebungen für Cyberattacken, auch durch Staats-Hacker. Geschäftsprozesse und IT-Umgebungen resilient zu machen, ist allerdings keine einfache Aufgabe, vor allem angesichts des Mangels an IT-Fachkräften. Daher werden viele Unternehmen auf Beratungshäuser und IT-Dienstleister zurückgreifen müssen. Und das sollten sie auch. Natürlich kostet das Geld und erfordert möglicherweise einen Umbau von Geschäfts- und IT-Prozessen. Doch der Aufwand lohnt sich. Denn in einem wirtschaftlichen Umfeld, das immer stärker auf Echtzeit ausgelegt ist, können selbst kürzere Unterbrechungen des Geschäfts­betriebs schweren Schaden verursachen. Und darauf sollte es kein Unternehmen und keine öffentliche Einrichtung ankommen lassen.

Im Gespräch mit Florian Malecki von StorageCraft

Die IT-Umgebung eines Unternehmens muss für unerwartete Entwicklungen gerüstet sein und daher Prozesse und IT-Umgebungen resilient machen. Das lässt sich nur teilweise mit Tools und Technik erreichen. Auch die Kompetenz der Mitarbeiter muss erweitert werden, so Florian Malecki, International Product Marketing Senior Director beim Disaster-Recovery-Spezialisten StorageCraft.

Florian Malecki: International Product Marketing Senior
Director bei StorageCraft
(c) StorageCraft 

com! professional: Herr Malecki, was ist unter Business-Resilienz beziehungsweise IT-Resilienz zu verstehen und wie unterscheiden sie diese Konzepte von Ansätzen wie Risikomanagement oder Business Continuity?

Florian Malecki: IT-Resilienz ist ganz klar ein Teil der Business-Resilienz. Während Business-Resilienz viele Elemente wie Mitarbeiter, Marktverhältnisse, Umsätze oder auch politische Verhältnisse in einer Region einschließt, dreht sich die IT-Resilienz ausschließlich um Konzepte und Technologien in der Informationstechnologie, um den fortlaufenden Geschäftsbetrieb zu garantieren. Da jedoch heute in nahezu jedem Unternehmen die IT eine der Kernkomponenten darstellt, ist deren Resilienz besonders wichtig für das Gesamt-Business.

com! professional: Und welche Elemente muss eine IT-Resilienz-Strategie umfassen?

Malecki: IT-Resilienz beschreibt die Fähigkeit eines Systems, in zeitlich vertretbarer und effizienter Art und Weise Gefahren und unerwarteten Änderungen zu widerstehen und diese zu absorbieren, sich Änderungen anzupassen und sich gegebenenfalls von deren Auswirkungen zu erholen. Dafür werden selbstverständlich auch Konzepte für Business Continuity, Cybersecurity, Disaster Recovery oder Risikomanagement benötigt, um nur einige zu nennen. Wichtig ist bei der IT-Resilienz, dass die Systeme in unerwarteten Situationen bestehen, ganz gleich, ob diese Situationen negativ oder positiv sind.

com! professional: Warum ist das Thema Resilienz derzeit so aktuell? Wegen der Folgen der Corona-Pandemie, beispielsweise dem Verlagern von Mitarbeitern ins Homeoffice?

Malecki: Es ist richtig, dass man dem Begriff Resilienz derzeit oft begegnet. Aber der Ansatz ist nicht neu. Resilienzbestrebungen gibt es bereits seit geraumer Zeit. Natürlich hat die Wichtigkeit der IT in jedem Business die IT-Resilienz auf ein höheres Level gehoben. Cyberattacken, komplexe Strukturen und die Digitalisierung haben dazu ihr Übriges beigetragen. Nicht zuletzt hat auch die Corona-Pandemie Auswirkungen auf die IT-Resilienz. Sie hat beispielsweise durch die plötzliche und unerwartete Veränderung der Arbeitssituation in Homeoffices dafür gesorgt, dass die IT-Resilienz auf die Probe gestellt wurde – und dass sie im einen oder anderen Unternehmen nachgebessert werden muss. Übrigens zeigt gerade Corona, dass Resilienz ein kontinuierlicher Prozess ist. Es gibt immer wieder neue, unerwartete Situationen, in denen sich die IT als zuverlässig erweisen muss.

com! professional: Ist Resilienz auch für deutsche Unternehmen ein wichtiges Thema oder unterschätzen sie diesen Ansatz noch?

Malecki: Auch in deutschen Unternehmen wird Resilienz schon seit längerer Zeit betrieben. Vielleicht kann man unterschiedliche Ausprägungen und Entwicklungsstufen je nach Unternehmensgröße oder nach Art des Business erkennen. Aber denkt man beispielsweise an kritische Infrastrukturen, etwa Stromversorger, wird auch in Deutschland Resilienz schon lange auf hohem Niveau umgesetzt. Aber auch in nicht kritischen Unternehmen ist Resilienz ein Thema. Allein die Digitalisierung und die Anforderungen durch die Datenschutz-Grundverordnung oder HIPAA (Health Insurance Portability and Accountability Act) erfordern resiliente, belastbare IT-Systeme. Im Grunde befinden sich nahezu alle Unternehmen auf einer individuellen Reise in Richtung Resilienz – entsprechend ihren Anforderungen und Bedürfnissen.

com! professional: Welche Maßnahmen können Firmen ergreifen, um resilient zu werden?

Malecki: Dafür gibt es keinen „One size fits all“-Ansatz. Es ist immer eine individuelle Abschätzung dessen erforderlich, was auf ein Unternehmen im Extremfall zukommen kann. Wichtig ist die Fähigkeit – egal auf welche Situation -, schnell, gezielt und koordiniert reagieren zu können. Aus Sicht der IT-Resilienz gehört dazu natürlich ganz wesentlich die Redundanz, die Wiederherstellung, aber auch die Skalierbarkeit von allen lebenswichtigen Systemen. Besonders wichtig ist, dass Unternehmen und Mitarbeiter wissen, was in einer extremen Situation tatsächlich zu unternehmen ist. Daher sind Notfallpläne und Trainings der IT-Mitarbeiter ein Kernelement der IT-Resilienz.

com! professional: Wie sollten IT-Abteilungen und Unternehmen das Thema IT-Resilienz angehen?

Malecki: Grundlegend ist die Fähigkeit, das Unerwartete zu antizipieren. Das kann man lernen, beispielsweise durch genaues Beobachten, was in anderen Unternehmen passiert oder auch welche Veränderungen im eigenen Unternehmen stattfinden und sich zu einer echten Herausforderung entwickeln können. Aus Sicht der IT-Systeme sind die folgenden Punkte besonders wichtig: erstens eine konsolidierte Data- und Storage-Protection, zweitens der Schutz der Daten von Edge- und Remote-Standorten. Das dritte Element ist die Absicherung der physischen und virtuellen Umgebungen, das vierte der Schutz der cloudbasierten Arbeitsabläufe. Und fünftens ist die Dokumentation und das Testen des Data-Protection-Plans unverzichtbar.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*