Brian Jackson - stock.adobe.com

Aus diesen Gründen ist ein Business-Resilience-Plan sinnvoll

Resilienzinitiativen sollten hohe Priorität genießen, denn katastrophale Zwischenfälle können jederzeit auftreten. Sie verursachen neben Geldverlusten auch Rufschädigungen.

Resilienz (englisch: Resilience) ist eines der vielen Schlagworte, die heute die Diskussion um die IT bestimmen. Doch was bedeutet es für eine Organisation, resilient zu sein? Der Begriff ist sehr allgemein gehalten. Hersteller machen sich keine besondere Mühe damit, den Begriff klar zu beschreiben. In den letzten Jahren hat sich die Definition trotzdem konkretisiert und der Zweck eines Business-Resilience-Plans wurde klarer.

In Bezug auf die IT bedeutet Business Resilience, dass Organisationen sich an Unterbrechungen anpassen, den Geschäftsverlauf aufrecht erhalten und gleichzeitig ihre Mitarbeiter, Daten und den Ruf des Unternehmens schützen können. Das klingt einfach, ist es aber nicht.

Dieses Konzept klingt wie Business Continuity, doch beide Begriffe bedeuten nicht dasselbe. Sie sind vielmehr komplementär: Ohne die Möglichkeit, die Kontinuität zu wahren, lässt sich Resilienz nicht erreichen. Das Ziel von IT-Resililenz ist nicht nur, dass das Geschäft weiterläuft, sondern dass es zu seinem ursprünglichen Status vor der Unterbrechung zurückkehrt, sobald die Störung endet.

Im Folgenden beantworten wir fünf grundlegende Fragen zum Thema Business-Resilience-Plan und seinen Inhalten.

Warum wird das Thema jetzt diskutiert?

Business Resilience ist in den letzten Jahren wieder zum wichtigen Thema geworden. Marktforscher betonen derzeit die Bedeutung von Resilienzinitiativen. Entwicklungen in der DR (Disaster Recovery)-Technologie ermöglichen bessere Resilienzpläne und dringende Erfordernisse an die Wiederherstellung des normalen Geschäftsablaufs steigern ihre Notwendigkeit.

Nie waren die akzeptable Dauer von Systemausfällen und die tolerierbare Menge verlorener Daten so gering wie heute. Recovery-Funktionen, die früher als nicht unbedingt nötig betrachtet wurden, sind heute verpflichtend. Da die Betonung bei der IT-Resilienz darauf liegt, Geschäftsprozesse aufrecht zu erhalten oder so schnell wie möglich wieder vollständig aufzunehmen, ist es kein Wunder, dass ihre Bedeutung wächst.

Aktuelle IT-Statistiken zeigen auch, dass die Resilienz industrieller Unternehmen unbefriedigend ist und dass viele Unternehmen dies dringend verändern möchten.

Was sollte zu einem Business-Resilience-Plan gehören?

Bei der Entwicklung einer Resilienzstrategie sollten einige grundlegende Elemente nicht fehlen. Dazu kommen optionale Komponenten, die man anfangs vielleicht nicht in Erwägung gezogen hat. Wie bereits erwähnt wurde, ist Business Continuity ein wichtiger Teil von Business Resilience. Daher ist eine gute Business-Continuity-Policy für Business Resiliency unverzichtbar. Ob traditionelle oder Cloud-basierte DR – ein Disaster-Recovery-Plan ist notwendig, um das Geschäft nach einem Desaster wieder normal fortzuführen.

Sicherheit sollte in dem Plan eine Schlüsselrolle spielen und kann helfen, sich auch gegen die schlimmsten Auswirkungen potentieller Cyberattacken vor oder während einer Unterbrechung zu schützen.

Resilienz schützt zudem den Ruf des Unternehmens. Bei der öffentlichen Wahrnehmung eines Unternehmens spielen soziale Medien eine prominente Rolle – im Guten wie im Schlechten. Zusammen mit der Unterstützung der Kommunikation im Fall eines Desasters können soziale Medien Unternehmen als Kommunikationskanal dienen, um die Öffentlichkeit zu informieren. Organisationen, die stark in den sozialen Medien präsent sind, müssen sicherstellen, dass dieses Thema auch im Business-Resilience-Plan vorkommt. Er muss Maßnahmen vorsehen, die dafür sorgen, dass die Kommunikation über soziale Medien und auf anderen Wegen nicht das Ansehen der Firma beschädigt. Auch wenn sich Daten wiederherstellen lassen – ein Ansehensverlust kann genauso schmerzhaft sein.

Warum legen nicht mehr Organisationen einen Schwerpunkt auf Resilienz?

Es dürfte inzwischen deutlich geworden sein, wie wichtig ein funktionsfähiger Business-Resilience-Plan ist. Daher fragt man sich, warum so viele Unternehmen hier hinterherhängen. Doch trotz der Möglichkeit, Daten zu verlieren und vielfältigen anderen möglichen Desastern halten Faktoren wie Kosten, Zeit und das notwendige Training Organisationen von Investitionen in Disaster Recovery und Resilienz ab.

Viele Unternehmen nehmen das Thema erst nach einem Zwischenfall Ernst. Sie haben dann aber möglicherweise kaum Geld zur Finanzierung von Resilienzinitiativen. Das Vertrauen in Business Resilience scheint sich auf einem Tiefpunkt zu befinden. Wer aber nicht handelt, erhöht das Risiko: Vielleicht schlägt das Desaster bereits zu, während das Unternehmen in aller Ruhe seine Resilienzinitiative plant. Daher sollte die Umsetzung von Business Resiliency mit hoher Priorität angegangen werden.

Welche Ressourcen braucht man für die Planung von Business Resilience?

Wer damit anfangen möchte, Resilienz zu etablieren, fragt sich, was als erstes getan werden muss. Gleichzeitig mit der Suche nach Ressourcen, die Business Continuity, Disaster Recovery und Sicherheit verstärken, sollte man einige Standards kennen, die als Richtlinien für Business Resilience gelten. Die ISO (International Organization for Standardization) veröffentlicht eine Serie von Business-Continuity- und -Resilience-Standards. Dazu gehört auch ISO 22316:2017 unter dem Titel Security and Resilience – Organiszational Resilience – Principles and Attributes. Der Standard wurde 2017 veröffentlicht und enthält Richtlinien dafür, die Resilienz von öffentlichen oder privaten Organisationen aller Art zu erhöhen. Er ist nicht auf einen bestimmten Industriezweig oder einen vertikalen Markt bezogen.

Weitere Referenzstandards für Business Resilience sind ISO 27001 (Informationssicherheit) und ISO 31000 (Risikomanagement).

Erfahren Sie mehr über Data-Center-Betrieb