Katastrophenwiederherstellung und Geschäftskontinuität
Januar 28, 2023 • security

Einführung
Wir haben alle mindestens einmal in unserem Leben gehört, wie jemand ruft: „Die Show muss weitergehen“. In der Cybersicherheit wird dieses Motto oft verwendet, um die Notwendigkeit eines Business Continuity- und Disaster Recovery-Plans (BC&DR) zu erklären. Vorfälle können passieren, aber sie sollten kein Grund sein, deine Aktivität zu stoppen oder mehr Geld zu verlieren als nötig. Um sich vor diesen Gefahren zu schützen, musst du einen (BC&DR)-Plan haben. In diesem Artikel werde ich dir eine detaillierte Erklärung geben, wie diese beiden zusammenarbeiten und ein paar Richtlinien für die Implementierung davon.
Was sind Business Continuity und Disaster Recovery?
Diese beiden Pläne können miteinander verflochten oder sogar im selben Dokument skizziert werden, sie behandeln jedoch zwei verschiedene Aspekte der Cybersicherheit und des Organisationsmanagements:
Disaster Recovery ist der Prozess der Wiederherstellung des normalen Betriebs nach einem (katastrophalen) Vorfall. Dies umfasst die Wiederherstellung von Daten, Hardware, Software und anderen IT-Ressourcen auf einen Zustand, der so nah wie möglich an ihrem optimalen Zustand liegt. Disaster Recovery-Pläne befassen sich in der Regel mit Themen wie der Sicherung von Daten, der Erstellung und dem Testen von Notfallverfahren sowie der Schulung von Mitarbeitern, wie sie auf katastrophale Ereignisse reagieren können.
Andererseits ist die Geschäftskontinuität der Prozess, durch den wichtige Geschäftsoperationen während und nach einem negativen Ereignis schnell aufrechterhalten oder wiederhergestellt werden. Dies erfordert in der Regel die Entwicklung von Plänen zur Minimierung von Störungen des Unternehmens, nachdem die kritischsten Aktivitäten und die damit verbundenen Infrastrukturen/Ressourcen identifiziert wurden, die durch die meisten Unfälle nicht beeinträchtigt werden sollten. Pläne zur Geschäftskontinuität beinhalten typischerweise Strategien zur Aufrechterhaltung oder schnellen Wiederherstellung wichtiger Geschäftsprozesse, wie zum Beispiel Kundenservice, Produktion und Finanzoperationen.
Der wesentliche Unterschied zwischen diesen beiden Praktiken liegt in der Tatsache, dass Business Continuity-Pläne Notfall-Lösungen sind, die leicht anzunehmen sind, um eine effiziente Reaktion auf ein aufkommendes Problem zu geben. Disaster Recovery-Pläne hingegen können langsam und komplex sein, aber sie zielen darauf ab, Informationen und Infrastrukturen so nahe wie möglich an den Zustand vor dem Unfall zu bringen.
Wichtigkeit eines Bc&dr-Plans

Die Bedeutung eines Business Continuity und Disaster Recovery (BC&DR)-Plans wurde durch die Reaktion der Fujitsu Group auf das große Erdbeben in Ostjapan im Jahr 2011 hervorgehoben. Trotz eines Verlustes von rund 100 Millionen Dollar stellten sie alle kritischen Systeme innerhalb von 24 Stunden wieder her und waren innerhalb einer Woche vollständig betriebsbereit, dank ihres gut vorbereiteten BC&DR-Plans. Sie erholten nicht nur ihre eigenen Systeme, sondern konnten auch anderen Unternehmen und Personen, die von der Katastrophe betroffen waren, Hilfe und Unterstützung anbieten. Ein BC&DR-Plan kann die potenziellen Kosten eines Unternehmens im Falle einer Naturkatastrophe erheblich senken. Mehrere Fallstudien, einschließlich des Fujitsu-Vorfalls, haben dies gezeigt.
Um Ihren BC&DR-Plan zu erstellen oder zu bewerten, berücksichtigen Sie die folgenden wichtigen Schritte.
Starting from Business Continuity:
- Identifizieren Sie kritische Geschäftsprozesse: Ein Geschäftsprozess bezieht sich auf jede Kombination von Aktivitäten und den notwendigen Ressourcen, die erforderlich sind, um Eingaben in Ausgaben umzuwandeln. Kritische Funktionen sind hingegen diejenigen Aktivitäten und Individuen, die für den fortlaufenden Betrieb Ihres Unternehmens unerlässlich sind – ohne sie wäre Ihr Unternehmen nicht in der Lage, Ausgaben zu produzieren. Der erste Schritt bei der Identifizierung kritischer Funktionen besteht darin, die Schlüsselpersonen und Vermögenswerte zu bestimmen, die für das Überleben Ihres Unternehmens unverzichtbar sind.
- Identifizieren Sie potenzielle Störungen: Sobald Sie Vermögenswerte und Ressourcen identifiziert haben, die für Ihre Betriebsabläufe von entscheidender Bedeutung sind, ist es wichtig, potenzielle Bedrohungen zu erkennen, die ihre Funktionsfähigkeit beeinträchtigen könnten. Zu diesen Bedrohungen könnten Naturkatastrophen wie Erdbeben, politische Unruhen oder die Ausnutzung von Cyber-Sicherheitslücken gehören. Es ist wichtig, die Bedeutung nicht zu übersehen, eindeutig zu definieren, welche dieser Störungen für einige, alle oder keine der kritischen Funktionen zutreffen. Dies hilft Ihnen, den nächsten Schritt im Risikomanagementprozess effizient zu erledigen.
- Entwickeln Sie Verfahren zur Aufrechterhaltung oder schnellen Wiederherstellung kritischer Geschäftsprozesse: Sobald Sie die kritischen Funktionen identifiziert haben, ist es wichtig, einen Plan zu entwickeln, der sicherstellt, dass diese Funktionen im Falle einer Katastrophe weiterarbeiten können. Dies kann die Schaffung eines sekundären Standorts, das Bereitstellen von Kommunikationsgeräten für Notfälle oder die Implementierung einer Reihe von Anweisungen für andere Funktionen umfassen, die im Falle einer Störung zu befolgen sind. Die Wirksamkeit dieses Schrittes wird einen großen Einfluss auf Ihre Fähigkeit haben, eine umfassende Lösung für die wahrscheinlichsten Ursachen von Störungen zu identifizieren.
- Entwickeln Sie einen Kommunikationsplan: Ein gut ausgearbeiteter Business Continuity Plan ist ineffektiv, wenn er nicht richtig umgesetzt wird. Es ist entscheidend, einen Plan zu haben, um Mitarbeiter und Kunden bei auftretenden Störungen effektiv zu informieren. Um die erfolgreiche Umsetzung Ihres Business Continuity Plans zu gewährleisten, ist es entscheidend, einen starken und detaillierten Kommunikationsplan zu haben. Dieser Plan sollte potenzielle Störungen berücksichtigen, die während des Planungsprozesses identifiziert wurden, um sicherzustellen, dass Sie Ihren Business Continuity Plan schnell und effizient einleiten können, wenn es nötig ist.
- Entwickeln Sie einen Kommunikationsplan: Ein gut ausgearbeiteter Business-Continuity-Plan ist unwirksam, wenn er nicht ordnungsgemäß umgesetzt wird. Es ist wichtig, einen Plan zu haben, um Mitarbeiter und Kunden während etwaiger Störungen sofort zu informieren. Um eine erfolgreiche Umsetzung Ihres Business-Continuity-Plans zu gewährleisten, ist es entscheidend, einen starken und detaillierten Kommunikationsplan zu haben. Dieser Plan sollte potenzielle Störungen berücksichtigen, die während des Planungsprozesses identifiziert wurden, um sicherzustellen, dass Sie Ihren Business-Continuity-Plan schnell und effizient initiieren können, wenn dies erforderlich ist.
- Erstellen Sie einen Plan zur Wartung und Aktualisierung des Geschäftsfortführungsplans: Identifizieren und dokumentieren Sie alle Ressourcen, die regelmäßig aktualisiert werden müssen, damit der Geschäftsfortführungsplan wirksam bleibt. Legen Sie spezifische Fristen fest und benennen Sie Personen, die dafür verantwortlich sind, diese Dokumente aktuell zu halten.
Auf der anderen Seite sollte ein Notfallwiederherstellungsplan Folgendes beinhalten:
- Identify Critical Systems and Data for Recovery: Es ist entscheidend, die Infrastruktur und Ressourcen zu identifizieren, die von hoher Priorität sind und im Falle eines Verlusts wiederhergestellt werden müssen.
- Identifizieren Sie potenzielle Katastrophenszenarien: Verschiedene Katastrophenszenarien können unterschiedliche Wiederherstellungskosten haben. Zum Beispiel wird ein Serverraum, der 24 Stunden lang überflutet wurde, unterschiedliche Wiederherstellungskosten haben als einer, der weniger als 1 Stunde überflutet wurde.
- Entwickeln Sie Verfahren zum Sichern und Wiederherstellen von Daten und Systemen: Erstellen Sie einen detaillierten Plan zur Wiederherstellung der in Schritt eins identifizierten Ressourcen, basierend auf den in Schritt zwei entwickelten Szenarien.
- Test and Regularly Update the Disaster Recovery Plan: Ensure that employees are informed of the disaster recovery procedures and trained to follow them. If the procedures involve the involvement of third parties, make sure to have appropriate agreements in place.
- Erstellen Sie einen Plan zur Wartung und Aktualisierung des Notfallwiederherstellungsplans: Identifizieren und dokumentieren Sie alle benötigten Ressourcen und Anbieter für den Wiederherstellungsprozess und halten Sie diese Listen aktuell. Aktualisieren Sie außerdem bei Bedarf Ihre Szenarien und Budgetierung.
Wenn es darum geht, einen Plan für die Notfallwiederherstellung und die Geschäftskontinuität zu entwickeln, liegt der Ansatz, den Sie wählen, ganz bei Ihnen und den Vorlieben Ihres Unternehmens. Einige Unternehmen bevorzugen es, ein einziges, umfassendes Dokument zur Vereinfachung zu haben, während andere es bevorzugen, jeden Aspekt separat zu behandeln. Unabhängig davon, für welchen Ansatz Sie sich entscheiden, ist es wichtig zu bedenken, dass keiner von beiden von Natur aus besondere Vorteile oder Nachteile gegenüber dem anderen bietet.
Die Quintessenz
Es ist entscheidend, einen offenen Geist zu bewahren und wachsam zu bleiben, wenn man einen Katastrophenwiederherstellungs- oder Geschäftskontinuitätsplan entwickelt. Die Gründe dafür mögen keine regulatorischen Anforderungen sein, sondern vielmehr strategische und wettbewerbsrechtliche Überlegungen. Unvorhergesehene Ereignisse wie politische Turbulenzen, Cyberangriffe und Naturkatastrophen können jede Branche erheblich beeinflussen. Unternehmen, die darauf vorbereitet sind, solche Ereignisse zu überstehen und schnell zu erholen, sind diejenigen, die in der Lage sein werden, eine Krise in eine Gelegenheit zu verwandeln. Lassen Sie nicht zu, dass ein Mangel an Planung der Faktor ist, der Sie zurückhält.

Sicherheit
admin ist eine leitende Redakteurin für Government Technology. Zuvor schrieb sie für PYMNTS und The Bay State Banner. Sie hat einen B.A. in kreativem Schreiben von Carnegie Mellon. Sie lebt in der Nähe von Boston.