Schutz für den IT-Notfall

Welche Notfallarchitektur wo sinnvoll ist

IT-Ausfälle können den Geschäftsbetrieb lahmlegen und dauerhafte Schäden verursachen. Weil viele Entscheider hohe Kosten für Notfallinfrastrukturen fürchten, bleibt es oft bei minimalen Vorkehrungen. Dabei lässt sich für jedes Unternehmen und jedes Risiko das passende Notfallkonzept finden - auch bei geringen Budgets.

Je stärker Geschäftsprozesse in Unternehmen von der IT abhängen, desto wichtiger wird auch eine Vorbereitung gegen mögliche Störungen und Ausfälle. Denn steht erst einmal die IT, drohen massive Geschäftsunterbrechungen, Produktionsausfälle und in der Folge auch Reputationsschäden.

Einer Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zufolge gehen insbesondere mittelständische Unternehmen nachlässig mit diesem Risiko um. Demnach befasst sich derzeit nur knapp die Hälfte der mit dem Notfallmanagement. Dabei scheint es sich keinesfalls um reine Ignoranz vor realen Szenarien zu handeln, sondern hier drückt sich die Angst vieler Entscheider vor enormen Investitionen in redundante Rechenzentrumskapazitäten aus, wie Udo Böhm, Senior Consultant bei der SHD System-Haus-Dresden GmbH, erläutert: "Viele Unternehmen befürchten enorme Kosten bei einer Notfallinfrastruktur und weichen dann lieber auf simple Backup-Verfahren aus. Dabei übersehen sie, dass man mit Backups den Betriebszustand keinesfalls schnell wiederherstellen kann und sich im schlimmsten Fall mehrere Wochen IT-Ausfälle einhandelt."

Dass Rechenzentren komplex und teuer sind, ist unbestritten, und daher lautet die zentrale Frage beim Thema Notfallschutz: Welchen Aufwand muss ein Unternehmen betreiben, um eine Lösung zu erhalten, bei der die Ausfallsicherheit in einem angemessenen Verhältnis zum potenziellen wirtschaftlichen Schaden steht? Bei der Suche nach einer entsprechenden Lösung sollte der Grundsatz gelten, dass ein optimaler Notfallschutz das Schadensrisiko unternehmerisch ausreichend abdeckt - zu angemessenen Kosten für die Notfallvorsorge.

Was umfasst ein vollständiger IT-Notfallschutz?

Wie IT-Notfallschutz rein formal aufgebaut sein sollte, beschreiben das Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder das Notfall-Management-System nach BSI Standard 100-4. Darin werden Verfahren und Regeln sowie die erforderlichen IT-Ressourcen für den IT-Wiederanlauf nach einem Notfall skizziert. Zu diesen Ressourcen zählen beim vollständigen IT-Notfallschutz insbesondere ein RZ-Failover-Standort mit einer geeigneten Anbindung für den Regel- und Notfallbetrieb, Spiegel- oder Replikationsprozesse für Daten und Anwendungen sowie Stand-by-Ressourcen wie Server, Storage, Netzwerke und IT-Personal.

Primäres Ziel nach einem Notfall ist es, die Zugriffsfähigkeit von Nutzern und gegebenenfalls Produktionsanlagen auf IT-Services und Daten im Notfall- Rechenzentrum innerhalb einer vorgegebenen RZ-Wiederanlaufzeit zu ermöglichen.