IT Service-Continuity-Management Praxis

Dieses Thema ist eines der elementarsten aber auch am meisten unterschätzten Themen und zudem für mittlerweile fast alle Kleinst- und Großunternehmen von existentieller Bedeutung. Kernfragestellungen in diesem Kontext sind: Was ist wann und wie zu tun, wenn ein Umstand eintritt, der dafür sorgt, dass die eingesetzte Technik oder technische Infrastruktur nicht mehr nutzbar/verfügbar ist".

Im kleinen kann dies der Ausfall des Online-Shops sein, weil dieser durch einen Hackerangriff korrumpiert worden ist. Wenn jetzt keine Datensicherungen, Fallbacklösungen und ein konkreter Plan für die zu ergreifenden Maßnahmen vorhanden sind, kann dies im Zweifel erhebliche Einbußen oder gar die geschäftliche Existenz kosten. In unserem konkreten Beispiel könnten die Umstände und die daraus resultierende nicht-Verfügbarkeit entsprechende Kunden-/Umsatz- und nachhaltige Imageverluste nach sich ziehen.


Synonym für pragmatische Notfallplanung in Konsequenz...die Notfalldiskette auf der Magnettafel
(Foto: ©Hans-Peter-Häge, Pixelio)

In Gesprächen mit Bekannten, die kleinere Online-Shops betreiben und hiermit ihr täglich Brot verdienen, ist es schon erstaunlich, mit welcher Leichtigkeit man mit dem Thema der Absicherung des eigenen Business gegen einen, im weitesten Sinne, "Notfall" umgeht. Gleiches gilt für Selbständige, die bspw. zuhause mit einem Laptop arbeiten und Ihre, wenn denn vorhandene Datensicherungen, im Schrank neben dem Computerarbeitsplatz lagern. Ein Brand im eigenen Büro oder im Haus würde somit unter Umständen dazu führen, dass die gesamte geschäftliche Existenz verloren geht. Gleiches gilt für die Fälle eines Einbruchs/Diebstahls. Aber die Wahrscheinlichkeit, dass es brennt ist ja eher gering und die eines Einbruchs ja auch nicht so groß. Dabei wäre es ohne großen Aufwand möglich diesen Eventualitäten gezielt vorzubeugen und sich damit ggf. ein persönliches und geschäftliches Drama zu ersparen.

Das obige Beispiel lässt sich im Bezug auf die "lockere" Einstellung durchaus auch auf viele mittelständische und auch größere Unternehmen übertragen. Im Unterschied zu den beschriebenen Fällen ist in Unternehmen jedoch meist nicht genau bekannt, was genau ein ggf. längerer Ausfall einer bestimmten Anwendung oder eines Systemes auf die Geschäftsprozesse bzw. das gesamte Business hat.

Aufgrund der Erfahrungen aus der gängigen Praxis lässt sich feststellen, das dass Auseinandersetzen mit "Eventualitäten" nicht gerade eine beliebte Disziplin ist. Zumal hiermit entsprechende Investitionen nötig sind, um diesen Eventualitäten im Sinne einer systematischen Notfallvorsorge vorzubeugen.

In einigen Wirtschaftszweigen, z.B. im Banken- und Versicherungsbereich gibt es jedoch einen direkten Zwang sich gegen den Notfall abzusichern. Dies betrifft sowohl die Geschäftsprozesse, als auch die eingesetzte Technik. Die BAFIN gibt über die jeweiligen MaRisk (Mindestanforderungen an das Risikomanagement) klar vor, dass ein Notfallmanagement im Zuge der Risikovorsorge existieren und systematisch betrieben werden muss. Dies umfasst auch entsprechende Tests- und Übungen der Maßnahmen für den Notfall. Dies alles muss entsprechend dokumentiert und nachgewiesen werden. Wie auch im Falle unzureichender IT-Sicherheit drohen bei Abweichung bzw. Nichteinhaltung aufsichtsrechtliche Konsequenzen für ein Unternehmen. Mit diesen Vorgaben werden die Unternehmen dazu angehalten, Ihre Notfall- bzw. Elementarrisiken aktiv und gezielt zu managen.

Fest steht, dass dieses Thema - auch ohne Zwang - im Selbstverständnis eines jeden verantwortungsvollen Unternehmers oder Unternehmens liegen sollte. In den folgenden Beiträgen zum Thema wird "aus der Praxis für die Praxis" eine ganzheitliche und systematische Vorgehensweise zum informatikseitigen Notfallmanagement vorgestellt.

Den ersten Beitrag zum Thema IT-Service-Continuity Management - "Abgrenzung: Notfallmanagement - IT-Service-Continuity" - finden Sie hier. Weitere Artikel folgen im September.



Autor: Michael Scholz, August 2009