In Zeiten multipler Krisen spielt eine hohe Unternehmensresilienz sowie ein gutes Business Continuity Management eine wichtige Rolle. Wie man sein Unternehmen resilienter machen und im Fall eines Falles die Ausfallzeiten so gering wie möglich halten kann, erklärt Rainer Schneemayer, Geschäftsführer bei Timewarp, im ITWELT.at-Interview. [...]
Wie findet man heraus, wie resilient das eigene Unternehmen ist?
Im Gegensatz zu klassischen Beratungsunternehmen fokussieren wir uns weniger auf die Geschäftsprozesse unserer Kunden, sondern vielmehr auf deren IT-Infrastruktur und deren optimale Unterstützung der Unternehmensabläufe. Unsere Kunden treten in der Regel dann an uns heran, wenn sie konkrete Veränderungen in ihrer IT-Umgebung vornehmen möchten, um ihre IT-Services effizienter und resilienter zu gestalten.
Um den individuellen Bedarf zu identifizieren, haben wir ein praxisnahes Modell entwickelt, das auf einem Quick-Check basiert. Mit diesem Ansatz analysieren wir gezielt die Schwachstellen der IT-Infrastruktur, denn mit der fortschreitenden Digitalisierung nimmt die Abhängigkeit von funktionierenden IT-Systemen stetig zu. Während es früher möglich war, eine Woche ohne IT auszukommen, kann dies heute für viele Unternehmen existenzbedrohend sein.
Besonders kritisch wird es, wenn man sich mit technischen Details befasst, beispielsweise mit der Definition von RPO- (Recovery Point Objective) und RTO-Zeiten (Recovery Time Objective) im Falle eines IT-Desasters. Häufig stellen Unternehmen erst in einer Notlage fest, dass die Wiederherstellung ihrer Systeme erheblich länger dauert als geschäftlich tragbar wäre. Die stetig wachsenden IT-Systeme und Datenmengen führen dazu, dass Restore-Zeiten zunehmend ansteigen. In diesen Fällen erarbeiten wir gemeinsam mit unseren Kunden Fast-Restore-Konzepte, um die Wiederherstellung ihrer Systeme erheblich zu beschleunigen und den Geschäftsbetrieb schnellstmöglich wiederherzustellen.
Unser Ansatz ist zwar beratend, jedoch mit einem starken Fokus auf die technische Umsetzung. Wir erarbeiten keine umfassenden IT-Strategien für Unternehmen, sondern identifizieren die aktuellen Herausforderungen und entwickeln passgenaue Lösungen, die optimal auf die jeweiligen IT-Services abgestimmt sind. Standardisierte Lösungen bieten wir nicht an – unsere Konzepte sind stets maßgeschneidert und auf die individuellen Anforderungen des Kunden zugeschnitten.
Unser Unternehmen verfolgt einen stark prozessorientierten Ansatz und ist tief in das Informationssicherheitsmanagement eingebunden. Wir betrachten Risiken und Chancen gleichermaßen, wobei das Risikomanagement durch Regularien wie NIS2 oder DORA zunehmend an Bedeutung gewinnt. Viele Unternehmen haben hier noch erheblichen Nachholbedarf, insbesondere wenn es darum geht, realistische Szenarien mit hoher Eintrittswahrscheinlichkeit zu identifizieren und präventive Maßnahmen zu ergreifen.
Wie hängt Risikomanagement mit Resilienz zusammen, wie sehr ist Business Continuity Management Teil der Resilienz?
Resilienz bedeutet für uns, auf Basis eines strukturierten Risikomanagements die notwendigen Maßnahmen zu setzen, um IT-Ausfälle weitestgehend zu vermeiden. Doch es bleibt immer ein Restrisiko bestehen, das nicht vollständig eliminiert werden kann. Deshalb ist es essenziell, auf den Ernstfall vorbereitet zu sein. Hier setzen wir an, indem wir Unternehmen dabei unterstützen, Risiken zu bewerten und geeignete Maßnahmen zu ergreifen. Dabei stellt sich oft die Frage: Kann ein Unternehmen sich diese Maßnahmen überhaupt leisten? Und welche wirtschaftlich tragbaren Alternativen gibt es?
Die Umsetzung von Resilienzmaßnahmen ist eng mit finanziellen Überlegungen verknüpft. Investitionen in ausfallsichere Rechenzentren oder redundante IT-Infrastrukturen können erhebliche Kosten verursachen. Unternehmen müssen daher abwägen, ob sie bereit sind, diese Investitionen zu tätigen oder bewusst ein gewisses Restrisiko in Kauf nehmen.
Unser Ansatz verfolgt eine pragmatische Herangehensweise: Anstatt die 100-Prozent-Lösung anzustreben, setzen wir auf wirtschaftlich sinnvolle Alternativen, die einen Notfallbetrieb gewährleisten. Hier kommen unsere Disaster-Recovery-as-a-Service-Modelle ins Spiel. Sie bieten Unternehmen mit überschaubarem Budgetaufwand die Möglichkeit, im Ernstfall einen funktionierenden Notbetrieb sicherzustellen. Dabei orientieren wir uns an der Pareto-Regel, wonach mit 20 Prozent des Aufwands oft 80 Prozent der benötigten Resilienz erreicht werden können – ein Konzept, das sich in der Praxis vielfach bewährt hat.
Man muss wissen, was man schützen will, man muss sein Unternehmen kennen. Gibt es Bereiche im Unternehmen, die schützenswerter sind als andere? Gibt es Branchenunterschiede?
Grundsätzlich verfügt jedes Unternehmen über seine „Kronjuwelen“ – also Datenbestände, die einen hohen Anteil an geistigem Eigentum enthalten. Deren Attraktivität kann international variieren, doch unabhängig davon ist eines essenziell: Der erste Schritt ist überhaupt zu wissen, welche Daten im Unternehmen vorhanden sind und wo diese gespeichert werden. Denn in der Praxis herrscht häufig ein erheblicher Wildwuchs.
Unternehmen nutzen nicht nur einen einzelnen Service zur Datenspeicherung, sondern greifen oft auf eine Vielzahl unterschiedlicher Lösungen zurück. Dies erschwert den Überblick und die gezielte Steuerung. Viele Unternehmen stehen aktuell vor der Herausforderung, sich erstmals systematisch mit dem Thema Datenklassifizierung auseinanderzusetzen. Diese bildet jedoch die notwendige Grundlage, um klare Richtlinien (Policies) zu definieren, den Schutzbedarf einzelner Datenkategorien zu bewerten und zu entscheiden, welche Daten innerhalb des Unternehmens verbleiben müssen und welche weniger kritischen Informationen möglicherweise auch in einer Public Cloud gespeichert werden können – wobei hier natürlich stets ein Restrisiko bleibt, dass Unbefugte Zugriff erlangen könnten.
Wir unterstützen unsere Kunden dabei, Transparenz über ihre Datenlandschaft zu gewinnen und auf dieser Basis ein maßgeschneidertes Konzept zur sicheren und effizienten Datenspeicherung zu entwickeln. Ein wesentliches Thema in diesem Kontext ist die Datenverschlüsselung. Besonders im Umgang mit Hyperscalern stellt sich die Frage: Wie lassen sich Unternehmensdaten auch dann schützen, wenn sie bei US-amerikanischen Anbietern gespeichert werden? Hier spielen Technologien wie Bring-Your-Own-Key (BYOK) oder Hardware-Security-Module (HSM) eine zentrale Rolle. Sie ermöglichen es, die Kontrolle über die eigenen Verschlüsselungsschlüssel zu behalten und die Daten entsprechend sicher zu verschlüsseln – ein Aspekt, der zunehmend an Bedeutung gewinnt.
Ein weiterer wichtiger Punkt ist die effiziente Auffindbarkeit der gespeicherten Daten. Hier beobachten wir aktuell einen starken Trend, dass Unternehmen den Einsatz von Künstlicher Intelligenz prüfen, um die Vielzahl an gespeicherten Informationen ihren Mitarbeitenden schnell, zielgerichtet und zugleich sicher zur Verfügung zu stellen. Auch in diesem Bereich entstehen neue Anwendungsszenarien, die sorgfältig unter Sicherheitsaspekten bewertet werden müssen. Es steht außer Frage: Die kommenden Jahre werden in diesem Zusammenhang spannende Entwicklungen bereithalten.
Daten sind wichtig, Daten gehören geschützt. Wenn kleinere und mittelständische Unternehmen zu Ihnen kommen und outsourcen wollen, ist das nicht ein guter Zeitpunkt, um Klarheit über den eigenen Datenbestand zu bekommen, indem man sich überlegt, was man outsourced und was nicht?
Unsere Erfahrung zeigt: Ja, absolut. Gerade bei Migrationsprojekten, bei denen auch Budgetüberlegungen eine Rolle spielen, bietet sich die Gelegenheit, den eigenen Datenbestand kritisch zu hinterfragen. Muss wirklich jedes einzelne Byte – oft mehrere hundert Terabyte – ausgelagert werden? Oder existieren Daten, die nicht mehr regelmäßig benötigt werden und deshalb kostengünstiger archiviert werden könnten? Diese Überlegungen helfen nicht nur, die Effizienz zu steigern, sondern auch die Sicherheit und Transparenz im Umgang mit Unternehmensdaten nachhaltig zu verbessern.
Wie sehr helfen Compliance-Regeln Unternehmern ihre Betriebe resilienter zu machen und wie sehr sind manche Regeln dabei eher hinderlich?
Ich bin ein überzeugter Befürworter aktueller Regulierungen – allen voran NIS2 und DORA. Die Notwendigkeit solcher Vorgaben zeigt sich immer wieder in der Praxis: Erst kürzlich wurde der bislang größte Hack einer Kryptobörse publik, bei dem Ethereum im Wert von mehreren Milliarden US-Dollar entwendet wurde. Es wäre durchaus interessant zu analysieren, ob eine konsequente Umsetzung der DORA-Vorgaben diesen Vorfall hätte verhindern können.
In den letzten Wochen habe ich persönlich mehrere Verträge im Rahmen von DORA unterzeichnet, die wir mit unseren Kunden geschlossen haben – insbesondere, weil wir als Zulieferer für Finanzunternehmen tätig sind, die ihrerseits der DORA-Verordnung unterliegen.
Die in den Regularien geforderten Maßnahmen sind das absolute Fundament. Fehlt dieses Fundament, stehen wir vor wesentlich größeren Problemen. Natürlich existiert hier bei vielen Unternehmen noch Nachholbedarf. Wenn sich ein Unternehmen bislang keine Gedanken darüber gemacht hat, wie privilegierte Accounts verwaltet und besonders geschützt werden – also jene Konten, die aufgrund ihrer weitreichenden Zugriffsrechte ein besonders hohes Risiko darstellen –, dann wurde dieser Bereich schlicht vernachlässigt. Jetzt ist der Zeitpunkt, um diese Versäumnisse dringend zu korrigieren.
Gerade im Kontext kritischer Infrastrukturen ist NIS2 unabdingbar. Unternehmen, die unter diese Regelung fallen, können es sich schlichtweg nicht leisten, Sicherheitsmaßnahmen zu umgehen oder nur ein Mindestmaß an Schutz zu etablieren. In diesen Bereichen geht es nicht nur um unternehmerisches Risiko, sondern um gesamtgesellschaftliche Sicherheit.
Daher halte ich Regularien für absolut notwendig und sinnvoll. Sie werden in der Praxis auch zunehmend ernst genommen – nicht zuletzt, weil sich die Haftungsfrage deutlich verschärft hat. Die Datenschutz-Grundverordnung (DSGVO) war hier ein erster Vorreiter: Bußgelder in Höhe von bis zu eineinhalb Prozent des Konzernumsatzes sind ein klares Signal. Zudem haften Geschäftsführer heute persönlich. Aus eigener Erfahrung kann ich bestätigen, dass dies keine bloße Drohkulisse ist – auch wir haften in bestimmten Fällen mit unserem Privatvermögen, sollten uns grobe Fahrlässigkeit nachgewiesen werden.
Daher stehe ich voll und ganz hinter diesen Vorgaben. Unser Anspruch ist es, unsere Kunden nach bestem Wissen und Gewissen zu unterstützen und gemeinsam ein Sicherheitsniveau zu etablieren, das den aktuellen Bedrohungen standhält.
Bieten Sie auch Beratung für Ihre Kunden im Compliance-Bereich an?
Wir sind keine Berater und bieten dementsprechend keine Beratungen an, um Unternehmen NIS2-compliant zu machen. Wir selbst sind natürlich NIS2-compliant und haben für uns GAP-Analysen gemacht und die entsprechenden Maßnahmen umgesetzt. Wir setzen jedoch typischerweise dort an, wo ein Kunde schon eine GAP-Analyse von einem Beratungsunternehmen bekommen hat. Bei uns geht es darum, die konkreten Maßnahmen umzusetzen.
Einerseits verhilft KI den Angreifern zu neuen und noch besser gemachten Angriffen, andererseits kann die künstliche Intelligenz auch Unternehmen helfen, sich besser zu verteidigen. Wie bewerten Sie KI als Mittel für mehr Resilienz zu sorgen?
Wir sehen ein enormes Potenzial in der Nutzung neuer KI-Technologien. Dabei rückt jedoch eine weitere gesetzliche Vorgabe zunehmend in den Fokus: der EU AI Act, der mittlerweile in Kraft getreten ist. Nach unserer Einschätzung ist dieses Gesetz vielen Unternehmen in Österreich bislang noch nicht in vollem Umfang bewusst. Dennoch ist es höchste Zeit, sich damit auseinanderzusetzen – insbesondere im Hinblick auf potenziellen Datenabfluss bei der Nutzung von KI-Systemen, die in der Cloud betrieben werden.
Hier ist es unerlässlich, klare Richtlinien im Unternehmen zu etablieren: Welche KI-Systeme dürfen verwendet werden? Welche Art von Daten ist für die Verarbeitung durch KI-Systeme geeignet? Und vor allem: Wie schule ich meine Mitarbeiter, um die sichere und regelkonforme Nutzung dieser Systeme zu gewährleisten? Diese Fragen müssen von Anfang an mitgedacht und in verbindliche Vorgaben gegossen werden.
Für unser Unternehmen hat künstliche Intelligenz eine zentrale Bedeutung, und wir evaluieren derzeit intensiv verschiedene Einsatzmöglichkeiten innerhalb unserer eigenen Systeme. Ein besonderes Augenmerk legen wir dabei auf das Thema Knowledge Management. Aufgrund der Vielzahl an Datenquellen – seien es Informationen, die in Microsoft Teams, Confluence, lokalen Nextcloud-Instanzen oder klassischen Netzwerklaufwerken gespeichert sind – stellt es eine Herausforderung dar, dieses Wissen effizient und zentral zugänglich zu machen.
Hier bietet KI enormes Potenzial. Unser Ziel ist es, sämtliche vorhandenen Informationen intelligent zu konsolidieren und den Mitarbeitern in Form von Chatbots oder anderen benutzerfreundlichen Anwendungen zur Verfügung zu stellen. Speziell beim Onboarding neuer Mitarbeiter sowie in der Aus- und Weiterbildung sehen wir erhebliche Effizienzgewinne. Durch den gezielten Einsatz von KI können wertvolle Ressourcen eingespart und die interne Wissensvermittlung auf ein neues Niveau gehoben werden.
Unsere Vision: Unternehmen erhalten durch KI-gestützte Systeme wieder einen strukturierten Überblick über das eigene Wissen – unabhängig davon, wo die Informationen ursprünglich abgelegt wurden. Denn was nützt die beste Dokumentation, wenn relevante Informationen nicht auffindbar sind? Künstliche Intelligenz ermöglicht es, diese Wissensschätze systematisch zu erschließen und verfügbar zu machen.
Diese Entwicklung spiegelt sich auch im Markt wider. Als Anbieter von GPU-Services verzeichnen wir derzeit eine stark steigende Nachfrage, insbesondere von Unternehmen, die KI-Lösungen lokal implementieren möchten. Hier kommt der Sicherheitsaspekt erneut ins Spiel: Wenn sensible, interne Daten einbezogen werden, bevorzugen viele Unternehmen eine lokale Infrastruktur, um maximale Kontrolle und Sicherheit zu gewährleisten.
In diesem Kontext sind leistungsfähige GPU-Services essenziell, um die Verarbeitung großer Datenmengen effizient zu gestalten und schnelle, präzise Ergebnisse zu liefern. Genau hier setzen wir an und unterstützen unsere Kunden bei der Implementierung sowie beim sicheren Betrieb ihrer KI-Systeme.
Insbesondere im Bereich Knowledge Management beobachten wir derzeit einen regelrechten Nachfragetrend– ein klares Zeichen dafür, wie stark der Bedarf an smarten, sicheren und gesetzeskonformen KI-Lösungen bereits ist.
Wie kann eine resiliente Unternehmenskultur aussehen? Was muss getan werden, dass die Mitarbeiter sozusagen die Resilienz verinnerlichen und mitnehmen?
Das betrifft das gesamte Unternehmen und ist kein ein reiner IT-Aspekt. Schulung ist das Um und Auf, Bewusstseinsschulung, um den Mitarbeitern klarzumachen, welche Gefahren wo lauern – und sie lauern an jeder Ecke.
KI birgt natürlich einige Risiken, aber bringt auch viele Chancen. Das muss man den Mitarbeitern klar machen und wie sie mit KI umgehen sollen. Deswegen sind Awareness-Trainings sicher eine der wichtigsten Maßnahmen.
Blicken wir in die Zukunft der Unternehmensresilienz: was bringen die nächsten Jahre? Welche Trends sehen Sie?
Im Bereich der Resilienz beobachten wir einen klaren Trend: Immer mehr Unternehmen beginnen, sich intensiver mit der Frage auseinanderzusetzen, wie sie im Falle eines Desasters schnell wieder handlungsfähig werden können. Diesbezüglich verzeichnen wir eine erhebliche Zunahme an Anfragen.
Besonders im Mittelstand – und hier vor allem bei mittelständischen Unternehmen im gehobenen Segment – gibt es noch zahlreiche Firmen, die lediglich über ein einziges Rechenzentrum verfügen. Diese Unternehmen sind nun durch die neu eingeführten Standards dazu angehalten, sich mit der Frage auseinanderzusetzen, was passiert, wenn dieses Rechenzentrum einmal komplett ausfällt. In diesem Zusammenhang erkennen wir einen äußerst starken Trend hin zu einer umfassenderen Betrachtung von Notfallmanagement und Resilienzstrategien.
Künstliche Intelligenz spielt in diesem Kontext eine immer wichtigere Rolle und wird uns noch lange begleiten. Wir befinden uns hier erst am Anfang, und es wird noch viel auf uns zukommen. Allein die rasante Entwicklung der Large Language Models ist beeindruckend – insbesondere im Open-Source-Bereich, wie zum Beispiel das Falcon-Modell mit 180 Milliarden Parametern. Es ist faszinierend, welche Fortschritte in dieser Technologie bereits erzielt wurden. Die Zukunft wird in dieser Hinsicht auf jeden Fall spannend bleiben.
!["Sammlung allerhand auserlesener Reponsorum […]", Johann Hieronymus Hermann, 1736 (c) Österreichische Nationalbibliothek](https://d020f13e.delivery.rocketcdn.me/wp-content/uploads/Kulturpool_Digitalisat_ONB-326x245.jpg)
Be the first to comment