Geschäftskontinuität vs. Notfallwiederherstellung: Welcher Plan ist der richtige für Sie?

Pläne zur Aufrechterhaltung der Geschäftskontinuität und zur Notfallwiederherstellung sind Risikomanagementstrategien, auf die sich Unternehmen verlassen, um sich auf unerwartete Vorfälle vorzubereiten. Obwohl die Begriffe eng miteinander verwandt sind, gibt es einige wichtige Unterschiede, die Sie bei der Auswahl des für Sie richtigen Begriffs berücksichtigen sollten:

• Geschäftskontinuitätsplan (Business Continuity Plan, BCP): Ein BCP ist ein detaillierter Plan, der die Schritte beschreibt, die ein Unternehmen im Katastrophenfall unternehmen wird, um zu normalen Geschäftsabläufen zurückzukehren. Während sich andere Pläne auf einen bestimmten Aspekt der Wiederherstellung und Unterbrechungsprävention (z. B. Naturkatastrophen oder Cyberangriffe) konzentrieren, verfolgen BCPs einen breiteren Ansatz und zielen darauf ab, sicherzustellen, dass ein Unternehmen einem möglichst breiten Spektrum von Bedrohungen standhalten kann.
• Plan zur Notfallwiederherstellung (Disaster Recovery Plan, DRP): Pläne zur Notfallwiederherstellung sind detaillierter als BCPs und enthalten Notfallpläne, wie Unternehmen ihre IT-Systeme und kritischen Daten während einer Unterbrechung konkret schützen. Neben den BCPs helfen DR-Pläne Unternehmen dabei, Daten und IT-Systeme vor vielen verschiedenen Katastrophenszenarien zu schützen, wie z. B. vor massiven Ausfällen, Naturkatastrophen, Angriffen mit Ransomware und Malware und vielen anderen.
• Geschäftskontinuität und Notfallwiederherstellung (Business Continuity and Disaster Recovery, BCDR): Geschäftskontinuität und Notfallwiederherstellung können je nach Geschäftsanforderungen zusammen oder getrennt angegangen werden. In letzter Zeit gehen immer mehr Unternehmen dazu über, die beiden Disziplinen gemeinsam zu praktizieren, und fordern Führungskräfte auf, bei Praktiken der Geschäftskontinuität (Business Disaster, BC) und Notfallwiederherstellung (Disaster Recovery, DR) zusammenzuarbeiten, anstatt isoliert zu arbeiten. Dies hat dazu geführt, dass die beiden Begriffe zu einem einzigen, BCDR, zusammengefasst wurden, wobei die wesentliche Bedeutung der beiden Praktiken unverändert bleibt.

Unabhängig davon, wie Sie die Entwicklung von BCDR in Ihrem Unternehmen angehen möchten, ist es erwähnenswert, wie schnell dieser Bereich weltweit wächst. Da die Folgen schlechter BCDR wie Datenverlust und Ausfallzeiten immer teurer werden, stocken viele Unternehmen ihre bestehenden Investitionen auf. Im vergangenen Jahr waren Unternehmen weltweit bereit, 219 Milliarden US-Dollar für Cybersicherheit und -lösungen auszugeben, was einem Anstieg von 12 % gegenüber dem Vorjahr entspricht. Dies geht aus einem aktuellen Bericht der International Data Corporation (IDC) hervor (Link befindet sich außerhalb von ibm.com).

Mit Plänen zu Geschäftskontinuität (BCPs) und Notfallwiederherstellung (DRPs) können sich Unternehmen auf eine Vielzahl ungeplanter Vorfälle vorbereiten. Bei effektiver Umsetzung kann ein guter DR-Plan den Stakeholdern helfen, die Risiken besser zu verstehen, die eine bestimmte Bedrohung für die regulären Geschäftsfunktionen darstellen kann. Unternehmen, die nicht in Business Continuity Disaster Recovery (BCDR) investieren, sind häufiger von Datenverlusten, Ausfallzeiten, Geldstrafen und Reputationsschäden aufgrund ungeplanter Vorfälle betroffen.

Hier sind einige der Vorteile, die Unternehmen erwarten können, die in Pläne zur Geschäftskontinuität und Notfallwiederherstellung investieren:

• Verkürzte Ausfallzeit: Wenn eine Katastrophe den normalen Geschäftsbetrieb zum Erliegen bringt, kann es Unternehmen Hunderte Millionen Dollar kosten, bis sie wieder einsatzbereit sind. Cyberangriffe mit hohem Bekanntheitsgrad sind besonders schädlich, da sie häufig unerwünschte Aufmerksamkeit erregen und dazu führen, dass Investoren und Kunden zur Konkurrenz abwandern, die mit kürzeren Ausfallzeiten wirbt. Die Implementierung eines starken BCDR-Plans kann Ihren Wiederherstellungszeitrahmen verkürzen, unabhängig von der Art der Katastrophe, mit der Sie konfrontiert sind.
• Geringeres finanzielles Risiko: Laut IBMs aktuellem Cost of Data Breach Report beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2023 auf 4,45 Millionen US-Dollar – ein Anstieg von 15 % seit 2020. Unternehmen mit soliden Plänen zur Aufrechterhaltung der Geschäftskontinuität haben gezeigt, dass sie diese Kosten durch kürzere Ausfallzeiten und ein größeres Vertrauen von Kunden und Investoren erheblich senken können.
• Geringere Strafen: Datenschutzverletzungen können zu hohen Strafen führen, wenn private Kundeninformationen durchsickern. Unternehmen, die im Bereich des Gesundheitswesens und der persönlichen Finanzen tätig sind, sind aufgrund der Sensibilität der Daten, die sie verarbeiten, einem höheren Risiko ausgesetzt. Für Unternehmen, die in diesen Sektoren tätig sind, ist eine solide Strategie zur Gewährleistung der Geschäftskontinuität unerlässlich, um das Risiko hoher finanzieller Strafen relativ gering zu halten.

Die Planung der Geschäftskontinuität und Notfallwiederherstellung (Business Continuity Disaster Recovery, BCDR) ist am effektivsten, wenn Unternehmen einen separaten, aber koordinierten Ansatz verfolgen. Obwohl Notfallpläne für die Geschäftskontinuität (Business Continuity Plans, BCPs) und Notfallwiederherstellungspläne (Disaster Recovery Plans, DRPs) sich ähneln, gibt es wichtige Unterschiede, die es vorteilhaft machen, sie getrennt voneinander zu entwickeln:

• Starke BCPs konzentrieren sich auf Taktiken, um den normalen Betrieb vor, während und unmittelbar nach einer Katastrophe am Laufen zu halten. 
• DRPs sind in der Regel reaktiver und zeigen Wege auf, wie auf einen Vorfall reagiert und alles wieder reibungslos zum Laufen gebracht werden kann.

Bevor wir uns damit befassen, wie Sie effektive BCPs und DRPs erstellen können, wollen wir uns einige Begriffe ansehen, die für beide relevant sind:

• Recovery Time Objective (RTO): RTO bezeichnet die Zeit, die benötigt wird, um Geschäftsprozesse nach einem ungeplanten Vorfall wiederherzustellen. Die Festlegung eines angemessenen RTO ist eine der ersten Maßnahmen, die Unternehmen ergreifen müssen, wenn sie einen BCP- oder DRP-Plan erstellen. 
• Recovery Point Objective (RPO): Das Recovery Point Objective (RPO) Ihres Unternehmens ist die Datenmenge, die im Falle eines Notfalls verloren gehen darf, damit eine Wiederherstellung noch möglich ist. Da der Datenschutz eine Kernkompetenz vieler moderner Unternehmen ist, kopieren manche Unternehmen ihre Daten ständig in ein entferntes Rechenzentrum, um im Falle eines massiven Datenlecks die Kontinuität zu gewährleisten. Andere legen eine tolerierbare RPO von wenigen Minuten (oder sogar Stunden) fest, damit Geschäftsdaten von einem Backup-System wiederhergestellt werden können, in dem Wissen, dass sie alles wiederherstellen können, was in dieser Zeit verloren gegangen ist.

Zwar hat jedes Unternehmen leicht unterschiedliche Anforderungen an die Planung der Geschäftskontinuität, doch gibt es vier weit verbreitete Schritte, die unabhängig von Größe oder Branche zu guten Ergebnissen führen.

1. Durchführung einer Business-Impact-Analyse 

Die Business-Impact-Analyse (BIA) hilft Unternehmen, die verschiedenen Bedrohungen, denen sie ausgesetzt sind, besser zu verstehen. Eine starke BIA umfasst die Erstellung solider Beschreibungen aller potenziellen Bedrohungen und aller Schwachstellen, die sie aufdecken könnten. Außerdem schätzt die BIA die Wahrscheinlichkeit jedes Ereignisses ein, damit das Unternehmen sie entsprechend priorisieren kann.

2. Erstellung potenzieller Antworten

Für jede Bedrohung, die Sie in Ihrer BIA identifizieren, müssen Sie eine Antwort für Ihr Unternehmen entwickeln. Unterschiedliche Bedrohungen erfordern unterschiedliche Strategien. Daher ist es sinnvoll, für jede Katastrophe, mit der Sie konfrontiert werden könnten, einen detaillierten Plan für die mögliche Wiederherstellung zu erstellen.

3. Zuweisung von Rollen und Zuständigkeiten

Der nächste Schritt besteht darin, herauszufinden, was im Katastrophenfall von Ihren Teammitgliedern für die Notfallwiederherstellung verlangt wird. In diesem Schritt müssen die Erwartungen dokumentiert und Überlegungen dazu angestellt werden, wie Einzelpersonen bei einem ungeplanten Vorfall kommunizieren werden. Denken Sie daran, dass viele Bedrohungen wichtige Kommunikationsfunktionen wie Mobilfunk- und WLAN-Netze lahmlegen können. Daher ist es ratsam, über Kommunikations-Notfallverfahren zu verfügen, auf die Sie sich verlassen können.

4. Erproben und Überarbeiten Ihres Plans

Für jede Bedrohung, auf die Sie sich vorbereitet haben, müssen Sie Ihre BCDR-Pläne ständig trainieren und verfeinern, bis sie reibungslos funktionieren. Proben Sie ein möglichst realistisches Szenario, ohne dabei Personen einem tatsächlichen Risiko auszusetzen, damit die Teammitglieder Vertrauen aufbauen und herausfinden können, wie sie sich im Falle einer Unterbrechung der Geschäftskontinuität wahrscheinlich verhalten werden.

Ebenso wie BCPs identifizieren DRPs Schlüsselrollen und -verantwortlichkeiten und müssen ständig auf ihre Wirksamkeit überprüft und verfeinert werden. Hier ist ein weit verbreiteter vierstufiger Prozess zum Erstellen von DRPs.

1. Führen Sie eine Business-Impact-Analyse durch

Wie Ihr BCP beginnt auch Ihr DRP mit einer sorgfältigen Bewertung jeder Bedrohung, der Ihr Unternehmen ausgesetzt sein könnte, und der möglichen Auswirkungen. Bedenken Sie den Schaden, den jede potenzielle Bedrohung anrichten könnte, und die Wahrscheinlichkeit, dass dadurch Ihr täglicher Geschäftsbetrieb unterbrochen wird. Weitere Überlegungen könnten den Verlust von Einnahmen, Ausfallzeiten, Kosten für die Wiederherstellung des guten Rufs (Öffentlichkeitsarbeit) und den Verlust von Kunden und Investoren aufgrund schlechter Presse umfassen.

2. Bestandsaufnahme Ihrer Assets

Effektive DRPs setzen voraus, dass Sie genau wissen, was Ihr Unternehmen besitzt. Führen Sie diese Bestandsaufnahmen regelmäßig durch, damit Sie Hardware, Software, IT-Infrastruktur und alles andere, auf das Ihr Unternehmen für kritische Geschäftsfunktionen angewiesen ist, leicht identifizieren können. Sie können die folgenden Bezeichnungen verwenden, um die einzelnen Assets zu kategorisieren und ihren Schutz zu priorisieren – kritisch, wichtig und unwichtig.

• Kritisch: Kennzeichnen Sie Assets als kritisch, wenn Sie für Ihre normalen Geschäftsabläufe auf sie angewiesen sind.
• Wichtig: Verwenden Sie dieses Label für alles, was Sie mindestens einmal am Tag benutzen und dessen Ausfall Ihre kritischen Betriebsabläufe beeinträchtigen (aber nicht vollständig zum Erliegen bringen) würde.
• Unwichtig: Dies sind die Assets, die Ihrem Unternehmen gehören, die Sie aber so selten nutzen, dass sie für den normalen Betrieb nicht unbedingt erforderlich sind.

3. Zuweisung von Rollen und Zuständigkeiten

Wie in Ihrem BCP müssen Sie die Verantwortlichkeiten beschreiben und sicherstellen, dass Ihre Teammitglieder über die erforderlichen Mittel verfügen, um diese zu erfüllen. Hier sind einige häufig verwendete Rollen und Verantwortlichkeiten, die Sie berücksichtigen sollten:

• Vorfallsberichterstatter: Eine Person, die die Kontaktinformationen der relevanten Parteien verwaltet und bei Störfällen mit Unternehmensführern und Stakeholdern kommuniziert.
• DRP-Supervisor: Eine Person, die sicherstellt, dass die Teammitglieder die ihnen zugewiesenen Aufgaben während eines Vorfalls ausführen. 
• Asset-Manager: Jemand, dessen Aufgabe es ist, kritische Assets zu sichern und zu schützen, wenn eine Katastrophe eintritt. 

4. Proben Sie Ihren Plan

Genau wie bei Ihrem BCP müssen Sie Ihren DRP ständig einüben und aktualisieren, damit er effektiv ist. Üben Sie regelmäßig und aktualisieren Sie Ihre Dokumente entsprechend aller sinnvollen Änderungen, die vorgenommen werden müssen. Wenn Ihr Unternehmen beispielsweise nach der Erstellung Ihres DRP ein neues Asset erwirbt, müssen Sie dieses in Ihren Plan aufnehmen, da es sonst im Katastrophenfall nicht geschützt ist.

Unabhängig davon, ob Sie einen Plan zur Aufrechterhaltung der Geschäftskontinuität (BCP), einen Notfallwiederherstellungsplan (DRP) oder beides zusammen oder getrennt benötigen, kann es hilfreich sein, sich anzusehen, wie andere Unternehmen Pläne aufgestellt haben, um ihre Bereitschaftsmaßnahmen zu verbessern. Hier sind einige Beispiele für Pläne, die Unternehmen sowohl bei der Vorbereitung auf BC als auch auf DR geholfen haben.

• Krisenmanagementplan: Ein guter Krisenmanagementplan kann Teil der Geschäftskontinuitäts- oder Notfallwiederherstellungsplanung sein. Krisenmanagementpläne sind detaillierte Dokumente, die beschreiben, wie Sie mit einer bestimmten Bedrohung umgehen. Sie enthalten detaillierte Anweisungen, wie ein Unternehmen auf eine bestimmte Art von Krise reagiert, z. B. auf einen Stromausfall, Cyberkriminalität oder eine Naturkatastrophe. Insbesondere wird erläutert, wie sie mit dem stündlichen und minütlichen Druck umgehen, während sich das Ereignis entfaltet. Viele der Schritte, Rollen und Verantwortlichkeiten, die für die Planung der Geschäftskontinuität und der Notfallwiederherstellung erforderlich sind, sind auch für gute Krisenmanagementpläne relevant.
• Kommunikationsplan: Kommunikationspläne (oder Comms-Pläne) gelten gleichermaßen für die Geschäftskontinuität und die Notfallwiederherstellung. Sie beschreiben, wie Ihr Unternehmen bei einem ungeplanten Vorfall speziell auf PR-Bedenken eingeht. Um einen guten Kommunikationsplan zu erstellen, stimmen sich Führungskräfte in der Regel mit Kommunikationsspezialisten ab, um ihre Kommunikationspläne zu formulieren. Einige haben spezifische Pläne für Katastrophen, die sowohl als wahrscheinlich als auch als folgenschwer eingestuft werden, sodass sie genau wissen, wie sie reagieren werden.
• Netzwerkwiederherstellungsplan: Netzwerkwiederherstellungspläne helfen Unternehmen bei der Wiederherstellung von unterbrochenen Netzwerkdiensten, einschließlich Internetzugang, Mobilfunkdaten, lokale Netzwerke (LANs) und Fernnetze (WANs). Netzwerkwiederherstellungspläne sind in der Regel breit angelegt, da sie sich auf ein grundlegendes Bedürfnis – die Kommunikation – konzentrieren und eher auf der Seite der Geschäftskontinuität als der Notfallwiederherstellung betrachtet werden sollten. Angesichts der Bedeutung vieler vernetzter Dienste für den Geschäftsbetrieb konzentrieren sich die Pläne zur Wiederherstellung des Netzwerks auf die Schritte, die erforderlich sind, um Dienste nach einer Unterbrechung schnell und effektiv wiederherzustellen.
• Wiederherstellungsplan für Rechenzentren: Ein Wiederherstellungsplan für Rechenzentren ist eher in einem BCP als in einem DRP enthalten, da er sich auf die Datensicherheit und Bedrohungen für die IT-Infrastruktur konzentriert. Zu den häufigsten Bedrohungen für das Daten-Backup gehören überlastetes Personal, Cyberangriffe, Stromausfälle und Schwierigkeiten bei der Einhaltung von Compliance-Anforderungen. 
• Virtualisierter Wiederherstellungsplan: Ähnlich wie ein Rechenzentrumsplan ist ein virtualisierter Wiederherstellungsplan eher Teil eines BCP als eines DRP, da der Schwerpunkt eines BCP auf IT- und Datenressourcen liegt. Virtualisierte Wiederherstellungspläne basieren auf Instanzen virtueller Maschinen (VM), die innerhalb weniger Minuten nach einer Unterbrechung in Betrieb genommen werden können. Virtuelle Maschinen sind Darstellungen/Emulationen von physischen Computern, die Wiederherstellung kritischer Anwendungen durch Hochverfügbarkeit (HA) oder die Fähigkeit eines Systems ermöglichen, kontinuierlich ohne Ausfälle zu arbeiten.

Selbst eine geringfügige Unterbrechung kann Ihr Unternehmen gefährden. IBM verfügt über eine Vielzahl von Notfallplänen und Lösungen zur Notfallwiederherstellung, um Ihr Unternehmen auf eine Vielzahl von Bedrohungen vorzubereiten, darunter Cloud-Backup- und Notfallwiederherstellungsfunktionen sowie Sicherheits- und Resilienzdienste.