Resilienz
Business Continuity - Planung ist alles
Der Krieg in der Ukraine beunruhigt die meisten Unternehmen - vor allem diejenigen, die sich um die Sicherheit ihrer Mitarbeitenden und Geschäftspartner vor Ort sorgen. Der Konflikt zeigt auch, wie wichtig Notfallpläne für alle Arten von Ereignissen sind, die negative Auswirkungen auf die Geschäftstätigkeit eines Unternehmens haben können. (Lesen Sie auch: Wie die IT-Sicherheitsbranche die Ukraine unterstützt)
Business Continuity bildet einen wesentlichen Bestandteil der Planungsprozesse von CIOs und CTOs. Solche Black-Swan-Ereignisse können erhebliche Auswirkungen haben. Manche lassen sich vorhersehen, andere nicht - sicher ist, man kann sich vorbereiten. Um den kontinuierlichen Fortlauf der Geschäfte zu sichern, muss die Bedrohungslage richtig bewertet werden und es gilt, Pläne zu erstellen. Sie helfen, die betriebliche Widerstandsfähigkeit zu erhöhen.
Erkennen Sie die Bedrohungslandschaft!
Unternehmen kämpfen mit verschiedenen Arten bedrohlicher Ereignisse, die auftreten können und sich mit einem guten Katastrophenplan zumindest teilweise abfedern lassen. Da wären zum Beispiel
geopolitische Bedrohungen, etwa die die russische Invasion in der Ukraine,
Naturkatastrophen wie Feuer, Überschwemmung, Erdbeben oder Pandemie,
gezielte Cyberangriffe mit Ransomware oder auch
starke, vorher kaum absehbare regulatorische Eingriffe.
Einige dieser Bedrohungen erfordern es, proaktiv Gegenmaßnahmen zu implementieren und auszuführen. Für andere ist ein Plan erforderlich, der sicherstellt, dass das Team die Ziele und zu ergreifenden Maßnahmen für den Ernstfall kennt und weiß, was zu tun ist. CIOs und CTOs müssen die Bedrohungslandschaft ständig im Blick haben. Um hier voranzukommen, können sie sich beispielsweise SOC-2-zertifizieren lassen (SOC = System and Organization Controls) und bei ihren Technologiepartnern ebenfalls darauf drängen.
Planung für geopolitische Bedrohungen
Als Beispiel möchte ich unser eigenes Unternehmen, Inflection, anführen. Bei uns begannen die Planungen für mögliche Geschäftsunterbrechungen im Zusammenhang mit einem möglichen Ukraine-Krieg bereits eineinhalb Jahre vor dessen Ausbruch. Wir einigten uns auf folgende Grundsätze und Maßnahmen:
Aufbau eines geodiversen Teams: Zusätzlich zu unseren Beschäftigten in der Ukraine erhöhten wir die Mitarbeiterzahl in den USA und Brasilien.
Arbeit global verteilen: Anstatt in jeder Region komplette funktionale Silos vorzuhalten, haben wir die Teams aufgefordert, überregional enger zusammenzuarbeiten. Das hat zwar auch Nachteile - zum Beispiel steigt der Kommunikationsbedarf -, aber für uns war es dennoch ein guter Kompromiss.
Sicherheit hat Vorrang: Die Sicherheit von Mitarbeitern und Lieferanten ist wichtiger als alles andere. Uns war klar, dass ein geopolitisches Ereignis wie der Ukraine-Krieg erhöhte Sicherheitsausgaben für uns bedeuten würde. Unser Unternehmen hat sich klar entschieden, diese Finanzmittel bereitzustellen. Inflection hat seinen Mitarbeitern in der Ukraine die Übernahme der Lebenshaltungskosten für drei Monate angeboten, damit diese an einen sicheren Standort umziehen konnten. Wir haben uns auch um die logistischen Aspekte gekümmert.
Schriftlich kommunizieren: Nach unserer Erfahrung sollte der schriftlichen gegenüber der mündlichen Kommunikation der Vorzug gegeben werden. Beispielsweise prüfen wir wichtige technische Entscheidungen anhand schriftlicher Unterlagen daraufhin, ob sie zu unserer Architektur passen.
Diese proaktiven Schritte ermöglichten es uns, die Geschäfte auch in Krisenzeiten kontinuierlich fortzuführen und dabei der Sicherheit der Beschäftigten höchste Priorität einzuräumen. Zusätzlich gab es einen detaillierten Personalplan, mit dem wir sicherstellen konnten, dass längerfristige Ausfälle kompensiert werden konnten.
Proaktive Planung ist auch notwendig, um die Auswirkungen von Naturkatastrophen abzufedern. Unternehmen müssen wissen, was zu tun ist, wenn Ihr Rechenzentrum aufgrund eines Umweltereignisses ausfällt.
Wir möchten unseren Lesern ein Beispiel geben und gehen dabei von der Annahme aus, dass Sie einen Dienst auf Basis der Infrastruktur eines Public-Cloud-Anbieters bereitstellen und Ihren Kunden eine bestimmte Verfügbarkeit garantieren müssen. Ausgangspunkt für die Planung ist das diesbezügliche Versprechen, das Sie geben. Wünschenswert für SaaS-Verfügbarkeiten sind 99,95 Prozent, was bedeutet, dass der Dienst nicht länger als vier Stunden, 22 Minuten und 58 Sekunden pro Jahr ausfallen darf.
Bei der Planung müssen Sie Folgendes bedenken:
Was sind Ihr Recovery Time Objective (RTO) und Ihr Recovery Point Objective (RPO), wenn es zu einem Zwischenfall kommt? Das RPO-Ziel betrifft den Zeitraum zwischen einem akuten Datenverlust und der letzten Datensicherung. RTO bezeichnet die benötigte Zeit, um Daten wiederherzustellen. Hier sollten Sie anhand von Kennzahlen festlegen, welcher Kompromiss für Sie erträglich ist.
Haben Sie Wartungsfenster definiert? Wenn ja, ziehen Sie diese vom Budget für akzeptable Nichtverfügbarkeit ab. (Sie sollten sich übrigens generell fragen, ob Sie diese Wartungsfenster wirklich benötigen.)
Welche grundlegende Sicherheit bietet die Cloud-Plattform, über die Sie Ihren Dienst anbieten? Von Ihrem Cloud-Anbieter werden Sie in der Regel keine Garantien für Betriebszeiten bekommen.
Wie sieht Ihre Planung aus, wenn eine Availability-Zone (ein Data Center) Ihres Cloud-Providers ausfällt?
Was tun Sie, wenn eine ganze Region, also gleich mehrere Verfügbarkeitszonen, ausfallen?
Wie sieht Ihr Plan aus, wenn der Anbieter sogar über alle Regionen hinweg nicht mehr erreichbar ist?
Je nachdem, wie diese Fragen beantwortet werden, können beliebig hohe Kosten und Komplexität auf Unternehmen zukommen - es hängt davon ab, zu welchen Zugeständnissen man bereit ist. Kleinere Betriebe mögen sich eher dafür entscheiden, Komplexität zu vermeiden, für große Konzerne ist das oft nicht die wichtigste Option.
Sicherheit ist auch eine Frage des Geldes
Das Ziel Ihrer Planung sollte sein, auf die folgenden Fragen klare Antworten parat zu haben:
Möchten Sie Hochverfügbarkeit bieten, indem Sie bei Ihrem Cloud-Provider mehrere Availability Zones buchen? Für die meisten Unternehmen ist das eine einfache Entscheidung: Anbieter wie AWS bieten diese Option, sie kann zu relativ geringen Kosten und bei überschaubarer Komplexität in Anspruch genommen werden.
Was ist zu tun, wenn es einen Ausfall in der Region gibt, wenn also eine Desaster-Recovery- Situation eintritt? Eine Synchronisierung zwischen verschiedenen Regionen ist komplex und teuer. Nur wenige Unternehmen entscheiden sich für diese Möglichkeit. Besser ist es, ein Daten-Backup in einer anderen Region vorzuhalten. Der Kompromiss wäre dann, die Vorteile einer einfacheren Architektur zu nutzen und dafür eine längere Widerherstellungszeit im Notfall in Kauf zu nehmen. Diese Überlegungen müssen in die RTO/RPO-Berechnungen einfließen.
Was passiert, wenn ein Cloud-Anbieter komplett ausfällt? Anbieterübergreifende Bereitstellungen sind kompliziert und sehr teuer. In den meisten Fällen wäre wohl eine Datensicherung bei einem anderen Cloud-Anbieter ausreichend. Große Konzerne dürften aus Kosten- und Skalierungsgründen ohnehin die Angebote mehrerer Cloud-Anbieter in Anspruch nehmen.
Unter Berücksichtigung dieser und weiterer Faktoren gilt es, einen Plan zu entwerfen und diesen von der Geschäftsleitung absegnen zu lassen. Für den Fall, dass ein Notfall eintritt, braucht es auch Kommunikationspläne. Wie werden Kunden, Mitarbeiter und Partner informiert? Wichtig ist es, diese Pläne zu testen. Sie sind bedeutungslos, wenn nicht regelmäßige Übungen erfolgen.
Im Folgenden möchte ich kurz schildern, welche Entscheidungen unser eigenes Unternehmen getroffen hat:
Wir bieten Hochverfügbarkeit, indem wir mehrere Availability Zones nutzen. Der Ausfall eines einzelnen Rechenzentrums ist für unsere Kunden nicht spürbar.
Wir synchronisieren Daten zwischen mehreren Regionen, um bei einer regionalen Katastrophe ein RPO von weniger als 24 Stunden und ein RTO von weniger als 72 Stunden zu erreichen.
Wir halten ein Daten-Backup bei einem zweiten Cloud-Provider vor, um sicherzustellen, dass wir im Falle eines vollständigen Ausfalls unseres Cloud-Anbieters immer noch eine Wiederherstellung der Daten vornehmen können.
Wir üben einmal im Jahr die Wiederherstellung von Datenbanken und testen unsere Desaster-Recovery-Abläufe einmal im Quartal.
Diese Maßnahmen haben sich bewährt
Kommen wir zum Thema Ransomware. Die Gefahr, die von Angriffen mit Erpressersoftware ausgeht, hat in den letzten Jahren erheblich zugenommen. In unserem Unternehmen haben wir uns auf folgendes Vorgehen geeinigt:
Wir sind SOC-2-zertifiziert und stellen durch Benchmarking sicher, dass unsere Prozesse mit den besten in der Branche vergleichbar sind.
Wir sorgen dafür, dass ruhende und Bewegungsdaten stets verschlüsselt sind.
Wir nehmen an Bug-Bounty-Programmen teil, in deren Rahmen wir Preise für das Auffinden von Schwachstellen in unserer Infrastruktur ausloben.
Wir lassen externe Agenturen Penetrationstests vornehmen.
Wir stellen sicher, dass die Rechner der Mitarbeitenden verschlüsselt sind und über einen angemessenen Softwareschutz gegen Malware, Phishing und andere Angriffe verfügen.
Wir haben eine Cyber-Versicherung.
Führungskräfte sollten sich mit der Möglichkeit beschäftigen, ein "Pre-Mortem"-Übungen vorzunehmen, um die Kontinuität ihres Geschäftsbetriebs sicherzustellen. Während bei einer Post-Mortem-Analyse erst nach einem Vorfall gefragt wird, was schiefgelaufen ist, geht es bei der Pre-Mortem-Analyse um die Fragen: "Was könnte schief gehen? Wie können wir das verhindern?" Im Vordergrund steht die Planung: Welche vorbereiteten Aktivitäten können ablaufen, ohne dass groß darüber nachgedacht werden muss.
Die Planung der Geschäftskontinuität ist ein Muss für Führungskräfte. Unternehmen, die warten, bis eine Katastrophe eintritt, werden nicht in der Lage sein, schnell zu reagieren. Ihr Führungsteam muss sich auf die Grundsätze und den Kompromiss zwischen Kosten und Komplexität einigen. (hv)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CIO.com.