Komplexe Überwachung
Was in einen Business-Continuity-Plan gehört
Deutschland ist einer der Pioniere in Sachen erneuerbare Energien. So sind beispielsweise Photovoltaik-Anlagen mittlerweile ein wichtiger Bestandteil unserer Stromerzeugung - und dabei steigt die Verbreitung, auch in Privathaushalten und bei Unternehmen, stetig. Dies führte im Zuge der vor kurzem stattgefundenen partiellen Sonnenfinsternis dazu, dass viele Energieversorger vor Stromknappheit und sogar Stromausfällen gewarnt hatten.
Schwankungen bei der Stromversorgung stellen jedoch nicht nur während solch seltener - jedoch gut planbarer - Ereignisse eine Bedrohung für die ununterbrochene Fortführung des Betriebs (die Business Continuity) dar. Denn die fortlaufende Neustrukturierung des Stromnetzes im Rahmen der Energiewende kann jederzeit zu Spannungsspitzen und unvorhersehbaren Stromausfällen führen.
Und da der reibungslose Betrieb der IT-Infrastruktur mittlerweile für nahezu jedes Unternehmen essenziell für die Business Continuity ist, stehen die Verantwortlichen vor der Herausforderung, genau diesen zu garantieren - nicht nur in Bezug auf die Stromversorgung.
Ausfälle der IT können dabei nicht nur zu Umsatzeinbußen und Datenverlust führen, sie können auch den Ruf eines Unternehmens empfindlich beschädigen. Daher müssen IT-Abteilungen stets alle kritischen Komponenten ihrer IT-Infrastruktur im Blick haben.
Es wäre ein großer Fehler anzunehmen, dass ein bestehender Plan für Disaster Recovery (DR) und Business Continuity (BC) schon ausreichte. Dies gilt besonders in den Fällen, in denen dieser Plan schon seit mehreren Jahren besteht und noch nie getestet wurde.
Recovery Point Objective und Recovery Time Objective festlegen
Bei der Erstellung eines Business-Continuity-Plans müssen zwei wichtige Elemente festgelegt werden: ein RPO (Recovery Point Objective, maximaler Datenverlust) und eine RTO (Recovery Time Objective, Wiederanlaufdauer).
RPO - Das maximale Datenvolumen
Der RPO ist das maximale Datenvolumen, das zu verlieren sich ein Unternehmen leisten kann. Er steht also für den Zeitpunkt, bis zu dem die vorhandenen Datensicherungen reichen. Beispielsweise muss ein Unternehmen mit einem RPO von weniger als vier Stunden alle vier Stunden eine Momentaufnahme vom Datenbestand machen. Banken dagegen verantworten Finanztransaktionen und müssen daher einen RPO von praktisch null sicherstellen (Wiederherstellungszeitraum bis zur letzten Transaktion). Dies erfordert eine kontinuierliche Datenreplikation.
Beim Festlegen des RPO gilt es, einige wichtige Punkte zu beachten, um spätere Probleme zu verhindern. Zunächst einmal muss der verkraftbare Datenverlust mit der Unternehmensleitung abgestimmt werden. Dann sind Datensicherungspläne zu analysieren und die Verantwortlichen müssen ermitteln, wie die Wiederherstellung im Ernstfall beschleunigt werden kann - am besten unterteilt in Muss- und Kann-Maßnahmen. Außerdem müssen sie entschieden, ob der Datenverlust beim aktuellen RPO zu umfangreich ist, das heißt, ob die Sicherungshäufigkeit erhöht werden muss.