Jedes zweite Unternehmen musste in der Vergangenheit bereits auf firmeninterne Disaster-Recovery-Pläne zurückgreifen. Dabei werden vorhandene Pläne in den meisten Unternehmen zu selten getestet - und mehr als die Hälfte dieser Pläne versagt bei umfassenden Tests. Das ist das Ergebnis einer weltweiten Studie von Symantec zum Umgang mit Disaster-Recovery-Plänen in Unternehmen. Die befragten Unternehmen gaben allerdings an, dass sie sich der Bedeutung der Disaster-Recovery-Planung bewusst sind. Die Risiken eines fehlenden Disaster-Recovery-Plans für den störungsfreien Geschäftsbetrieb sind bekannt.
Existierende Notfallpläne werden in Unternehmen viel zu selten auf den Prüfstand gestellt. Dabei ergab die aktuelle Studie, dass in 48 Prozent der befragten Unternehmen die vorhandenen Pläne bereits zum Einsatz gekommen sind. Noch schwerer trifft eine Katastrophe allerdings Unternehmen ohne verfügbaren Notfallplan. 44 Prozent dieser Unternehmen waren schon einmal mit kritischen Vorfällen konfrontiert, bei 26 Prozent der Unternehmen waren es sogar zwei oder mehr und bei elf Prozent drei oder mehr Vorfälle.
Dabei können Unterbrechungen bei Anwendungen und Services für ein Unternehmen äußerst kostspielige Konsequenzen haben. Den in der Symantec-Studie befragten Führungskräften war das durchaus bewusst: 69 Prozent der Befragten äußerten ihre Besorgnis über eine mögliche Marken- oder Rufschädigung für das Unternehmen, 65 Prozent fürchteten negative Auswirkungen auf die allgemeine Kundentreue, 65 Prozent machten sich Sorgen um die eigene Wettbewerbsposition und 64 Prozent hatten Angst vor dem Verlust von Unternehmensdaten.
Mängel bei Planung und Testverfahren
Die Mehrzahl der Befragten erklärte, dass die vorhandenen Disaster-Recovery-Pläne im Unternehmen geprüft werden; gleichzeitig gaben jedoch 48 Prozent der befragten IT-Fachleute an, dass ihre Tests aufgrund von Problemen mit Technologien, Personen oder Prozessen fehlschlugen.
Als häufigste Ursache für gescheiterte Tests wurde angeführt, dass die implementierten Technologien nicht die erwarteten Ergebnisse lieferten. Die Umfrageergebnisse zeigen eindeutig, dass selbst bei erfolgreich verlaufenen Tests die Testverfahren für Disaster-Recovery-Pläne selbst sowie die Wahrscheinlichkeits- und Auswirkungsanalysen nicht umfassend genug sind. Während 88 Prozent der Unternehmen eine Wahrscheinlichkeits- und Auswirkungsanalyse für mindestens eine Bedrohung durchgeführt haben, ist dies nur bei 40 Prozent für sämtliche Bedrohungen der Fall.
Bei zwölf Prozent der Unternehmen erfolgte überhaupt keine Wahrscheinlichkeits- und Auswirkungsanalyse für irgendeine Bedrohung. Am seltensten analysiert wurde der Bedrohungsbereich Konfigurationsänderungsmanagement:
Nur bei 42 Prozent der Befragten, die in diesem Bereich eine Bedrohung wahrnahmen, wurden auch entsprechende Wahrscheinlichkeits- und Auswirkungsanalysen durchgeführt.
Deutsche sorgen sich um Reputation und Computersysteme
Naturkatastrophen (69 Prozent), Virenangriffe (57 Prozent) und Krieg oder Terrorismus (31 Prozent) waren weltweit die Hauptsorgen, die Unternehmen dazu bewegten, Disaster-Recovery-Pläne zu entwerfen. Den Unternehmen in Deutschland erscheinen Ausfälle der Computersysteme allerdings noch deutlich bedrohlicher: 79 Prozent der Befragten gaben an, sich von dieser Gefahr erheblich bedroht zu fühlen. Besonders schlecht vorbereitet sind deutsche Unternehmen auf Schäden durch eine Feuerkatastrophe – sie benötigen für die Wiederherstellung nach einem schwerwiegenden Schaden durch Feuer überdurchschnittlich lange.
Die größten Gefahren, gegen die ein Disaster-Recovery-Plan schützen soll, sind in Deutschland: Schäden an der Reputation (83 Prozent), Nachteile im Wettbewerb (75 Prozent), die Beziehung zu Lieferanten (74 Prozent) und Vertrauensverlust bei Kunden (54 Prozent). Auf der anderen Seite sorgt sich aber nur jedes dritte Unternehmen um die Leistungsfähigkeit seiner Lieferanten im Katastrophenfall – die meisten setzen entsprechende Pläne einfach voraus.
Disaster-Recovery- und Business-Continuity-Strategien sind geschäftskritisch
Um die Kontinuität des Geschäftsbetriebs sicherzustellen, sollten Unternehmen Disaster-Recovery-Strategien entwickeln, die eine Anwendungs- und Datenverfügbarkeit über alle Plattformen und Entfernungen hinweg gewährleisten.
"IT-Fachleute werfen vermehrt einen erneuten Blick auf ihre Disaster-Recovery- und Business-Continuity-Strategien", erklärt Frank Bunn, Senior Solutions Marketing Manager bei Symantec. "Um sich vor Ausfallzeiten zu schützen, müssen die Unternehmen Hochverfügbarkeits- und Disaster-Recovery-Lösungen in ihrer gesamten Unternehmensumgebung implementieren. Außerdem müssen sie geeignete Routinen für Disaster-Recovery-Tests einführen und pflegen, mit deren Hilfe sich die Effektivität ihrer Disaster-Recovery-Strategie jederzeit und ohne Auswirkungen auf die Produktionsumgebung bewerten lässt."
Der Symantec-Bericht Disaster Recovery Research 2007 enthält qualitative und quantitative Untersuchungsergebnisse – zusammengetragen mit Hilfe von IT-Managern in Großunternehmen aus den Vereinigten Staaten sowie elf europäischen Ländern, dem Nahen Osten und Südafrika. Ziel dieser im Juni und Juli 2007 durchgeführten Studie war es, einen tieferen Einblick sowie ein besseres Verständnis im Hinblick auf einige der komplexeren Probleme und Fragen zum Thema "Disaster Recovery" zu erzielen. (mha)