Business Continuity: Lebensversicherung für Unternehmen

04.07.2007 von Armin Stephan

Eine 100-prozentige Sicherheit gegen Ausfälle kann es nicht geben. Doch das Restrisiko wird kalkulierbar, wenn integrative Sicherheitskonzepte zum Zug kommen. Diese führen die Informationen aus den einzelnen Sicherheits-Tools zusammen, die dann wie in einem Cockpit überwacht und gesteuert werden. Heterogene Daten aus IT-Punktlösungen lassen sich vereinheitlichen und vereinfachen sowie in ein Business-orientiertes Risiko-Managementsystem weiterleiten.

„Business Continuity“ ist für Unternehmer und Geschäftsführer der eigentliche Zweck ihres Handelns: Das Unternehmen soll ohne Unterbrechung funktionieren, denn Ausfallzeiten kann sich heute niemand leisten. Dennoch gibt es sie: Hochwasser, Anschläge, Feuer oder ein Zusammenbruch der Stromversorgung sind spektakuläre Ursachen für einen Ausfall unternehmenskritischer Systeme.

Eher zum alltäglichen Risiko der Unternehmenstätigkeit zählen Attacken auf die IT-Systeme oder Abstürze von Rechnern und Netzwerken. IT-Technologie ist heute allerorts zu finden: beim Außendienst-Mitarbeiter, in der Produktionsanlage, in der Vertriebs-Abteilung. Im Zeitalter des E-Business und der Vernetzung von Abteilungen, Firmentöchtern und Kunden geht es heute um viel mehr als „nur“ um ausfallsichere Rechenzentren. Diese Gesamtheit im Blick zu haben und zu steuern – das ist Business Continuity. Oder anders gesagt: Es geht um eine „Ausfalls-Sicherheitspolice“ für das gesamte Unternehmen.

Die Auseinandersetzung mit Business Continuity ist genauso bedeutsam und wichtig wie die Beobachtung der Umsatzentwicklung. Unternehmen sollten davon ausgehen, dass 60 Prozent der Firmen, die einen Ausfall (Worst Case –Szenario) erleben und keine Notfallplanung haben, ihre Geschäftstätigkeit aufgeben müssen. Somit ist klar, dass jedes Unternehmen eine tragfähige Risikoeinschätzung mit daraus abzuleitenden Maßnahmen braucht. Die Umsatzgröße allein ist dabei kein hilfreiches Kriterium, sondern die Beantwortung der Frage: Wie viel Verlust an Geld oder Image kann sich das jeweilige Unternehmen leisten?

Kritische Prozesse erfassen und bewerten...

Um Kernprozesse wie Rechnungslegung und -prüfung oder zeitkritische Auslieferung von Waren in Krisen aufrechterhalten zu können, müssen Unternehmen zunächst alle kritischen Prozesse identifizieren und die damit verbundenen Risiken bewerten. Zu beantworten sind hier Fragen nach den Auswirkungen eines Ausfalls und nach der Eintrittswahrscheinlichkeit eines Risikos. Zudem gilt es, auch die Abhängigkeiten dieser Geschäftsaktivitäten von der IT zu bewerten und die Risiken sowie Schwachstellen im Unternehmen zu identifizieren.

Grundsätzlich gilt: Dort wo Unternehmen ihr Geld verdienen, können sie auch Geld verlieren. Zu den kritischen Kernprozessen zählen bei den Banken beispielsweise die Transaktionssteuerung, in der Chemiebranche die Forschungsdaten oder in der Automobilindustrie die Zulieferung und Produktion.

Es empfiehlt sich, eine Risikobewertung aufgrund etablierter Methoden vorzunehmen, die ein strukturiertes Arbeiten ermöglichen. Eine solche Methode ist CoBIT (Control Objectives for Information and Related Technology). Dabei handelt es sich um ein international anerkanntes Framework zur IT-Governance, das 1993 vom internationalen Verband der Wirtschaftsprüfer ISACA entwickelt wurde. Das Regelwerk legt auch wesentliche Messgrößen für die Control Objectives fest, die die Basis für eine Risiko-Einschätzung bilden.

Parameter bei der Risikoanalyse

Folgende Parameter können bei der Risikoanalyse eine Rolle spielen:

Vorfallshäufigkeit (wie häufig tritt ein Vorfall ein),
Impact (wie schwer wirkt sich ein Vorfall aus),
Bedeutsamkeit des betroffenen Geschäftsprozesses (wie kritisch ist der Vorfall für das Geschäft eines Unternehmens),
Abhängigkeitsgrad der Prozesse (welche Wirkung hat eine Funktionsstörung in einem Prozess auf andere Prozesse),
Grad der Schwachstellenbeseitigung,
Analyse der Bedrohungssituation.

Darüber hinaus geben Regularien und gesetzliche Verordnungen Empfehlungen und Vorgaben, was zu tun ist, um bestimmte operationelle Risiken, die Eintrittswahrscheinlichkeit oder die Auswirkungen zu minimieren.

...auch mit IT-Unterstützung

Das Erfassen und Bewerten der Risiken kann IT-gestützt mit Business-orientierten Risiko-Management-Applikationen geschehen, ebenso wie die Entscheidung für notwendige Maßnahmen, um die erkannten Risiken zu verringern. Zudem korrelieren sie die Risiken und verbinden sie mit bestimmten Geschäftsprozessen oder auch Geschäftseinheiten innerhalb des Unternehmens.

Der Einsatz solcher Systeme gestaltet die Risiko-Analyse und -Bewertung effizienter und erlaubt eine kontrollierte Steuerung der Maßnahmen. Darüber hinaus bieten sie Mechanismen für einen Audit-Trail und beantworten beispielsweise Fragen wie

wer hat wann welche Risiken identifiziert,
wie sind diese Risiken bewertet worden,
wie ist diese Bewertung vielleicht verändert worden,
welche Maßnahmen wurden eingeleitet,
in welchem Zustand befindet sich das System momentan.

Im nächsten Schritt geht es darum, die erfassten Risiken mit dem tatsächlichen Ist-Zustand permanent abzugleichen, also Fragen zu beantworten wie

haben sich risikorelevante Elemente verändert,
ist eine Bedrohungslage eingetreten,
hat sich die Bedrohungslage gebessert oder verschlechtert.

IT-Infrastrukturmanagement liefert Daten

Um die tatsächliche Bedrohungslage ständig im Blick zu haben, benötigen Administratoren kontinuierlich Informationen aus den bereits vorhandenen Lösungen für das IT-Infrastrukturmanagement. Das sind vor allem Informationen aus

Asset-Management,
Performance- und Verfügbarkeitsmanagement,
Backup- und Archivierung,
Identity und Access-Management.

Überwacht: Kontrollierter Zugriff auf wichtige Unternehmensressourcen.

Das Asset-Management liefert notwendige Basisinformationen über installierte Komponenten. Storage-Lösungen gewährleisten, dass Daten regelmäßig gesichert und Speicherressourcen optimal und kostensparend eingesetzt werden. Überlastungsprobleme im IT-Rückgrat erkennen intelligente Systemmanagementlösungen bereits im Vorfeld und beseitigen sie, bevor sie Schaden anrichten. Es ist sogar möglich, die Systemmanagementlösung mit der Haustechnikanlage zu verknüpfen. Dann meldet sich das Managementsystem in dem Moment per Handy beim Techniker oder IT-Verantwortlichen, wenn es beispielsweise ungewöhnliche Erwärmungen oder Feuchtigkeitsgrade in Gebäuden registriert.

Identitäten im Fokus

Gerade bei Angriffen aus dem Internet oder aus dem Unternehmen selbst greift Business Continuity auch auf Technologien zu, die Identitäten verwalten und Zugriffe kontrollieren und protokollieren. Das Identity- und Access-Management liefert hierzu Informationen, welche Zugriffe wann, von wem und in welchem Umfang im Unternehmen auf kritische Informationen getätigt wurden und welche Regelverletzungen dabei gegebenenfalls stattgefunden haben.

Professionelles Identitäts- und Zugriffsmanagement schützt auch vor Missbrauch so genannter vergessener Nutzerkonten.

Wird zum Beispiel der Server-Betrieb an einen externen Provider delegiert, stellt sich umgehend die Frage, wie die Daten weiterhin geschützt sind. Erhält der Provider weit reichende Zugriffsmöglichkeiten, um Wartungen durchzuführen, erhöht sich zugleich das Sicherheitsrisiko. Hier prüft Access Control, ob weiterhin ausschließlich der Nutzer auf die Daten zugreifen kann, während der Provider lediglich Wartungsarbeiten durchführen und neue Software aufspielen darf.

Professionelles Identitäts- und Zugriffsmanagement schützt auch vor Missbrauch so genannter vergessener Nutzerkonten. Diese „Ghost-Accounts“ kommen häufiger vor, vor allem wenn Mitarbeiter im Lauf der Jahre von einer Abteilung zur anderen wechseln und dabei immer neue Zugriffsrechte erhalten oder ihre Nutzerkonten bei Verlassen des Unternehmens nicht automatisch gelöscht werden. Mit Identity Management lässt sich jede Art von Identität über eigene Workflows automatisch anlegen, ändern und löschen. „Geisterkonten“ sind damit passé.

Command Center ergänzt Punktlösungen

Die Vielzahl der eingesetzten Sicherheits- und Infrastruktur-Lösungen lässt sich jedoch kaum von einem Administrator überblicken. Abhilfe schafft eine zentrale Managementkonsole, ein „Command Center“. Hier laufen die Informationen aus den verschiedenen Tools zusammen und können wie in einem Cockpit überwacht und gesteuert werden. Das Portal hat den Vorteil, dass alle heterogenen Daten korreliert, gefiltert und damit priorisiert werden können. Das zentrale Management von Ereignissen ist in Echtzeit möglich.

Unübersichtlich: Innerhalb der IT bestehen komplexe Abhängigkeiten, die es erheblich erschweren, einen Überblick zu behalten.

Ohne Vereinheitlichung und Vereinfachung der Daten im Command Center besteht die Gefahr, dass die wirklich wichtigen Informationen untergehen. Ein Beispiel: Pro Tag verzeichnet ein großer Anwender 65000 Events aus Unix-System-Logs, 1 Million Events aus Windows SysLogs, 1,1 Millionen aus IDS und Access Logs, 800000 Events aus den Firewalls und 12000 aus der Antivirus-Lösung – macht summa summarum über 3 Millionen Events täglich. Diese Zahl lässt sich in einem ersten Schritt auf 15.000 Events korrelieren. Davon beruhen dann 24 auf echten Sicherheitsverletzungen, aber lediglich acht Events erfordern Maßnahmen vom Administrator.

Punktlösungen für die Risikobewertung sind hilfreich, aber reichen allein nicht aus, um aus der Datenflut einen Informationsfluss herauszufiltern. Erst integrative Konzepte machen Risiken beherrschbarer und können aus der Flut an Daten korrelierte Entscheidungsgrundlagen und Handlungsempfehlungen ableiten.

Für die Verwaltung eines einzelnen Werkzeuges wird man auch künftig eine eigene Konsole benötigen. Ein Command Center will die einzelnen Konsolen also nicht ablösen, aber die für das Monitoring relevanten Informationen an einer Stelle zusammenführen und nach oben filtern.

Business-Perspektive des Command Centers

Während das Command Center auf einer technischen Ebene Daten zu Informationen korreliert, damit sich Administratoren auf die relevanten und kritischen Ereignisse fokussieren können, lassen sich diese Informationen in das bereits erwähnte Business-orientierte Risiko-Management-System weiterleiten. Dieses stellt nochmals die Relevanz für die geschäftlichen Prozesse dar und macht sie bewert- und steuerbar.

Solche Systeme können technische Informationen nach ihrem Risikopotenzial priorisieren und gemeldete Ereignisse nahezu in Echtzeit mit dem jeweiligen Ist-Zustand (der tatsächlichen Bedrohungslage) und nicht nur mit dem angenommenen Risiko abgleichen. Sie sind quasi die Business-Perspektive des Command Centers.

Sie bieten vordefinierte Formulare, um Risiken zu erfassen, zu bewerten und zu korrelieren sowie entsprechende Reports zu erstellen. Möglich sind dann beispielsweise Aussagen wie: „Im Internet ist seit vier Minuten ein Wurm unterwegs, der die 34 SQL-Server im Unternehmen bedroht. Sollte Server XY befallen werden, kann Abteilung AB nicht auf ihre Konstruktionsdaten zugreifen. Die Wiederherstellung würde vier Stunden dauern. Entsprechend würde sich die Konstruktion verzögern und mit den nachgelagerten Folgen dem Unternehmen rund XXXX Euro Kosten entstehen.“

Solche Systeme erkennen auch Überlappungen, die bei der Befolgung gesetzlicher Vorgaben entstehen können. Oft gibt es bei Compliance-Vorgaben Überschneidungen. Unternehmen, die beispielsweise SOX-compliant arbeiten, brauchen bei der kommenden 8. EU-Datenschutzrichtlinie (oft als „Euro-SOX“ beschrieben) nicht das Rad neu zu erfinden und vermeiden Doppelarbeiten.

Viele Unternehmen wissen oft nicht, was sie schon beim Thema Compliance bearbeitet haben, weil die Anforderungen beispielsweise unterschiedliche Abteilungen betreffen. Hier hilft ihnen das Business-orientierte Risiko-Management-System, indem es Überlappungen erkennt und die bereits abgearbeiteten Anforderungen mit entsprechenden Belegen in einem Report darstellen kann. (mha)

Der Autor Armin Stephan ist Security Spezialist bei der CA Deutschland GmbH in Darmstadt.