IT-Service-Continuity - Notfallmanagement

All diese Synonyme zum Continuity Management stehen im Endeffekt für ein und dasselbe Ziel, der Gewährleistung einer schnellstmöglichen oder zeitlich definierten Wiederherstellung des IT-Betriebes (Anwendungen, Systeme, Infrastrukturelle Komponenten, Prozesse). Letztlich geht es natürlich darum, die durch die IT-Komponenten gestützten Geschäftsprozesse, entsprechend ihrer Kritikalität, in einem Notfall wieder verfügbar zu machen. Hierzu sind insbesondere die Kenntnisse darüber von Nöten, welche IT-Komponenten welche wie kritischen Geschäftsprozesse stützen. Dieses Thema der Prozess-/Business-Impact und Schutzbedarfsanalyse ist ein Querschnittthema, welches das Risikomanagement/Business-Continuity (die zentralen Risiko- und fachlichen Notfallfunktionen), sowie auf IT-Seite das IT-Risikomanagement, IT-Service-Continuity und die IT-Sicherheit betrifft. Sie alle benötigen die zentralen Prozess-Informationen, um Ihre Funktionen systematisch und mit Fokus auf das Business auszugestalten. Mehr dazu in späteren Beiträgen.  

Um das dargestellte Wiederherstellungsziel zu erreichen ist es wichtig, dass es ein entsprechendes übergeordnetes Notfall-Konzept gibt. In ihm müssen auch die Brücken geschlagen werden zwischen den Business-/fachlichen Notfallplänen und den IT-Notfallplänen (Verzahnung der Notfallpläne). Gleiches gilt auch für die Tatsache, dass die entsprechenden fachlichen wie IT Notfall-Szenarien geübt werden müssen (Notfallübungen). In der Praxis ist es oft so, dass Notfallübungen rein IT-seitig durchgeführt werden. Dieserlei Übungspraxis geht jedoch am eigentlichen Ziel vorbei. Es ist immens wichtig, dass die Fachlichkeit in solche Übungen einbezogen wird. Das eine ist festzustellen, dass die Systeme bei einer Übung (z.B. Host-/SAN-Schwenk etc.) technisch funktionieren. Wirklich Sinn macht eine solche Übung jedoch nur, wenn Vertreter der einzelnen Geschäfts- oder Fachbereiche ihre wesentlichen Prozesse in dem Notfallszenario testen und somit der IT ein Feedback darüber geben, ob aus Business-Sicht die Dinge so funktionieren, wie sie es im Notfall sollen.

Solche Übungen mit Einbezug der Fachlichkeit geben nicht nur der Informatik und dem Business die nötige Sicherheit, sondern sorgen auch auf der Business-Ebene für eine nachhaltige Sensibilisierung für den möglichen Notfall. Gleiches gilt für ein besseres Verständnis darüber, warum die IT den Notfall übt.



Der Alarmknopf für den Notfall - "Übung macht den Meister"
(Foto: ©Harald-Wanetschka, Pixelio)


IT-Service-Continuity
Der Begriff IT-Service-Continuity-Management leitet sich aus der ITIL-Prozesswelt ab. Grundsätzlich soll dieser systematische und prozessuale Ansatz in den noch folgenden Artikeln und im Sinne von Best-Practice als Basis gelten. Dieser Ansatz lässt sich aber auch ganz wunderbar auf den Fall anwenden, dass noch keine stringente Ausrichtung der Informatik-Prozesse existiert.

Wem die ITIL-Welt noch nicht so vertraut ist, an dieser Stelle einmal eine kurze und sehr pragmatische Aufschlüsselung der Begrifflichkeit:

IT-Service
Einzelne Anwendungen, Systeme oder z.B. Infrastrukturkomponenten werden zu Services gebündelt und mit dem internen oder externen Kunden über einen sog. Service-Level-Agreement manifestiert (ein quasi-Vertrag zwischen IT und der Fachlichkeit oder einem externen Kunden). Hier werden u.a. auch Vereinbarungen zur Wiederherstellung bzw. zum IT-Service-Continuity getroffen. Auch das SLA-Management muss hierbei wissen, wie kritisch die entsprechende Service-Komponente für die speziellen Geschäftsprozesse des jeweiligen internen Kunden sind (z.B. Service: Vermittlerabrechnung, Kunde: interner Vertrieb). Hiermit wird verhindert, dass der Kunde z.B. aufgrund falscher Einschätzung oder aber um Budget zu sparen einen kritischen Service z.B. mit unzureichender Ausfall-/Notfall- oder auch IT-Sicherheit versieht, dies könnte im Zweifel fatale Folgen haben.

Continuity
Gewährleistung der Fortführung der IT-Services in einem Notfall. Hierbei muss klar definiert und abgegrenzt werden, ab wann ein Notfall vorliegt (Definition und Abgrenzung von z.B. Krise, Notfall, Störung, Katastrophe). Für die Verfügbarkeit von IT-Services im Tagesgeschäft (d.h. auch bei Störungen) ist bei ITIL das Availability-Management zuständig. Der Availability-Manager muss die Anwendungen und Systeme die einen IT-Service stützen so auslegen, das auch im Fall einer Störung in einem System die mit der Fachlichkeit vereinbarten Verfügbarkeiten gewährleistet sind (hierzu zählen auch Fallback-Lösungen im Sinne von verteilten Servern, Clustern, SAN-Verbund etc.).

Management
Das IT-Service-Continuity-Management ist ein systematischer und kontinuierlicher Prozess. Anders als in Teilen beim klassischen IT-Notfallmanagement ist es hier nicht ausreichend, statische Pläne im Schreibtisch zu haben, die z.B. halbjährlich an die Gegebenheiten angepasst werden. Die entsprechenden Pläne (Notfallpläne inkl. Anwendungs- und Systemdokumentationen, Notfall-Personal- und Krisenstabslisten) werden innerhalb eines definierten Prozesses durch benannte Notfallverantwortliche aktualisiert und entsprechen somit immer dem aktuellen Stand. Die Disziplin IT-Service-Continuity ist eine Querschnittfunktion, die dafür sorgt, dass der definierte Prozess inklusive aller Schnittstellen auch wirklich "funktioniert". Nur wenn dieses Thema ganzheitlich und unter Einbezug aller Schnittstellen betrachtet wird, ist man für den Notfall wirklich gewappnet.


Das "fachliche" Business-Continuity und das IT-Service-Continuity sind sozusagen die "Lebensversicherung" eines Unternehmens. Wer diese Funktionen nicht besitzt oder nur halbherzig umsetzt, der riskiert in einem Notfall ggf. einen existenziellen Schaden.

Wie Sie diese Funktion optimal in der Praxis ausgestalten, dazu erfahren Sie hier in Kürze mehr.


Autor: Michael Scholz, August 2009