Business Availability – Minimierung des Unternehmensrisikos – Maximierung der Verfügbarkeit

Wir leben in einer 24 Stunden-Welt, in der die totale Verfügbarkeit aller Geschäftsprozesse ein klarer Wettbewerbsvorteil ist. Umgekehrt kann eine einzige Unterbrechung ausreichen, einen „On-line“-Kunden für immer zu verlieren. Das betrifft global agierende Multis ebenso wie kleine und mittelständische Unternehmen, deren Geschäftsprozesse für Just-in-Time- oder Internet-Geschäfte rund um die Uhr laufen müssen.

Verfügbarkeit total

Die Ansprüche an die Verfügbarkeit in der Informations- und Kommunikationstechnik gelten nicht nur für Großrechner oder komplexe Client/Server-Systeme im zentralen Rechenzentrum: Von der Desktop-Konfiguration über den Support, vom Druckerkabel bis zum integrierten Sprach-Datennetz – jedes kleine Element ist ein unternehmenskritisches Rädchen im Getriebe des Unternehmens und muss sich reibungslos drehen. Besondere Herausforderungen stellen die wachsenden Datenmengen, die zunehmenden Erwartungen der Benutzer und der Druck, noch schnellere und sicherere Zugänge zu allen Daten eines Unternehmens zu erhalten. Unternehmen, die höchste Ansprüche an die Verfügbarkeit erfüllen müssen, benötigen ein Höchstmass an „Business Availability“, in der das Risiko soweit reduziert wurde, dass keine einzige Unterbrechung das Image und das Markenzeichen des Unternehmens negativ beeinflussen kann.

Business Availability ist Chefsache

In den letzten Jahren ist die Sicherheit im allgemeinen und die IT-Sicherheit im besonderen stärker ins Bewusstsein der Chefetagen vorgedrungen: das begann vor der Jahrtausendwende und fand einen traurigen Höhepunkt durch den katastrophalen 11. September. Daneben bringen zunächst vermeintlich kleinere Zwischenfälle durch Viren, Würmer wie „I Love You“ oder „LoveSan“, oder durch Hochwasser oder wie dieses Jahr zu hohe Temperaturen große und teure Systemausfälle mit sich. Vom Kleinunternehmer, dessen Excel-Kalkulation abstürzt bis hin zum CIO, dessen E-Mail-Server herunter gefahren werden müssen, erfahren diese Verantwortlichen immer wieder schmerzlich, wie verwundbar ihre heilige Welt der IT ist. Die Maßnahmen für eine umfassende Business Availability müssen daher von oberster Stelle initiiert, getragen und koordiniert werden. Je nach Unternehmensgröße ist dafür eine Organisationseinheit erforderlich, die aus einer oder mehreren Personen bestehen kann. Allerdings ist es selbst für Großunternehmen mitunter schwierig, die facetten- und disziplinreiche sowie grenzüberschreitende Herausforderung allein zu meistern: oft sind die internen Ressourcen an Personal, Hard- und Software dafür schlicht nicht vorhanden. Zum anderen kann gerade bei so hochsensiblen Themen der kritische und unternehmensunabhängige Blick von außen ein weiteres Stück Sicherheit bedeuten. Oft wird es also sinnvoll sein, sich eines externen Beratungs- oder Systemhauses zu bedienen, das die ganzheitliche, über den gesamten Lebenszyklus aller Systeme gehende Unterstützung für die Business Availability gewährleistet.

Von der Notfallplanung zur integrierten Business Availability

Verfügbarkeit total ist ein Idealziel, das seinen Preis hat – manchmal einen zu hohen. Es kann also nicht darum gehen, das Unternehmen gegen jedes nur mögliche Risiko abzusichern und letztlich „in Schönheit zu sterben“. Genauso wenig darf es darum gehen, sich nur gegen Katastrophen wie Brand oder terroristische Attacken zu wappnen. Vielmehr geht es darum, im Sinne eines Paradigmenwechsels weg von der reinen Notfallplanung zu einem integrierten Business Availability Management zu gelangen. Dafür muss man das Geschäft verstehen und alle erforderlichen Vorkehrungen treffen, die für dessen Überleben und Fortbestand wichtig sind.

Dazu gehören:

  • Die Sicherheit und das Wohlergehen der Mitarbeiter sowie die internen Kommunikationswege
  • Die Kontinuität der entscheidenden Geschäftsfunktionen, d.h. nach Störfällen deren möglichst schnelle Wiederaufnahme
  • Die Erfüllung vertraglicher Verpflichtungen
  • Das Erkennen und Vermeiden von Risiken
  • Die Aufrechterhaltung des Kundenvertrauens und den Schutz des geschäftlichen Rufs (externe Kommunikation)

Was wäre wenn…?

Restrisiken sind selbst bei größtmöglichen Sicherheitsvorkehrungen nicht auszuschließen. Um so mehr müssen sich die Verantwortlichen fragen, welche Geschäftsprozesse direkt von der Informations- und Kommunikationstechnik abhängig sind und welcher Schaden entstehen kann, wenn sie entweder nicht mehr funktionieren oder die falschen Leute Zugriff darauf bekommen. Der erste Schritt ist eine Bestandsaufnahme aller wichtigen Geschäftsprozesse und der sie unterstützenden Infrastruktur. Diese Aufgabe, welche die IT-Spezialisten zusammen mit den Verantwortlichen geschäftskritischer Prozesse – z.B. Produktion, Einkauf, Marketing, Finanz- und Rechnungswesen – durchführen müssen, kann abhängig vom Unternehmenstyp mehr oder weniger aufwendig sein: Jedes System ist auf seine Bedeutung für die jeweilige Anwendung hin zu klassifizieren. Im Zentrum stehen die Grundwerte der IT-Sicherheit:

  • Vertraulichkeit (Zugriff nur durch berechtigte Personen)
  • Integrität (Unversehrtheit der Daten)
  • Verfügbarkeit (Zugriff zur rechten Zeit).

Der nächste Schritt umfasst zwei Analysetypen: die Business Impact Analyse (BIA) und die Risikoanalyse (RA). In der BIA ermittelt das Analyseteam, wie und in welcher Stärke sich Störfälle – vom kurzzeitigen Ausfall einer Internet-Verbindung bis hin zur Brandkatastrophe im Rechenzentrum – auf die jeweiligen Geschäftsprozesse auswirken, um in der späteren Strategie Unternehmensziele für die Wiederherstellung und Aufrechterhaltung der Prozesse bestimmen zu können. Hier müssen sie nicht nur technische Pannen bedenken, sondern auch die Risiken durch menschliche Sabotage von innen und außen. Die RA ermittelt die internen und externen Gefahrenquellen sowie potenzielle Schwachstellen für das Unternehmen. Wichtig ist auch festzustellen, wie hoch die jeweilige Auftrittswahrscheinlichkeit und ihre Auswirkung ist.

Die Strategie

Stehen die Risiken und ihre möglichen Auswirkungen fest, ist eine Strategie zu formulieren, die den Zielen und Prioritäten der Business Availability gerecht wird: Jetzt ist ein angemessenes Sicherheitsniveau festzulegen und welcher finanzielle Aufwand in Relation zur Risikominimierung steht. Die Ergebnisse der Abhängigkeits- und Risikoanalyse müssen nun zusammengefasst werden, um jene Bereiche zu identifizieren, auf die sich die Business Availability Planung zuerst konzentrieren muss. Zwei Aspekte sind zu beachten: Es ist zu entscheiden, ob Korrekturmaßnahmen zur Beseitigung, Reduzierung oder Billigung jener Risiken erforderlich sind, die im Verlauf der Risikoanalyse festgestellt wurden. Mit den Ergebnissen der Business Impact Analyse lassen sich zudem die Prioritäten hinsichtlich der Wiederherstellung und Aufrechterhaltung der wichtigsten Geschäftsprozesse festlegen, wobei auch geeignete interne oder von Dritten stammende Lösungen zur Einführung empfohlen werden können.

Planung und Umsetzung der Business Availability

Auf der Basis der Analysen kann die Business Availability Planung und nachfolgende Umsetzung erfolgen. Nach dem Prinzip „Minimierung des Unternehmensrisikos – Maximierung der Verfügbarkeit“ sind zwei Ziele zu erreichen:

  • Angemessene Reaktionen auf Störfälle jedweder Art bis zur Wiederherstellung des Betriebs
  • Erhöhung der Verfügbarkeit durch Optimierung technischer Systeme und organisatorischer Abläufe

Business Recovery für Störfälle

Im Rahmen einer komplexen Business Availability ist Stör- und Ausfällen durch die bekannten Maßnahmen der klassischen Business Recovery bzw. Business Continuity zu begegnen, deren Grenzen fließend sind. Maßgeblich für die Auswahl der Systeme ist die Wiederanlaufzeit, d.h. die Zeit vom Ausfall des Systems bis zur erfolgreichen Fortsetzung des Betriebs. Sie ist von den Verfügbarkeitszielen des Unternehmens abhängig und kann von mehreren Tagen über Stunden bis zu Sekunden festgelegt werden. Je nach Wiederanlaufziel kann das Unternehmen auf der Rechner- und Rechenzentrumsseite sog. Lieferlösungen durch mobile Ersatzrechnersysteme und Büroarbeitsplätze (sog. „kaltes Backup“) über die Bereitstellung stationärer Business Recovery Zentren („warmes Backup“) inklusive Call Center Funktionalitäten bis zu permanent laufenden Spiegelsystemen in parallel vorgehaltenen Rechenzentren („Repliken oder heißes Backup“) einsetzen. Daten- und Sprachnetze können mit temporär zugeschalteten ISDN-Leitungen, Richtfunkverbindungen oder permanent redundanter Leitungsauslegung über verschiedene Netzanbieter abgesichert werden. Je nach eigener Kompetenz und Personal-, Raum- und Infrastrukturressourcen kann die Lösung mit internen Mitteln oder externer Unterstützung erfolgen. Letztere wird aber in vielen Fällen zu einem günstigeren Preis-/Leistungsverhältnis zu realisieren sein. Eine Business Recovery-Lösung muss im Ernstfall funktionieren. Sie erfordert daher ein Planmanagement, das folgende Faktoren berücksichtigt:

  • Plan-Testläufe: Sie bestätigen die Tauglichkeit und machen die Mitarbeiter mit seiner Ausführung vertraut. Ein derartiger Testlauf sollte mindestens einmal pro Jahr durchgeführt werden, in vielen Fällen jedoch öfter.
  • Plan-Überprüfung: Der Plan muss auch dann seine wirksam bleiben, wenn sich das Unternehmen oder dessen unmittelbare Arbeitsumgebung verändert. Daher ist regelmäßig zu überprüfen, ob die Voraussetzungen für den ursprünglichen Plan noch gelten. Dieser Check muss mindestens einmal pro Jahr erfolgen oder direkt im Anschluss an größere organisatorische oder strukturelle Veränderungen.
  • Plan-Aktualisierung: Es sollte ein Prozess eingeführt werden, mit dem der Mitarbeiter, der im Unternehmen für das Business Availability Management verantwortlich ist, über alle Veränderungen informiert wird und diese unverzüglich in die zugehörigen Business Availability Pläne einarbeiten kann.

Die Maximierung der Verfügbarkeit

Die gerade beschriebenen Business Recovery Maßnahmen erhöhen die Verfügbarkeit im Notfall bzw. stellen sie wieder her. Sie sollten aber nur ein Baustein des Business Availability Managements sein, das idealerweise viel umfassender ansetzt. Schwerwiegende Folgen für die Verfügbarkeit haben die anwachsenden Datenmengen, die nur durch intelligente Storage-Lösungen (Stichwort Storage Area Network SAN) effizient gemanagt werden können. Sie sind die Basis einer kompletten Verfügbarkeitslösung für die physikalische Speicher-Zentralisierung und können durch Tools und Techniken ergänzt werden, die alle drei Datenarchivierungsziele erreichen: Sicherheit, rascher Zugriff und Kosteneffizienz. Das zweite kritische Element für die Business Availability ist das moderne Netzwerk. Auch hier bringt die wachsende Komplexität der Sprach- und Datennetze, LANs und WANs ebenso viele Risiken wie Chancen mit sich. Erstere müssen eliminiert, letztere genutzt und ausgebaut werden. Dafür ist nicht nur klares, vernetztes Denken erforderlich, sondern auch eine sicher konzipierte und realisierte Netzwerktechnologie mit rund-um-die-Uhr Netzüberwachung. Unternehmen, die selbst nicht die notwendigen Personal- und Infrastrukturressourcen besitzen, können auch auf externe Unterstützung setzen, indem sie Business Availability als sog. Managed Services von Systemhäusern beziehen. Diese unterstützen ihre Kunden bei Analysen, Strategie, Planung und Umsetzung sowie Support und Service für alle IT-Systeme.

Bewusstsein und Schulung

Die beste Business Availability Strategie ist nur so gut wie die Menschen, die damit arbeiten: ihr Erfolg hängt maßgeblich davon ab, ob alle Mitarbeiter und eventuell beteiligte Dritte die Bedeutung und Umsetzung der Strategie richtig verstanden haben und voll dahinter stehen. Das Management muss die zugrunde liegenden Prinzipien daher unternehmensweit einführen und bekannt geben. Alle Personen, die an der Umsetzung der Strategie beteiligt sind, benötigen eine umfassende Schulung, damit sie Vertrauen und Kompetenz aufbauen. Sinnvoll ist auch ein „Awareness Programm“, das alle internen und externen Partner – Mitarbeiter, Kunden, Zulieferer, Aktionäre – einbezieht. Dr. Klaus Heihoff, Competence Center Business Continuity und Data Management bei Synstar, Darmstadt

Kontakt:

Synstar Computer Services GmbH
Pallaswiesenstr. 174-182
64293 Darmstadt
Andrea Poth
Marketing u. Kommunikation
Tel.: 06151 – 989 – 111, Fax.: – 112
E-Mail:  apoth@synstar.de

Public Relations

HBI GmbH
Stefan-George-Ring 2, 81929 München
Alexandra Janetzko, Anja Woithe
Tel.: 089 – 993887-32/-27
E-Mail: alexandra_janetzko@hbi.de
E-Mail: anja_woithe@hbi.de

Media Contact

Andrea Poth Synstar Data Management GmbH

Alle Nachrichten aus der Kategorie: CeBIT 2004

Zurück zur Startseite

Kommentare (0)

Schreiben Sie einen Kommentar

Neueste Beiträge

Spitzenforschung in der Bioprozesstechnik

Das IMC Krems University of Applied Sciences (IMC Krems) hat sich im Bereich Bioprocess Engineering (Bioprozess- oder Prozesstechnik) als Institution mit herausragender Expertise im Bereich Fermentationstechnologie etabliert. Unter der Leitung…

Datensammler am Meeresgrund

Neuer Messknoten vor Boknis Eck wurde heute installiert. In der Eckernförder Bucht, knapp zwei Kilometer vor der Küste, befindet sich eine der ältesten marinen Zeitserienstationen weltweit: Boknis Eck. Seit 1957…

Rotorblätter für Mega-Windkraftanlagen optimiert

Ein internationales Forschungsteam an der Fachhochschule (FH) Kiel hat die aerodynamischen Profile von Rotorblättern von Mega-Windkraftanlagen optimiert. Hierfür analysierte das Team den Übergangsbereich von Rotorblättern direkt an der Rotornabe, der…