Das effiziente und geplante Vorgehen bei Problemen, Notfällen und Katastrophen mittels so genanntem Desaster Recovery Planning stand im Mittelpunkt eines Vortrags von Philipp Schaumann von der Bull AG am Mittwoch in Wien. Schon die Überlegung von Strategien und die Realisierung einzelner Teilaspekte könne zu wesentlichen Verbesserungen im Schadensfall führen, meint der Sicherheitsexperte.

Missmanagement über Katastrophen und Sabotage bis hin zu Infrastrukturausfällen

Bedrohungen für Unternehmen haben viele Quellen: von Missmanagement über Katastrophen und Sabotage bis hin zu Infrastrukturausfällen. Für jeden Gefahrenbereich gebe es jedoch passende Schutzmechanismen, die im Zuge der Business Continuity Planung festgelegt werden. Ebenso müssen Verantwortungen für Teilbereiche klar definiert sein, die jeweils in die Kompetenz des Vorstands, des Business Continuity Committees, der EDV-Organisation oder des Facility Managements fallen können.

Keine "Insel der Seligen"

Auch Wien sei dabei keine "Insel der Seligen", wie das Hochwasser vorigen Sommer gezeigt habe. Jedes Unternehmen sollte sich daher die Frage stellen: Wie lange kann ich im Katastrophenfall überleben, welche Pläne gibt es zur Bewältigung? Die Auslöser zur relativ zeitaufwendigen Erstellung eines solchen Plans können vielfältig sein, oftmals brauche es aber leider eine reale Katastrophe, um die Entwicklung in Gang zu bringen, so Schaumann.

Positive Nebeneffekte dieser Planungen sind für eine Sensibilisierung des Managements und der Anwender, erhöhte Risikotransparenz, eine von der IT-Abteilung an zuständige Stellen delegierte Verantwortung und die Festlegung von Prioritäten für geschäftskritische Prozesse sowie ein effizientes Change Management, das beispielsweise Pannen wie jene beim Bank Austria-Creditanstalt Softwareupdate verhindert. Auch erhöhte Datensicherheit durch redundante, dezentrale Systeme und getestete Wiederherstellungsprozesse bringen Vorteile, meint Schaumann.

Betriebliche Gegebenheiten

Welche Ausfallzeiten für ein Unternehmen zum Problem werden, hänge stark von den jeweiligen betrieblichen Gegebenheiten ab. Ein entscheidender Faktor ist die maximale Zeit bis zur Aufnahme des Notbetriebs - liegt diese im Stunden- oder gar Minutenbereich, ist ein Ausweichrechenzentrum unumgänglich. Auch die maximale Dauer des Notbetriebes, die sich aus der für die Wiederherstellung des Rechenzentrums und des Normalbetriebs zusammensetzt, muss geklärt werden. Hier gelte es zu beachten, dass möglicherweise nicht alle Anwendungen und Kapazitäten voll zur Verfügung stehen. Sei ein gewisser Datenverlust von ein paar Stunden erlaubt, werde der Übergang zurück zum Normalbetrieb um ein Vielfaches billiger. Dürfen keine Daten verloren gehen, treibe dies die Kosten allerdings in die Höhe.(APA)