Best Practices für Geschäftskontinuität und Notfallwiederherstellung (BCDR) für 2023

Business Continuity (BC) und Disaster Recovery (DR) sind sich gegenseitig verstärkende Praktiken, die die Fähigkeit eines Unternehmens unterstützen, seine Aktivitäten nach einem Ausfall, einer Störung oder einer Krise fortzusetzen.

Geschäftskontinuität und Notfallwiederherstellung (Business Continuity and Disaster Recovery, BCDR) sind im Jahr 2023 wichtiger denn je. Jedes Unternehmen, vom kleinen Unternehmen bis zum multinationalen Konzern, ist auf digitale Technologien angewiesen – was BCDR zu einem Muss für Unternehmen macht. Darüber hinaus hat die Pandemie deutlich gezeigt, wie viel Schaden eine unerwartete Betriebsunterbrechung für die Volkswirtschaften anrichten könnte.

Dennoch haben 14 % der Unternehmen ihre BCDR-Pläne sechs Monate bis drei Jahre lang nicht getestet, und Untersuchungen deuten darauf hin, dass es nur wenige Best Practices für Geschäftskontinuität und Notfallwiederherstellung gibt. Hier sind die 10 Richtlinien, die Sie befolgen müssen:

1. Bewerten Sie das mit verschiedenen Komponenten verbundene Risiko und führen Sie eine Business Impact Analysis (BIA) durch.

Risikoanalyse und BIA sind wesentliche Werkzeuge für Organisationen, die mit der Entwicklung einer BCDR-Strategie beauftragt sind. Die Identifizierung interner und externer Risiken und Bedrohungen ist für die Geschäftskontinuität und die Notfallwiederherstellung von entscheidender Bedeutung. Die Risikoforschung deckt potenzielle Bedrohungen und deren Eintrittswahrscheinlichkeit auf. Diese Risikobewertung ergänzt die BIA, die die möglichen Auswirkungen einer Störung bewertet.

Eine BIA umfasst eine Finanzanalyse, berücksichtigt aber zusätzlich die nichtfinanziellen Aspekte unvorhergesehener Störungen. Darüber hinaus bestimmt die BIA die geschäftskritischen Dienste, die ein Unternehmen nach einem Vorfall weiterhin erbringen muss, sowie die zur Aufrechterhaltung dieser Funktionen erforderlichen Ressourcen.

2. Bestimmen Sie, WANN BCDR für optimale Ergebnisse aktiviert werden muss

Bevor Unternehmen eine ungünstige Situation als Katastrophe bezeichnen und den BCDR-Plan aktivieren, müssen sie mehrere Variablen berücksichtigen. Die voraussichtliche Dauer der Störung, die Auswirkungen des Ausfalls auf die Organisation, die finanzielle Belastung durch die Aktivierung des BCDR-Plans und das Potenzial der BCDR-Strategie, weitere Unterbrechungen zu verursachen, gehören zu den wichtigsten Überlegungen.

Ironischerweise kann die Verlagerung vom Hauptstandort eines Unternehmens zu einem sekundären Standort und die anschließende Rückkehr zum primären Betriebsstandort – nach einem Vorfall – die Prozesse erheblich stören. Folglich muss die Unternehmensführung sorgfältig prüfen, wann der BCDR-Plan umgesetzt werden soll. Beispielsweise kann eine Organisation feststellen, dass eine sechsstündige Störung nicht ausreicht, um eine Katastrophenausrufung zu rechtfertigen.

3. Seien Sie bereit, sich für Änderungen und Aktualisierungen im BCDR einzusetzen

Entwicklungen in der Bedrohungslandschaft oder die Entstehung neuer Geschäftsvorhaben könnten ein Unternehmen dazu zwingen, seine BCDR-Abdeckung zu erhöhen. Dies war in den Jahren 2022–2023 häufig der Fall, da Unternehmen zur Büroarbeit zurückkehren und neue Risiken ans Licht kommen.

Wenn die erforderlichen Ressourcen für die erweiterte BCDR-Strategie und die Wiederherstellungstechnologien nicht in Ihrem aktuellen Budget enthalten sind, müssen Sie möglicherweise zusätzliche Mittel beantragen. Ein Investitionsvorschlag sollte auf Folgendem basieren:

• Entwicklung eines Geschäftsvorschlags, der die Vorteile der erweiterten BCDR-Kompetenzen hervorhebt
• Entscheiden, ob die aktualisierte BCDR-Strategie Auswirkungen auf andere Bereiche wie die Cybersicherheit haben wird.
• Einwerbung von Fördermitteln, einschließlich Produkt- und Servicebewertung
• Erstellen einer Beschaffungsanfrage mit ausreichender Dokumentation

Denken Sie daran, dass Sie ein Gleichgewicht zwischen den BCDR-Ausgaben und den prognostizierten wirtschaftlichen Folgen eines bestimmten Katastrophenszenarios herstellen müssen. Sie möchten keine Lösung finden, die zehnmal teurer ist als die Krise selbst.

4. Testen Sie die Geschäftskontinuitäts- und Notfallwiederherstellungspläne auf etwaige Lücken

Tabletop-Schulungen, geplante Rundgänge sowie Simulationen sind gängige Testformate. Typischerweise bestehen Testteams aus dem Wiederherstellungsleiter und Vertretern aller Funktionsgruppen. Typischerweise wird eine Tischübung in einem Konferenzraum durchgeführt, wobei das Team den Plan auf Mängel untersucht und sicherstellt, dass alle Unternehmensbereiche vertreten sind.

Bei einem geplanten Rundgang untersucht jedes Teammitglied die von ihm vorgesehenen Plankomponenten ausführlich, um Schwachstellen zu identifizieren. Häufig geht das Team den Auftrag mit einer konkreten Katastrophe im Hinterkopf durch. Einige Organisationen integrieren Katastrophen-Rollenspiele und damit verbundene Aktivitäten in den geplanten Rundgang. Eventuelle Mängel sollten behoben werden und ein überarbeiteter Plan sollte an alle relevanten Mitarbeiter gesendet werden.

5. Verdoppeln Sie Ihren Fokus auf die Dokumentation

Der Geschäftskontinuitätsplan muss in Übereinstimmung mit den Risiken des Unternehmens und den Protokollen zur Notfallwiederherstellung erstellt werden. Der Plan sollte beispielsweise festlegen, was die Mitarbeiter im Krisenfall tun müssen, sowie den engsten Zeitrahmen für die Bereitstellung geschäftskritischer IT-Unterstützung festlegen.

Auch die Identifizierung kritischer Systeme und die Erstellung einer Bestandsaufnahme der wichtigsten Anwendungen ist von entscheidender Bedeutung. Darüber hinaus müssen Organisationen eine Bestandsaufnahme externer Kontakte wie Finanziers, IT-Spezialisten und Mitarbeiter von Versorgungsunternehmen führen. Der Ausbruch des Coronavirus hat uns gelehrt, dass nur Unternehmen mit einem gut dokumentierten Geschäftskontinuitätsplan in der Lage waren, sich schnell zu erholen.

6. Bestimmen Sie Ihr individuelles Maß an Risikoresistenz und die dafür zwingend erforderliche IT-Unterstützung

Da jede Organisation einzigartig und individuell ist, müssen Sie die Risiken bewerten und einen individuellen Business-Continuity-Plan entwickeln. Im Fall einer Bank können beispielsweise nur wenige Sekunden Verzögerung zu Schäden in Millionenhöhe führen. Gesundheitseinrichtungen können bei Ausfallzeiten die Versorgung kritischer Patienten gefährden.

Darüber hinaus müssen die Sanierungsoptionen eines Unternehmens anhand der Branche ermittelt werden, in der es tätig ist. RTO und RPO gehören in dieser Hinsicht zu den wichtigsten Konzepten. RPO oder Recovery Point Objective bezeichnet den größtmöglichen zulässigen Datenverlust über einen bestimmten Zeitraum. RTO oder Recovery Time Objective ist die Zeit, die zwischen einer Unterbrechung und einer Wiederaufnahme von Prozessen vergeht.

Sie können die geeigneten DR-Alternativen zusammen mit Wiederherstellungstechnologien auswählen, indem Sie das entsprechende RPO und RTO basierend auf den Geschäftsregeln und -richtlinien Ihres Unternehmens auswählen.

7. Investieren Sie in Redundanz für die virtualisierte Infrastruktur

Nach der Pandemie ist die Virtualisierung in Unternehmen von entscheidender Bedeutung und allgegenwärtig geworden. Dennoch muss ein Business-Continuity-Plan die Notwendigkeit einer hybriden physischen und virtuellen Infrastruktur berücksichtigen.

Besitz virtueller Server, Speicherplätze. sowie Workstations verringert das Risiko von Dienstunterbrechungen, es kann jedoch dennoch zu Fehlfunktionen virtueller Maschinen kommen. Eine Backup-Strategie für virtuelle Maschinen sollte zu Ihren obersten Prioritäten gehören, insbesondere wenn Sie Ihren Virtualisierungsentwurf für geschäftskritische Prozesse zwischen 2020 und 2023 erweitert haben.

8. Erwägen Sie eine Partnerschaft mit einem verwalteten BCDR-Anbieter

Fast jeder IT-Dienstleister wird sagen, dass er bei der Reparatur und Wiederherstellung von Dienstunterbrechungen helfen kann. Es besteht jedoch ein erheblicher Unterschied zwischen einem Partner, der Offsite-Backup-Einrichtungen anbietet, und einem Partner, der über die erforderliche BCDR-Infrastruktur verfügt. Ein Managed Service Provider bietet eine Reihe von Diensten an:

• Infrastruktur auf Militärniveau
• Tools für Disaster Recovery und Backup
• Möglichkeiten zur Archivierung und Wiederherstellung
• Multiplattform-Verwaltung von Speicher
• Bekannte und bewährte Fachkompetenz in der Notfallevakuierung und Verlegung zu einem der verschiedenen Bergungsorte

9. Arbeiten Sie mit der Beschaffung zusammen, um Anbieter auf BCDR-Bereitschaft zu prüfen

Moderne Unternehmen sind keine autarken Einheiten, die wie Inseln im Meer agieren. Im Gegenteil handelt es sich um eng vernetzte Institutionen mit tiefgreifenden gegenseitigen Abhängigkeiten von Drittanbietern, die alles von geschäftskritischer IT-Infrastruktur bis hin zu Fertigwaren und Grundmaterialien liefern. Identifizieren Sie jede Partnerschaft zwischen Unternehmen und Lieferant und das potenzielle Risiko, das sie für die Geschäftskontinuität darstellt, wenn die Lieferung des Lieferanten unterbrochen wird. Welchen Belastungen sind Lieferanten ausgesetzt und wie robust/belastbar sind Ihre Mitarbeiter, wenn sie unter Stress stehen?

Zu Beginn der Geschäftsbeziehung müssen Drittanbieter einer strengen Due-Diligence-Prüfung unterzogen und ständig auf Anzeichen neuer Bedrohungen überwacht werden. Was genau sind ihre individuellen Pläne für die Geschäftskontinuität, und reichen diese aus, um Ihr Unternehmen zu schützen?

10. Informieren Sie sich über Colocation-Optionen

Schließlich bietet Colocation Unternehmen mit einer großen IT-Infrastruktur die Möglichkeit, ihr Risiko auf geografisch unterschiedliche Regionen zu verteilen.

Integrierte Redundanzen in Rechenzentren von Drittanbietern sollen die Betriebszeit und Ausfallsicherheit fördern. Darüber hinaus bietet Colocation mehrere Stromquellen und Optionen für die Konnektivität. Dies dient als Backup-Route für den Fall, dass der primäre Pfad ausfällt.

Mehrere Colocation-Dienstleister bieten möglicherweise zusätzlich eine Auswahl an geografisch verteilten Rechenzentren an, sodass Unternehmen die Räumlichkeiten auswählen können, die ihren spezifischen Anforderungen am besten entsprechen. Eine Organisation kann aus praktischen Gründen einen primären Standort in der Nähe ihres Hauptsitzes und für die Wiederherstellung nach einer Katastrophe einen sekundären, weiter entfernten Standort wählen. Die Geschäftskontinuität wird auch durch geplante Wartungsprogramme und Maschinenaktualisierungen von Colocation-Rechenzentren unterstützt, die die Systemverfügbarkeit und -leistung optimieren.

Abschluss

Da die Bewältigung von Katastrophen und Betriebsunterbrechungen immer komplexer wird, helfen diese BCDR-Best Practices Ihrem IT-Team bei der Vorbereitung. Sie können auch das Potenzial von Cloud Computing zur Unterstützung der Disaster-Recovery-Planung (DRP) erkunden und Datenwiederherstellungstools verwenden, um verlorene Informationen nach kleineren Vorfällen wiederherzustellen.