Im Informationszeitalter sind Produktivitätswunder fast schon alltäglich geworden. Aber das digitale Leben birgt auch Risiken – Risiken, die ein Unternehmen in den Abgrund bringen können:
- Eine neue Umfrage von Veritas Software/Dynamic Markets ergab, dass drei Jahre nach dem 11. September 43 Prozent der Unternehmen weltweit immer noch nicht bereit sind, auf eine größere Katastrophe zu reagieren. Der Bericht, der 1.259 IT-Experten auf der ganzen Welt befragte, ergab, dass nur 38 Prozent angaben, über umfassende, integrierte Disaster-Recovery- und Business-Continuity-Pläne zu verfügen – obwohl 92 Prozent einräumten, dass es schwerwiegende Folgen haben würde, wenn sie mit einem größeren Problem konfrontiert würden Störungen ihrer IT-Infrastruktur.
- Große Unternehmen sind sich völlig darüber im Klaren, dass die Notfallwiederherstellung nicht die Priorität hat, die sie haben sollte. In einer SunGard/Harris-Umfrage unter Fortune-1000-Unternehmen bewerteten die Befragten die Fähigkeit ihres Unternehmens, nach einer Katastrophe auf geschäftskritische Daten zuzugreifen, nur mit der Note „2“.
Für kleine und mittlere Unternehmen ist ein Notfallwiederherstellungsplan nicht nur eine gute Idee, sondern eine Notwendigkeit. Aber unabhängig von der Größe eines Unternehmens ist die Gefahr einer Katastrophe real, denn regelmäßig werden neue Viren- und Wurmangriffe gestartet, die die Daten- und Netzwerksicherheit auf Schritt und Tritt gefährden – und der Druck, Informationen und Geschäftssysteme zu schützen, ist nicht nur wirtschaftlicher Natur, sondern kommt nun auch mit voller Wucht Kraft des Gesetzes. Gesetze wie der Health Insurance Portability and Accountability Act (HIPAA) sowie die Einhaltung des Sarbanes-Oxley-Gesetzes und strenge SEC- und IRS-Vorschriften verlangen von vielen Branchensegmenten die Bereitstellung von Informationen und Schutzmaßnahmen im Katastrophenfall.
Für ein Unternehmen, dessen Existenz von seinen webbasierten Anwendungen abhängt, kann eine Katastrophe auf vielfältige Weise eintreten: Viren, Würmer, Netzwerkfehler, Hardware-Absturz, Stromausfall, Brand, Naturkatastrophe oder Denial-of-Service-Angriff von Cyberterroristen. Doch trotz der wachsenden Bedrohungen sind kleine und mittelständische Unternehmen besonders anfällig, wenn es um die Katastrophenvorsorge geht – zum Teil, weil vielen sowohl das Bewusstsein fehlt, die Katastrophenplanung in die „normale“ Routine zu integrieren, als auch die Werkzeuge/das Personal, um die Katastrophenvorsorge umzusetzen.
Laut einer landesweiten Umfrage, die Ende letzten Jahres für BroadSpire durchgeführt wurde, sind mehr als ein Drittel der amerikanischen Arbeitnehmer „ziemlich“ oder „eher“ besorgt, dass eine Naturkatastrophe oder ein Terroranschlag Computersysteme am Arbeitsplatz lahmlegen könnte. Eine weitere von Imation durchgeführte Umfrage ergab, dass etwa 30 Prozent der Unternehmen keine formelle Disaster-Recovery-Strategie haben und 64 Prozent der Unternehmen sagen, dass ihre Datensicherungs- und Disaster-Recovery-Pläne erhebliche Schwachstellen aufweisen.
Nahezu jedes Unternehmen jeder nennenswerten Größe verfügt über eine IT-Abteilung mit Mitarbeitern, die darin geschult sind, den Vorbereitungsstand ihres Unternehmens zu analysieren und ihn dann bei Bedarf zu verbessern. Aber kleinere Unternehmen – von denen viele selbst nicht über spezielle IT-Kenntnisse verfügen – müssen sich bewusst darum bemühen, das Vokabular und die Praktiken der Katastrophenvorsorge zu erlernen.
Wer ist gefährdet?
Nahezu jedes kleine und mittelständische Unternehmen ist bis zu einem gewissen Grad anfällig für die Auswirkungen einer Katastrophe. Am meisten zu verlieren haben jedoch Unternehmen, die auf E-Commerce, E-Mail oder andere webbasierte Kommunikations- und Online-Zusammenarbeitstools angewiesen sind um ihre kritischen Geschäftsfunktionen aufrechtzuerhalten. Je vernetzter sie sind, desto höher ist das Risiko und desto mehr müssen sie verlieren.
Leider erhöhen viele kleinere Unternehmen ihre eigene Wahrscheinlichkeit, in eine Katastrophe zu geraten, durch wahllose Prozesse – wie die Installation zufälliger Anwendungen auf Computern, ohne die Auswirkungen zu kennen, das Öffnen von E-Mail-Anhängen von unbekannten Adressen und das Herunterladen von Testversionen von Software und deren Zurücklassen auf dem Server. Obwohl Technologieredundanzen in vielen Fällen hilfreich sind, um den Betrieb aufrechtzuerhalten, können sie dazu führen, dass ein kleiner Ausfall schnell katastrophal wird, da er sich ungehindert im gesamten Netzwerk ausbreitet.
Darüber hinaus sind kleine und mittelständische Unternehmen ständig unterbesetzt, sodass vorbeugende Routinen wie Datensicherung und Virensoftware-Updates oft auf der Strecke bleiben – was Unternehmen anfällig für Katastrophen macht und nicht darauf vorbereitet ist, den Schaden zu mindern, sobald eine Katastrophe eintritt.
Aber Katastrophen können vorhergesehen und geplant werden, und Daten und Systeme können oft wiederhergestellt werden. Alles, was es braucht, ist Voraussicht und einige vorbeugende Maßnahmen. Disaster-Recovery-Pläne sind nicht nur etwas für die Großen. Da die Datenintegrität so wichtig ist, kann es sich kein Unternehmen leisten, die Katastrophenplanung zu ignorieren. Es gibt mehrere grundlegende Schritte, die ein Unternehmen jeder Größe ergreifen kann, um Katastrophen abzuwehren und die Heilungschancen im Falle eines solchen zu erhöhen.
Verfahren als Geheimnisse der Prävention
Viele der wichtigsten Schritte bei der Notfallwiederherstellung sind kostengünstig und relativ einfach umzusetzen. Der Schlüssel liegt in der Entwicklung von Verfahren, die das Risiko mindern und gleichzeitig kritische Geschäftsfunktionen und Informationen schützen.
Beginnen Sie mit der Entwicklung eines klaren, wiederholbaren Prozesses zum Sichern von Daten und Ihres gesamten Netzwerks – und stellen Sie dann sicher, dass Sie die Sicherungen genau nach diesem Zeitplan durchführen und durchführen. Dies ist die Grundlage für alle Disaster-Recovery-Pläne – auch wenn nur eine Person die Windows-Sicherungssoftware verwendet, Daten auf eine DVD oder CD kopiert und diese Medien nach Hause oder an einen anderen Ort mitnimmt. Es ist einfach, verursacht keine Kosten und funktioniert.
Der nächste wichtige Schritt besteht darin, sicherzustellen, dass Backups tatsächlich nutzbar sind. Laut einer aktuellen Studie von SpeichermagazinNur die Hälfte aller Unternehmen testen jemals ihre Bandsicherungen, und von denen, die dies tun, stellen 77 Prozent fest, dass sie die Daten von diesen Bändern nicht vollständig wiederherstellen können.
Softwarelösungen zur Virenerkennung im Einzelhandel bieten eine weitere wichtige Schutzebene, sofern sie auf dem neuesten Stand gehalten werden. Installieren Sie außerdem ein E-Mail-Filterprogramm und halten Sie Windows-Updates auf dem neuesten Stand.
Speichern Sie nicht alles – E-Mail, Buchhaltungssoftware, Kundendatenbank usw. – auf einem Server. Verteilen Sie wichtige Daten und Anwendungen auf mehr als einen Computer, damit bei einem Systemabsturz nicht alles verloren geht.
Sobald alle diese Elemente vorhanden sind, legen Sie einige unternehmensweite Richtlinien fest, um eine virenbedingte Katastrophe zu verhindern. Dazu gehören beispielsweise das nächtliche Herunterfahren von Computern, ein Zeitplan für regelmäßige Updates und Patches, regelmäßige Passwortänderungen, Regeln zum Öffnen von E-Mail-Anhängen, Richtlinien zum Schutz von Daten bei der Arbeit an öffentlichen Orten (z. B. Flugzeugen oder Starbucks) sowie Tipps dazu Gewährleistung der physischen Sicherheit von Laptop-Computern und tatsächlichen Bürogebäuden.
Planen, planen, planen
Jedes Unternehmen, das Daten verlieren kann, sollte über einen Notfallwiederherstellungsplan verfügen. Dafür ist kein IT-Experte erforderlich – tatsächlich steht Software zur Verfügung, die Unternehmen dabei hilft, ihre eigenen Pläne zu erstellen. Zu den Schlüsselelementen eines guten Plans gehören:
- Zuordnungen – Wenn eine Katastrophe eintritt, benötigen die Mitarbeiter klare Rollen, und diese müssen festgelegt werden Vor Katastrophenfall. Beispielsweise sollte jemand für die Kommunikation verantwortlich sein (bei Bedarf mit der Telefongesellschaft oder dem E-Mail-Host zusammenarbeiten, um die Verbindung wiederherzustellen), eine andere Person kann die Datenwiederherstellung überwachen, jemand anderes kann sicherstellen, dass die Website des Unternehmens zugänglich ist usw.
- Ein Kommunikationsplan – Stellen Sie den Mitarbeitern eine Liste der wichtigsten Mobiltelefonnummern zur Verfügung, damit Sie sie griffbereit haben, falls Sie Telefone und E-Mails verlieren. Beauftragen Sie jemanden, der wichtige Kontakte – Kunden, Lieferanten, Partner – anruft, um ihnen mitzuteilen, was vor sich geht und wie sie Sie in der Zwischenzeit erreichen können. Vereinbaren Sie im Voraus mit Ihrem Gastgeber (falls zutreffend) die Bereitstellung eines Backup-E-Mail-Systems, auf das Sie während oder nach einer Katastrophe zugreifen können, um den Fluss wichtiger Geschäftskommunikation aufrechtzuerhalten.
Hilfe von außen – Wenden Sie sich an Ihren Gastgeber
Wenn Ihr Unternehmen mit einem Webhosting-Unternehmen zusammenarbeitet, kann Ihr Hoster verschiedene Maßnahmen ergreifen, um Daten und Webfunktionen im Katastrophenfall zu schützen und so die Wiederherstellungszeit erheblich zu verkürzen.
Bitten Sie zunächst Ihren Gastgeber, Ihre Kontakt- und Lieferantenlisten an einem sicheren, über das Internet zugänglichen Ort außerhalb des Rechenzentrums des Unternehmens aufzubewahren. Das scheint im Moment vielleicht nicht wichtig zu sein, aber nach einem Brand möchten Sie auf keinen Fall feststellen, dass die einzige erhaltene Kopie dieser Listen im Haus Ihres ehemaligen Geschäftsführers aufbewahrt wird – der vor zwei Jahren aus dem Bundesstaat ausgezogen ist.
Bitten Sie Ihren Gastgeber auch darum, eine Instant-Messaging-Plattform bereitzustellen, die im Katastrophenfall als kritisches Kommunikationssystem zwischen allen Mitarbeitern dient, ein Backup-E-Mail-System zur Erfassung von Unternehmens-E-Mails und zur Verhinderung von „Bounces“ bei einem Ausfall im Hauptrechenzentrum sowie ein „Hot „Standby-E-Mail-System für die Kommunikation bei Katastrophen. Dieses System funktioniert, wenn die E-Mail-Adresse des Unternehmens nicht funktioniert, und ermöglicht allen Mitarbeitern die Kommunikation untereinander – wobei die gesamte Kommunikation in Backups gespeichert wird.
Stellen Sie sicher, dass Ihr Host Ihnen ein geografisch verteiltes DNS und einen dedizierten Server zur Verfügung stellen kann, damit Unternehmenswebsites auch im Katastrophenfall online bleiben. Dieser Dienst kann entweder den Webverkehr des Unternehmens auf diesen Standby-Server verschieben oder den Endbenutzern einfach eine Benachrichtigung anzeigen. Sobald der Ausfall behoben ist, kann der Datenverkehr zurück in die Rechenzentren des Unternehmens verlagert werden.
Obwohl die meisten Katastrophen nicht vollständig vermeidbar sind, gibt es messbare Maßnahmen, die kleine und mittlere Unternehmen ergreifen können, um ihre kritischen Geschäftsfunktionen zu schützen. Die bescheidene Vorabinvestition wird sich später auszahlen und ein Unternehmen vielleicht sogar vor der ultimativen Katastrophe bewahren – dem Bankrott.