Geht es um Kri­mi­na­li­tät im Internet, denken Un­ter­neh­mer in erster Linie an Wirt­schafts­spio­na­ge, die Ent­wen­dung sensibler Ge­schäfts­da­ten und eine damit ein­her­ge­hen­de Da­ten­schutz­ver­let­zung. Doch durch die zu­neh­men­de Di­gi­ta­li­sie­rung haben Angriffe aus dem Netz ein neues Ausmaß erreicht. Immer mehr Ge­schäfts­be­rei­che stützen sich auf IT-Systeme. Diese binden Un­ter­neh­men zunehmend an öf­fent­li­che Netze an und bieten Hackern somit eine An­griffs­flä­che. Hat ein Cy­ber­an­griff einen Sys­tem­aus­fall zur Folge, kommt es zu kost­spie­li­gen Un­ter­bre­chun­gen des Betriebs. Innerhalb weniger Minuten kann ein Ser­ver­aus­fall einen Schaden von mehreren Tausend Euro ver­ur­sa­chen. Besonders große Verluste drohen Un­ter­neh­men, wenn der Server bei­spiels­wei­se eine Shop-Software hostet oder zentrale Da­ten­ban­ken be­reit­stellt. Doch Ser­ver­aus­fäl­le haben nicht aus­schließ­lich externe Ursachen. Auch interne Ri­si­ko­quel­len bedrohen den rei­bungs­lo­sen Be­triebs­ab­lauf.

Neben der Abwehr äußerer Be­dro­hun­gen und Stan­dard­pro­ze­du­ren im Rahmen der Disaster-Recovery umfasst ein solides Si­cher­heits­kon­zept daher or­ga­ni­sa­to­ri­sche und per­so­nel­le Maßnahmen. Ge­gen­maß­nah­men setzen in der Regel auf Kom­pen­sa­ti­on: Technisch basiert diese darauf, red­un­dan­te Hardware im Rahmen der Hoch­ver­füg­bar­keit be­reit­zu­stel­len oder Aus­fall­zei­ten durch Stand-by-Systeme zu über­brü­cken. Da­ten­si­cher­heit stellen Ad­mi­nis­tra­to­ren durch Back-up- und Recovery-Software sowie durch red­un­dan­te Spei­cher­ar­chi­tek­tu­ren sicher. Die fi­nan­zi­el­len Folgen eines Ser­ver­aus­falls lassen sich durch Ver­si­che­run­gen auffangen.

Cloud Backup powered by Acronis
Mi­ni­mie­ren Sie Aus­fall­zei­ten mit unserem Kom­plett­schutz
  • Au­to­ma­tisch: Backups und Recovery
  • Intuitiv: Planung und Ma­nage­ment
  • In­tel­li­gent: KI-basierter Be­dro­hungs­schutz
  • Inkl. 300,- € Start­gut­ha­ben im 1. Monat

Aus­fall­sze­na­ri­en im Überblick

Bei Ge­fah­ren­quel­len für einen Ser­ver­aus­fall un­ter­schei­den Si­cher­heits­exper­ten zwischen internen und externen Be­dro­hun­gen. Interne Be­dro­hun­gen umfassen alle Szenarien, bei denen Ausfälle durch die eigene IT-In­fra­struk­tur, Ver­sor­gungs­ein­rich­tun­gen oder das Fehl­ver­hal­ten von Mit­ar­bei­tern ver­ur­sacht werden. Bei externen Be­dro­hun­gen hingegen handelt es sich um mut­wil­li­ge Angriffe von außen oder un­vor­her­seh­ba­re Er­eig­nis­se wie Unfälle und Ka­ta­stro­phen.

Interne Ge­fah­ren­quel­len:

  • Strom­aus­fall im Re­chen­zen­trum
  • Hardware-Ausfall (Fest­plat­ten-Crash, Über­las­tung, Über­hit­zung)
  • Soft­ware­feh­ler (Da­ten­ban­ken­aus­fall)
  • Netz­werk­pro­ble­me
  • Mensch­li­ches Versagen

Externe Ge­fah­ren­quel­len:

  • Sabotage (Angriffe auf SCADA-Systeme)
  • Viren, Trojaner und Würmer
  • Dis­tri­bu­ted-Denial-of-Service-Angriff (DDoS)
  • Diebstahl der Hardware
  • Höhere Gewalt (Erdbeben, Blitz­schlag, Über­schwem­mung)
  • Unfälle (Flug­zeug­ab­sturz)
  • Anschläge

In der Regel fällt es Un­ter­neh­men leichter, sich auf interne Si­cher­heits­ri­si­ken vor­zu­be­rei­ten, als auf Be­dro­hun­gen von außen. Grund dafür ist, dass Hacker ihre An­griffs­mus­ter stets an aktuelle Si­cher­heits­stan­dards anpassen und Fir­men­net­ze kon­ti­nu­ier­lich mit neuen Schad­pro­gram­men oder In­fil­tra­ti­ons­stra­te­gien kon­fron­tie­ren. Internen Ge­fah­ren­quel­len hingegen beugen viele Un­ter­neh­men hingegen durch eine un­ter­bre­chungs­freie Strom­ver­sor­gung, Brand­schutz­vor­keh­run­gen, hoch­ver­füg­ba­re Server und um­fas­sen­de Si­cher­heits­schu­lun­gen nach­hal­tig vor.

Folgen eines Sys­tem­aus­falls

Ein Ser­ver­aus­fall ver­ur­sacht fi­nan­zi­el­le Schäden. Das ist den meisten Un­ter­neh­mern klar. Welche Kosten pro Aus­fall­stun­de konkret entstehen, zeigt eine Studie von Tech­con­sult aus dem Jahr 2013. Im Auftrag von HP Deutsch­land un­ter­such­te das Markt­for­schungs­un­ter­neh­men deutsch­land­weit 300 mit­tel­stän­di­sche Un­ter­neh­men mit 200 bis 4.999 Mit­ar­bei­tern. Rund 77 Prozent der befragten Mit­tel­stän­der ver­zeich­ne­ten im Vorjahr der Studie Ausfälle ge­schäfts­kri­ti­scher IT-Systeme. Betroffen waren unter anderem Wa­ren­wirt­schaft, Fertigung und Vertrieb. Im Durch­schnitt kam es im Un­ter­su­chungs­zeit­raum zu vier Ausfällen pro Un­ter­neh­men. Die durch­schnitt­li­che Zeit für Aus­fall­be­he­bung und Daten-Wie­der­her­stel­lung betrug 3,8 Stunden.

Welche Kosten pro Aus­fall­stun­de ent­stan­den, variiert je nach Un­ter­neh­mens­grö­ße. Während Un­ter­neh­men mit weniger als 500 Mit­ar­bei­tern Schäden von rund 20.000 Euro pro Stunde ver­zeich­ne­ten, betrugen die Kosten pro Aus­fall­stun­de bei Un­ter­neh­men mit mehr als 1000 Mit­ar­bei­tern rund 40.000 Euro. Im Durch­schnitt schlägt ein Ausfall von IT-Systemen bei Mit­tel­ständ­lern mit rund 25.000 Euro pro Aus­fall­stun­de zu Buche. Rechnet man die Zeit für die Aus­fall­be­he­bung und Da­ten­wie­der­her­stel­lung mit ein, gehen dem deutschen Mit­tel­stand pro Un­ter­neh­men jährlich 380.000 Euro durch Ser­ver­aus­fäl­le verloren.

Ob und in welchem Umfang es in einem Un­ter­neh­men durch einen Ser­ver­aus­fall zur Be­triebs­un­ter­bre­chung kommt, hängt jedoch stark mit der je­wei­li­gen Branche und dem Ge­schäfts­mo­dell zusammen. Prin­zi­pi­ell ist es Mit­ar­bei­tern durchaus möglich, auf al­ter­na­ti­ve Tä­tig­kei­ten aus­zu­wei­chen, indem sie bei­spiels­wei­se Meetings ein­be­ru­fen, Te­le­fo­na­te führen oder Kun­den­ter­mi­ne vor­ver­le­gen. Doch wenn zentrale Prozesse nicht nur IT-gestützt, sondern komplett von IT-gesteuert werden, ist eine Downtime besonders ein­schnei­dend. Teuer wird es bei­spiels­wei­se, wenn ein On­line­shop offline ist und Kunden keine Be­stel­lun­gen mehr aufgeben können oder ein Ausfall des SCADA-Systems die Pro­duk­ti­on lahmlegt.

Die Kos­ten­kal­ku­la­ti­on einer Be­triebs­un­ter­bre­chung sollte neben dem Stun­den­satz von Mit­ar­bei­tern, die zur Un­tä­tig­keit gezwungen sind, in jedem Fall auch Verluste durch aus­blei­ben­de Kun­den­auf­trä­ge oder Be­stel­lun­gen sowie mögliche Ver­tragstra­fen durch Lie­fe­rungs­ver­zug be­rück­sich­ti­gen. Hinzu kommt der nur schwer zu quan­ti­fi­zie­ren­de Schaden des Image­ver­lusts durch ver­är­ger­te Kunden.

Ge­gen­maß­nah­men

Um Ser­ver­aus­fäl­len ent­ge­gen­zu­wir­ken, gilt es, reellen Risiken durch Prä­ven­ti­ons­maß­nah­men vor­zu­beu­gen. Diese beziehen sich in der Regel auf eine Reihe in­fra­struk­tu­rel­ler und or­ga­ni­sa­to­ri­scher Maßnahmen bei der Auswahl und Ge­stal­tung des Ser­ver­raums. Eine Sammlung ent­spre­chen­der Si­cher­heits­maß­nah­men bietet das IT-Grund­schutz-Kom­pen­di­um des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI).

Brand­schutz und Ver­sor­gungs­ein­rich­tun­gen

Um Ser­ver­aus­fäl­len durch physische Einflüsse wie Brände, Hoch­was­ser, Strom­aus­fall oder Hard­waresa­bo­ta­ge vor­zu­beu­gen, müssen Ser­ver­räu­me und Re­chen­zen­tren ent­spre­chend ein­ge­rich­tet sein. Dies beginnt bereits mit der Stand­punkt­wahl. Nicht zu empfehlen sind Kel­ler­räu­me, bei denen die Gefahr besteht, dass diese bei Unwetter oder Na­tur­ka­ta­stro­phen mit Re­gen­was­ser voll­lau­fen. Zudem sollte der Zugang zu den Räum­lich­kei­ten auf Fach­per­so­nal be­schränkt und unter Umständen durch Si­cher­heits­schleu­sen kon­trol­liert werden. Ser­ver­räu­me sind nicht als dau­er­haf­te Ar­beits­plät­ze gedacht.

Schäden durch Brände lassen sich durch Brand­schutz- und Lösch­sys­te­me kom­pen­sie­ren. Diese umfassen die In­stal­la­ti­on von Brand­schutz­tü­ren, Brand­mel­de­ein­rich­tun­gen, Hand­feu­er­lö­schern und au­to­ma­ti­schen Lösch­sys­te­men (z. B. Gas­lösch­an­la­gen). Weitere vor­beu­gen­de Maßnahmen sind Brand­schutz­vor­ga­ben zur sach­ge­rech­ten Lagerung von brenn­ba­ren Ma­te­ria­li­en, Brand­ab­schot­tun­gen auf Ka­bel­tras­sen und die Ver­wen­dung ge­eig­ne­ter Dämm­ma­te­ria­li­en zur Wärme- oder Schall­iso­lie­rung.

Tech­ni­sche Geräte setzen elek­tri­sche Energie in Wärme um. Ein zu­sätz­li­cher Tem­pe­ra­tur­an­stieg im Ser­ver­raum kann durch Son­nen­ein­strah­lung erfolgen. Um Ser­ver­aus­fäl­len und Da­ten­feh­lern aufgrund von Über­hit­zung und zu hoher Luft­feuch­tig­keit ent­ge­gen­zu­wir­ken, sollten leis­tungs­star­ke Lüf­tungs­an­la­gen und Kühl­sys­te­me zum Einsatz kommen. Die optimalen La­ger­be­din­gun­gen für Lang­zeit­spei­cher­me­di­en werden laut BSI bei Tem­pe­ra­tu­ren von 20 bis 22°C und einer Luft­feuch­tig­keit von 40 Prozent erreicht.

Grund­vor­aus­set­zung für einen rei­bungs­lo­sen Ser­ver­be­trieb ist zudem eine konstante Strom­ver­sor­gung. Störungen im IT-Betrieb sind laut BSI schon bei Un­ter­bre­chun­gen von mehr als 10 ms möglich. Über­brü­cken lassen sich Ver­sor­gungs­lü­cken und längere Ausfälle durch Not­strom­ge­ne­ra­to­ren. Diese er­mög­li­chen zeitweise einen autarken Betrieb un­ab­hän­gig vom öf­fent­li­chen Stromnetz und helfen so, einer Be­triebs­un­ter­bre­chung ent­ge­gen­zu­wir­ken.

Aus­fall­si­cher­heit

Vor allem Mit­tel­ständ­ler un­ter­schät­zen die Aus­wir­kun­gen von IT-Ausfällen auf den Ge­schäfts­be­trieb. Ein Grund dafür ist die hohe Zu­ver­läs­sig­keit von Stan­dard­kom­po­nen­ten, die heut­zu­ta­ge in der Un­ter­neh­mens-IT zum Einsatz kommen. Deren Ver­füg­bar­keit wird in der Regel auf 99,9 Prozent geschätzt. Ein Wert, der hoch erscheint, bei einem 24-Stun­den­be­trieb aufs Jahr gerechnet aber eine maximale Aus­fall­zeit von fast 9 Stunden zulässt. Fällt diese aus­ge­rech­net in die Haupt­ge­schäfts­zeit, kommt auch ein relativ kurzer Ser­ver­aus­fall dem Un­ter­neh­men teuer zu stehen. Für die Be­reit­stel­lung ge­schäfts­kri­ti­scher Daten und An­wen­dun­gen haben sich daher hoch­ver­füg­ba­re IT-Systeme mit einer Ver­füg­bar­keit von 99,99 Prozent als Standard etabliert. Für diese wird eine maximale Downtime von 52 Minuten pro Jahr ga­ran­tiert. Einige IT-Experten sprechen sogar erst ab einer Ver­füg­bar­keit von 99,999 Prozent von Hoch­ver­füg­bar­keit. Diese Systeme fallen dann maximal 5 Minuten im Jahr aus. Das Problem an solchen Ver­füg­bar­keits­an­ga­ben ist jedoch, dass diese sich lediglich auf die Aus­fall­si­cher­heit der Ser­ver­hard­ware beziehen. Der De­fi­ni­ti­on des IEEE (Institute of Elec­tri­cal and Elec­tro­nics Engineers) zufolge gilt ein System als hoch­ver­füg­bar, wenn es trotz des Ausfalls von Sys­tem­kom­po­nen­ten die Ver­füg­bar­keit seiner IT-Res­sour­cen si­cher­stel­len kann: „High Avai­la­bi­li­ty (HA for short) refers to the avai­la­bi­li­ty of resources in a computer system, in the wake of component failures in the system.” Erreicht wird dies bei­spiels­wei­se durch Server, die komplett redundant aufgebaut sind. Alle be­triebs­wich­ti­gen Bauteile – ins­be­son­de­re Pro­zes­so­ren, Speicher-Chips und I/O-Einheiten – sind doppelt vorhanden. Dies ver­hin­dert zwar zu­ver­läs­sig, dass ein defektes Bauteil den Server lahmlegt, doch gegen einen Brand im Re­chen­zen­trum, ziel­ge­rich­te­te Angriffe durch Schad­soft­ware  und DDoS-Attacken, Sabotage oder die Übernahme des Servers durch Hacker schützt Hoch­ver­füg­bar­keit hingegen nicht. Im realen Betrieb sollten Un­ter­neh­mer daher mit deutlich längeren Aus­fall­zei­ten rechnen und ent­spre­chen­de Maßnahmen zu Prä­ven­ti­on und Scha­dens­be­gren­zung treffen. Weitere Stra­te­gien, den Ausfall von Ser­ver­res­sour­cen im Re­chen­zen­trum zu kom­pen­sie­ren, beruhen auf Stand-by-Systemen und Hoch­ver­füg­bar­keits­clus­tern. Beide Ansätze basieren auf einem Verbund von zwei oder mehr Servern, die gemeinsam mehr Hardware-Res­sour­cen zur Verfügung stellen, als für den Nor­mal­be­trieb benötigt werden. Bei einem Stand-by-System handelt es sich um einen zweiten Server, der der Ab­si­che­rung des Pri­mär­sys­tems dient und dessen Dienste übernimmt, sobald selbiger aufgrund eines Hard- oder Soft­ware­feh­lers ausfällt. Die Dienst­über­nah­me wird Failover genannt und durch eine Cluster-Manager-Software au­to­ma­tisch ohne Eingriff des Ad­mi­nis­tra­tors ein­ge­lei­tet. Ein solcher Aufbau aus einem aktiven und einem passiven Ser­ver­kno­ten kann als asym­me­tri­sches Hoch­ver­füg­bar­keits­clus­ter be­trach­tet werden. Bieten alle Knoten im Cluster im Nor­mal­be­trieb Dienste an, spricht man von einem sym­me­tri­schen Aufbau. Da es bei der Migration eines Dienstes von einem System auf ein anderes zu einer Zeit­ver­zö­ge­rung kommt, lassen sich kurz­zei­ti­ge Be­triebs­un­ter­bre­chung bei Stand-by-Systemen und Hoch­ver­füg­bar­keits­clus­tern nicht gänzlich ver­hin­dern.

Ab­wehr­sys­te­me

Dem schäd­li­chen Einfluss durch Hacker setzen Ad­mi­nis­tra­to­ren ver­schie­de­ne Software- und Hardware-Lösungen entgegen, die Angriffe entdecken, abwehren, auf­zeich­nen und umlenken sollen. Um einen Server gegen un­er­laub­te Zugriffe zu schützen, werden kritische Systeme mit Firewalls und De­mi­li­ta­ri­sier­ten Zonen (DMZ) von öf­fent­li­chen Netz­wer­ken ab­ge­schot­tet.

An­griffs­er­ken­nungs­sys­te­me, so­ge­nann­te Intrusion Detection Systems (IDS), er­mög­li­chen ein au­to­ma­ti­sches Mo­ni­to­ring von Servern und Netz­wer­ken und schlagen Alarm, sobald manuelle Ein­bruchs­ver­su­che oder au­to­ma­ti­sier­te Attacken durch Schad­soft­ware re­gis­triert werden: Ein Vorgang, der auf Mus­ter­er­ken­nung und sta­tis­ti­schen Analysen basiert. Kommen Intrusion Pre­ven­ti­on Systems (IPS) zum Einsatz, folgen dem Alarm au­to­ma­ti­sier­te Ge­gen­maß­nah­men. Üblich ist eine Anbindung an die Firewall, wodurch Da­ten­pa­ke­te verworfen oder ver­däch­ti­ge Ver­bin­dun­gen un­ter­bro­chen werden können.

Um Hacker von ge­schäfts­kri­ti­schen IT-Systemen fern­zu­hal­ten, bedienen sich Ad­mi­nis­tra­to­ren zudem so­ge­nann­ter Honeypots. Diese er­schei­nen An­grei­fern als ver­meint­lich at­trak­ti­ve Ziele, laufen isoliert vom Pro­duk­tiv­sys­tem und haben somit keinen Einfluss auf dessen Funk­tio­na­li­tät. Honeypots werden konstant überwacht und er­mög­li­chen, zeitnah auf Einbrüche zu reagieren und die ver­wen­de­ten An­griffs­mus­ter und Stra­te­gien zu ana­ly­sie­ren.

Da­ten­si­che­rung und Recovery

Um ge­schäfts­kri­ti­sche Daten auch im Fall eines Ser­ver­aus­falls schnell wie­der­her­stel­len zu können, empfiehlt das BSI die Aus­ar­bei­tung eines Da­ten­si­che­rungs­kon­zepts gemäß in­ter­na­tio­na­ler In­dus­trie­stan­dards wie ISO 27001. Dieses regelt, wer für die Da­ten­si­che­rung zuständig ist, und benennt Ent­schei­dungs­trä­ger, die eine Da­ten­wie­der­her­stel­lung ver­an­las­sen können. Weiterhin legt das Da­ten­si­che­rungs­kon­zept fest, wann Back-ups erstellt werden müssen, wie viele Ge­ne­ra­tio­nen ge­spei­chert werden, welches Spei­cher­me­di­um zum Einsatz kommt und ob spezielle Trans­port­mo­da­li­tä­ten wie eine Ver­schlüs­se­lung er­for­der­lich sind. Darüber hinaus wird die Art der Da­ten­si­che­rung definiert:

  • Voll­da­ten­si­che­rung: Werden sämtliche zu si­chern­den Daten zu einer be­stimm­ten Zeit auf einem zu­sätz­li­chen Spei­cher­sys­tem abgelegt, spricht man von einer Voll­da­ten­si­che­rung. Ob sich die Daten seit dem letzten Spei­cher­vor­gang geändert haben, wird bei solchen Back-ups nicht be­rück­sich­tigt. Eine Voll­da­ten­spei­che­rung nimmt daher viel Zeit in Anspruch und hat einen hohen Spei­cher­be­darf, der vor allem dann ins Gewicht fällt, wenn mehrere Ge­ne­ra­tio­nen parallel auf­be­wahrt werden. Diese Art der Da­ten­si­che­rung punktet jedoch durch eine einfache und schnelle Da­ten­wie­der­her­stel­lung, da lediglich der letzte Spei­cher­stand re­kon­stru­iert werden muss. Diesen Vorteil ver­spie­len Un­ter­neh­men jedoch, wenn Back-ups zu selten durch­ge­führt werden. In einem solchen Fall entsteht ein hoher Ar­beits­auf­wand, um nach­träg­lich geänderte Dateien an den aktuellen Stand an­zu­pas­sen.
  • In­kre­men­tel­le Da­ten­si­che­rung: Ent­schei­den sich Un­ter­neh­men für eine in­kre­men­tel­le Da­ten­si­che­rung, umfasst das Back-up nur die Dateien, die sich seit der letzten Da­ten­si­che­rung geändert haben. Damit ver­rin­gert sich nicht nur die Zeit, die benötigt wird, um ein Back-up durch­zu­füh­ren. Auch der Spei­cher­be­darf für ver­schie­de­ne Ge­ne­ra­ti­on ist deutlich geringer als bei der Voll­da­ten­spei­che­rung. Eine in­kre­men­tel­le Da­ten­si­che­rung setzt min­des­tens ein durch Voll­da­ten­si­che­rung erzeugtes Back-up voraus. In der Praxis kommt es daher oft zu Kom­bi­na­tio­nen beider Spei­cher­stra­te­gien. Dabei werden mehrere in­kre­men­tel­le Back-ups zwischen zwei Voll­da­ten­si­che­run­gen erzeugt. Bei einer Da­ten­wie­der­her­stel­lung wird die letzte Voll­da­ten­si­che­rung als Grundlage genommen und um die Daten aus den in­kre­men­tel­len Spei­cher­zy­klen ergänzt. In der Regel müssen dabei mehrere Da­ten­si­che­run­gen nach­ein­an­der ab­ge­gli­chen werden.
  • Dif­fe­ren­zi­el­le Da­ten­si­che­rung: Auch die dif­fe­ren­zi­el­le Da­ten­si­che­rung baut auf der Voll­da­ten­si­che­rung auf. Dabei werden alle Daten gesichert, die sich seit der letzten Voll­da­ten­si­che­rung geändert haben. Anders als bei der in­kre­men­tel­len Da­ten­si­che­rung findet dabei keine Ver­ket­tung mehrere Back-ups statt. Für eine Da­ten­wie­der­her­stel­lung genügt daher ein Abgleich der letzten Voll­da­ten­si­che­rung mit dem ak­tu­ells­ten dif­fe­ren­zi­el­len Back-up.

Welche Spei­cher­stra­te­gie im Un­ter­neh­men zum Einsatz kommt, richtet sich nach den je­wei­li­gen Ver­füg­bar­keits­an­for­de­run­gen sowie nach wirt­schaft­li­chen Ge­sichts­punk­ten. Zentrale Ein­fluss­fak­to­ren sind to­le­rier­ba­re Wie­der­her­stel­lungs­zei­ten, Häu­fig­keit und Zeitpunkt der Da­ten­si­che­rung sowie das Ver­hält­nis zwischen Än­de­rungs­vo­lu­men und Ge­samt­da­ten­vo­lu­men. Sind Letztere nahezu de­ckungs­gleich, ist eine Spei­cher­er­spar­nis durch in­kre­men­tel­le oder dif­fe­ren­zi­el­le Verfahren ver­nach­läs­sig­bar.

Schu­lun­gen

Maßnahmen zur In­for­ma­ti­ons­si­cher­heit lassen sich un­ter­neh­mens­weit nur eta­blie­ren, wenn alle Mit­ar­bei­ter erkennen und ak­zep­tie­ren, dass selbige einen we­sent­li­chen Anteil am wirt­schaft­li­chen Erfolg des Un­ter­neh­mens hat. Aufbauen und pflegen lässt sich ein solches Si­cher­heits­be­wusst­sein durch re­gel­mä­ßi­ge Schu­lun­gen, die Mit­ar­bei­ter für interne und externe Ge­fah­ren­quel­len sen­si­bi­li­sie­ren, Ri­si­ko­sze­na­ri­en durch­spie­len und mögliche Folgen aufzeigen.

Die Basis sys­te­ma­ti­scher Schu­lun­gen sind Re­ge­lun­gen und Vor­schrif­ten zum Umgang mit si­cher­heits­re­le­van­ten Geräten und Ein­rich­tun­gen sowie ein Not­fall­kon­zept, das Mit­ar­bei­tern Hand­lungs­an­wei­sun­gen bietet, welche Schritte ein­zu­lei­ten sind, um den Nor­mal­be­trieb schnellst­mög­lich wie­der­her­zu­stel­len. Eine struk­tu­rier­te Her­an­ge­hens­wei­se an die Er­stel­lung ent­spre­chen­der Konzepte bietet das Business-Con­ti­nui­ty-Ma­nage­ment.

Business-Con­ti­nui­ty-Ma­nage­ment (BMC)

Um den Schaden durch Ser­ver­aus­fäl­le möglichst gering zu halten, in­ves­tie­ren Un­ter­neh­men zunehmend in Prä­ven­ti­ons­maß­nah­men. Im Fokus steht dabei das so­ge­nann­te Business-Con­ti­nui­ty-Ma­nage­ment (BMC). Im IT-Bereich zielen BMC-Stra­te­gien darauf ab, einem Ser­ver­aus­fall in ge­schäfts­kri­ti­schen Bereichen ent­ge­gen­zu­wir­ken und im Falle einer Un­ter­bre­chung eine un­ver­züg­li­che Wie­der­auf­nah­me si­cher­zu­stel­len. Vor­aus­set­zung für ein ent­spre­chen­des Not­fall­ma­nage­ment ist eine so­ge­nann­te Business-Impact-Analyse (BIA). Eine solche hilft Un­ter­neh­men, kritische Ge­schäfts­pro­zes­se zu iden­ti­fi­zie­ren. Als kritisch wird ein Prozess dann be­zeich­net, wenn ein Ausfall si­gni­fi­kan­te Aus­wir­kun­gen auf den Betrieb hat. Die BIA kon­zen­triert sich dabei zunächst auf die Kon­se­quen­zen konkreter Scha­dens­sze­na­ri­en. Ursachen für einen Ser­ver­aus­fall, die Ein­tritts­wahr­schein­lich­keit möglicher Ge­fähr­dun­gen und Ge­gen­maß­nah­men werden im Rahmen der Ri­si­ko­ana­ly­se erfasst.

Wie sich BIA und Ri­si­ko­ana­ly­se im Rahmen der BMC me­tho­disch umsetzen lassen, ist Inhalt diverser Standards und Rah­men­wer­ke. Als an­schau­li­cher Leitfaden empfiehlt sich bei­spiels­wei­se der Grund­schutz-Standard 100-4 „Not­fall­ma­nage­ment“ des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik.

Business-Impact-Analyse (BIA)

Der erste Schritt auf dem Weg zu einem um­fas­sen­den Business-Con­ti­nui­ty-Ma­nage­ment ist die Business-Impact-Analyse, die im Deutschen auch Fol­ge­scha­den­abschätzung oder Be­triebs­un­ter­bre­chungs­ana­ly­se genannt wird. Zentrale Fragen im Rahmen dieser Analyse sind: Welche Systeme sind von zentraler Bedeutung, um das Kern­ge­schäft auf­recht­zu­er­hal­ten? Und welche Folgen hat ein Ausfall dieser Systeme auf den Betrieb? Dabei empfiehlt es sich, die wich­tigs­ten Produkte und Dienst­leis­tun­gen eines Un­ter­neh­mens sowie deren zu­grun­de­lie­gen­de IT-In­fra­struk­tur zu iden­ti­fi­zie­ren. Setzt ein Un­ter­neh­men in erster Linie auf den Verkauf im Internet, sind die Server, die den On­line­shop und zu­ge­hö­ri­ge Da­ten­ban­ken be­reit­stel­len, besonders schüt­zens­wert. Ein Call­cen­ter hingegen wird die tech­ni­sche Grundlage der Te­le­fon­an­la­ge als ge­schäfts­kri­tisch klas­si­fi­zie­ren. Die BIA be­inhal­tet eine Prio­ri­sie­rung der zu schüt­zen­den Systeme, eine Scha­dens­kal­ku­la­ti­on sowie eine Erhebung der be­nö­tig­ten Res­sour­cen für einen Wie­der­an­lauf der Systeme.

Ri­si­ko­ana­ly­se

Eine Ri­si­ko­ana­ly­se hat im Rahmen des Not­fall­ma­nage­ments die Funktion, interne und externe Ge­fah­ren­quel­len zu iden­ti­fi­zie­ren, die einen Ser­ver­aus­fall und eine damit ver­bun­de­ne Be­triebs­un­ter­bre­chung ver­ur­sa­chen könnten. Ziel ist es, die Si­cher­heits­ri­si­ken und deren Ursachen trans­pa­rent zu machen und adäquate Ge­gen­maß­nah­men zu ent­wi­ckeln, um das erkannte Ge­fah­ren­po­ten­zi­al zu re­du­zie­ren. Eine Bewertung der Risiken lässt sich anhand des er­war­te­ten Schadens und der Ein­tritts­wahr­schein­lich­keit vornehmen. Ein Beispiel für eine Ri­si­koklas­si­fi­ka­ti­on zeigt folgendes Beispiel aus dem BSI-Standard 100-4:

Erfassung des Ist-Zustands

Wurden die Ge­fah­ren­quel­len und das Scha­dens­po­ten­zi­al konkreter Ser­ver­aus­fall-Szenarien im Rahmen der BIA und der Ri­si­ko­ana­ly­se ermittelt, folgt im dritten Schritt auf dem Weg zur Kon­ti­nui­täts­stra­te­gie eine Erfassung des Ist-Zustands. Von Bedeutung sind dabei bereits eta­blier­te Not­fall­vor­sor­ge­maß­nah­men sowie aktuelle Wie­der­an­lauf­zei­ten. Die Erfassung des Ist-Zustands er­mög­licht Un­ter­neh­men, einen Hand­lungs­be­darf bei konkreten Si­cher­heits­ri­si­ken sowie damit ver­bun­de­ne In­ves­ti­ti­ons­kos­ten ab­zu­schät­zen.

Auswahl der Kon­ti­nui­täts­stra­te­gie

In der Regel gibt es für die ver­schie­de­nen internen und externen Ge­fah­ren­quel­len diverse Stra­te­gien, die eine Fort­füh­rung des Betriebs trotz Störung oder eine schnelle Wie­der­an­lauf­zeit ver­spre­chen. Im Rahmen des Business-Con­ti­nui­ty-Ma­nage­ments ist es daher Aufgabe der Ent­schei­dungs­trä­ger, abzuwägen, welche Kon­ti­nui­täts­stra­te­gie im Ernstfall zur Anwendung kommen soll. Grundlage dieser Ent­schei­dung ist eine Kosten-Nutzen-Analyse, die zentrale Faktoren wie die be­nö­tig­ten fi­nan­zi­el­len Mittel, die Zu­ver­läs­sig­keit der Lösung oder die ge­schätz­te Wie­der­an­lauf­zeit be­inhal­tet.

Soll bei­spiels­wei­se eine Kon­ti­nui­täts­stra­te­gie ent­wi­ckelt werden, die einem Brand im Re­chen­zen­trum vorbeugt, stehen ver­schie­de­ne Lö­sungs­we­ge zur Auswahl: Minimale Lösungen umfassen die Scha­dens­kom­pen­sa­ti­on durch eine Be­triebs­aus­fall­ver­si­che­rung und ein Aus­weich­re­chen­zen­trum bei einem Hosting-Dienst­leis­ter. Kost­spie­li­ger hingegen wäre der Umbau des be­stehen­den Ser­ver­raums nach modernen Brand­schutz­stan­dards. Sind größere In­ves­ti­tio­nen möglich, lassen sich Fol­ge­schä­den durch den Bau eines zweiten, red­un­dan­ten Ser­ver­raums re­du­zie­ren.

Aus­ge­ar­bei­te­te Kon­ti­nui­täts­stra­te­gien werden im Not­fall­si­cher­heits­kon­zept fest­ge­hal­ten, das konkrete Hand­lungs­an­wei­sun­gen für alle re­le­van­ten Not­fall­sze­na­ri­en enthält.

Zum Hauptmenü