7 Tipps für einen zuverlässigen Business-Continuity-Plan

Fabian Kaiser

Sie möchten, dass in Ihrem Unternehmen immer alles glatt geht? Der Geschäftsbetrieb soll möglichst reibungslos verlaufen? „Business as Usual“ (BAU) ist das Ziel? Dann sollten Sie einen Business-Continuity-Plan erarbeiten.

Ihr Unternehmen besteht aus drei grundlegenden Elementen, die alle möglichst immer verfügbar sein sollten und in fast schon langweiliger Synchronität zusammenarbeiten: Mitarbeiter, Offices und Systeme.

Als "Business Continuity" wird die Fähigkeit bezeichnet, den Geschäftsbetrieb nach einem Ereignis aufrechtzuerhalten, das eine dieser grundlegenden Elemente behindert oder hemmt und somit den normalen Geschäftsbetrieb unterbindet.

Um Ihren Geschäftsbetrieb durchgehend aufrechtzuerhalten, müssen Sie einen Plan ausarbeiten, wie Ihr Unternehmen bei Ereignissen reagieren soll, die für Ihre Mitarbeiter, Büros und Systeme eine Beeinträchtigung darstellen: Dies ist der Business-Continuity-Plan.

Bei diesem Plan sollte es sich um ein dynamisches Dokument handeln, das mit großer Sorgfalt erstellt wurde, nachvollziehbar ist und regelmäßig getestet wird. Um sicherzustellen, dass alle wichtigen Punkte berücksichtigt wurden, können Sie hier sieben Tipps für einen zuverlässigen Business-Continuity-Plan nachlesen:

1. Definieren Sie Schutzelemente

Was braucht Ihr Unternehmen unbedingt, um zu funktionieren?
Ihre Antworten auf diese Frage bestimmen Ihre Schutzelemente. Sie bestimmen, worauf der Fokus Ihres Plans liegt und geben ihm Sinn und Zweck. Für diese Elemente müssen Sie eine Alternative oder Lösung parat haben, für den Fall, dass etwas schiefgeht.

2. Überprüfen Sie die Schutzniveaus

Das Schutzniveau bezeichnet das Leistungsniveau, auf das Ihr Schutzelement bei einem Ausfall wiederhergestellt werden muss, um die Business Continuity sicherzustellen. Nehmen wir beispielsweise an, Ihre Hauptniederlassung ist Ihr Schutzelement, das infolge einer Überschwemmung nicht mehr betriebsfähig ist. Benötigen Sie ein alternatives Büro, damit Ihre Mitarbeiter ihre Arbeit wieder aufnehmen können, oder reicht es, wenn Ihre Mitarbeiter die Möglichkeit haben, von Zuhause aus zu arbeiten? Reicht ein Cloud-Backup, mit dem Sie die wichtigsten Dateien und Datenbanken wiederherstellen können, um die Verfügbarkeit Ihrer Systeme zu gewährleisten, oder ist ein sofortiges Failover auf eine vollständige Replikation Ihrer gesamten lokalen IT-Struktur erforderlich?

3. Identifizieren Sie Schutzanforderungen

Definieren Sie genau, welche Business-Continuity-Taktik Sie für Ihre Mitarbeiter, Büros und Systeme einsetzen möchten, um für Ihre Schutzelemente das erforderliche Schutzniveau zu erreichen. Auch das lässt sich anhand des obigen Beispiels mit der Hauptniederlassung verdeutlichen. Nehmen wir an, Sie benötigen einen sekundären Bürostandort. In welcher geografischen Region müsste sich dieser Standort befinden? Muss er allen Mitarbeitern Platz bieten oder nur einem Teil? Auf welche internen IT-Systeme müssen diese Mitarbeiter zugreifen können? Wurde ein Notfallplan erstellt, um dafür zu sorgen, dass Telefone und Computer dort zur Verfügung stehen?

4. Ausfallszenarien und Maßnahmen

Um Ihre Schutzanforderungen festlegen zu können, müssen Sie für jedes Element definieren, wann ein Ausfall vorliegt.

Jeder mögliche Ausfall sollte in einem „Ausfallszenario“ zusammen mit einer Reihe von Abhilfemaßnahmen skizziert werden. Im Falle unseres Beispiels zählen dazu Ereignisse, durch die das Gebäude unbenutzbar wird, wie beispielsweise ein Feuer oder eine Überschwemmung. Dieses Ausfallszenario muss eine Reihe von Maßnahmen enthalten, die getroffen werden können, um das erforderliche Schutzniveau zu erreichen, z. B. die Bereitstellung eines zugänglichen, vollständig ausgestatteten sekundären Büros. Dabei kann es sich um ganz einfache Maßnahmen handeln, z. B. einen Anruf beim Vermieter, um ihm mitzuteilen, dass Sie Ihren Business-Continuity-Plan aufrufen.

5. Rollen und Verantwortlichkeiten

Entscheidend bei der Planung der Maßnahmen für ein Ausfallszenario ist es, nicht nur die einzelnen, zu ergreifenden Schritte festzulegen, sondern auch die Rollen und Verantwortlichkeiten der einzelnen Mitarbeiter zu definieren, die mit der Durchführung betraut sind. In diesem Beispiel könnten das folgende Rollen sein:

  • Gebäudemanager: informiert den Vermieter, dass der alternative Bürostandort bezogen werden soll.
  • IT: transportiert Telefone und Laptops für die Mitarbeiter an den neuen Standort.
  • HR: koordiniert die Kommunikation innerhalb des Unternehmens, um die Stammbelegschaft über die Situation zu informieren und dafür zu sorgen, dass die Mitarbeiter ihre Arbeit so schnell wie möglich wieder aufnehmen können.

6. Rollback

Im Falle eines Ausfalls sollte das Unternehmen idealerweise einen möglichst normalen Geschäftsbetrieb (Business as Usual) wiederaufnehmen können. Es lohnt sich jedoch, darüber nachzudenken, ob es nicht sinnvoller ist, so schnell wie möglich einen minimalen Geschäftsbetrieb wiederherzustellen, anstatt noch länger zu warten, bis alle Funktionen wieder verfügbar sind.

Im Allgemeinen handelt es sich bei dem Business-Continuity-Modell um ein abgespecktes System, das den Betrieb bei reduzierter Kapazität sicherstellen und so eine durchgängige Unternehmenspräsenz gewährleisten soll. Dies ist normalerweise kosteneffizienter, als eine vollständige Nachbildung des primären Betriebsmodells im Standby zu unterhalten und im Falle eines Ausfalls ein Failover auf diese Replikation durchzuführen.

7. Tests

Tests bilden das entscheidende Element eines Business-Continuity-Plans. Sie müssen unter Beweis stellen, dass Ihr Plan nachvollziehbar, relevant, effizient und zuverlässig ist. Business-Continuity-Pläne werden in der Regel jährlich getestet, wobei das System über einen längeren Zeitraum im Business-Continuity-Modus ausgeführt wird. Einen Schritt weiter geht das Konzept „Active/Active“, bei dem die BC-Schutzanforderungen tatsächlich aktiv als Teil des BAU verwendet werden, wobei das primäre Betriebsmodell zeitgleich bei einer Kapazität von 50 % ausgeführt wird. In unserem Beispiel kann es sich bei dem Business-Continuity-Zentrum um ein Satellitenbüro handeln, das ausreichend Kapazität aufweist, um im Falle eines Ausfalls einen Teil der Kernmitarbeiter aus dem Hauptbüro aufnehmen zu können.

Finale Empfehlung: Überstürzen Sie nichts und bleiben Sie ruhig. Wenn die äußeren Umstände es jedoch erfordern, sollten Sie auf einen einsatzbereiten Business-Continuity-Plan zurückgreifen können.

Geschrieben von Fabian Kaiser - Head of Security & Compliance

Fabian Kaiser verantwortet den Bereich Informationssicherheit und Compliance bei Claranet Deutschland. Seit 2012 ist er CISO und lebt diese Rolle im Unternehmen. Fabian teilt sein umfangreiches Wissen zu Security & Compliance in der Cloud auf Vortragsveranstaltungen und in Expertenrunden.

Fabian Kaiser kontaktieren: