►►IT-Notfallmanagement - wer braucht das und warum?
Wenn Sie in Ihrem Unternehmen oder ihrer Behörde Geschäftsprozesse durch oder unter Beteiligung von IT abwickeln, stellt sich die Frage, ob diese Prozesse in irgendeiner Form zeitkritisch sind.
Darunter fallen z. B. Prozesse, die ihre Ergebnisse regelmäßig zu einem bestimmten Termin „abliefern“ müssen oder eine bestimmte Ausfallzeit (pro Jahr, pro Monat,...) nicht überschreiten dürfen, da sonst ggf. gesetzliche Auflagen oder vertraglich vereinbarte SLAs verletzt werden. Möglicherweise drohen Strafen oder Kompensationszahlungen, sicher aber droht ein Imageverlust.
Oftmals werden Prozesse nur isoliert und nicht im Zusammenhang gesehen, Wiederherstellungs-prozesse werden weder genau analysiert noch ausreichend dokumentiert. Auch Abhängigkeiten, Zuständigkeiten und Priorisierungen sind häufig nicht klar ersichtlich. Bei einem IT-Notfall wie z.B. Serverausfällen oder Ausfall der Kommunikationstechnologien, der Produktionsteuerung o.ä. kann dies zu verheerenden Folgen oder zumindest zu erheblich längeren Ausfällen führen als geplant bzw. berücksichtigt.
Überprüfen Sie deshalb ihre Prozesse und Anwendungen und validieren Sie, welche zeitlichen Rahmenbedingungen hier jeweils bestehen. Wie hoch wäre der Verlust einzuschätzen, wenn Ergebnisse nicht pünktlich zum Termin vorhanden sind oder maximal zulässige Ausfallzeiten überschritten werden? Wie schaukeln sich die Verluste in Abhängigkeit von der Zeit auf, wenn diese unangenehme Situation nicht sofort behebbar ist ? Was kann man präventiv leisten, um solche Vorfälle zu vermeiden? Was ist zu tun, wenn der Vorfall eingetreten ist?
Genau solche Fragen stellt man sich im Rahmen des Business Continuity Managements zur Gewährleistung der Kontinuität des Geschäftsbetriebes. Natürlich ist das Ziel, möglich schnell wieder in die Normalsituation der Geschäftstätigkeiten zurückzukehren – indem man die Fehlersituation behebt, Wiederanläufe durchführt oder Ersatz in Betrieb nimmt. Hier kommen Modelle wie „Spare Parts on Site“, Cold Standby, Warm Standby und Hot Standby ins Spiel – welche mehr oder weniger kostenträchtig sind. Man muss also eine Abwägung zwischen Aufwand und Kosten einerseits und möglichen Verlusten andererseits treffen – und das immer bezogen auf die Dauer eines Ausfalls bzw. der benötigten Zeit für den Wiederanlauf.
Eine solche Abwägung wird in der Business Impact Analysis durchgeführt. Mit diesen Ergebnissen werden Redundanzmodelle durchgerechnet, Wiederanlaufplanungen durchgespielt oder auch mal Anwendungen anders strukturiert oder im Extremfall eingestellt.
Dort wo sehr hohe und höchste Schäden drohen („Notfälle“), richtet man aufbauend auf einem umfassenden Incident Management ein Notfallmanagement ein, welches die reaktive Seite bei einem eingetretenen Notfall abdeckt. Hierzu gehören zumindest ein Notfallkonzept und Notfallhandbücher, sowie kompetente Notfall-Teams und ein realistisches, aktuelles Notfalltraining, welches die Planungen auf ihre Wirksamkeit in der Praxis überprüft und dem in Notfall einzusetzenden Personal die entsprechende Routine vermittelt.
Präzise Notfallplanungen auf Basis gängiger Normen wie ISO oder BSI Richtlinien sind daher unumgänglich. Nicht zuletzt Wirtschaftsprüfer legen Wert auf aktuelle – den Kriterien der Revision entsprechende – Notfallhandbücher.
Ein solches Notfallmanagement aufzubauen, ist ganz schön komplex. Zur professionellen Herangehensweise an dieses Problem benötigt man einen roten Faden, unterstützende Beispiele – und sollte von Erfahrungen anderer lernen.
Nicht zuletzt gibt es zu diesem Problemkreis Bücher (z. B. IT-Notfallmanagement mit System) sowie Seminare einschlägiger Veranstalter (z. B. IT-Notfallplanung).