freshidea - Fotolia
Business Continuity/Disaster Recovery: 4 Ansätze im Vergleich
Die Entwicklung einer Strategie für BC und DR gestaltet sich für viele Unternehmen schwierig. Hilfreich ist es, zwischen diesen vier verschiedenen Ansätzen zu unterscheiden.
Eine Strategie für Business Continuity (BC) und Disaster Recovery (DR) zu entwickeln, ist selten eine einfache Sache. Dieser Prozess erfordert in der Regel das Sammeln sehr vieler Informationen, verbunden mit dem Zusammensetzen von Produkten und Services, mit denen gemeinsam man schließlich zu einer durchdachten und zuverlässigen DR-Strategie kommen kann.
Die Phase des Sammelns von Informationen macht einen der wichtigsten Teile des BC/DR-Planungsprozesses aus. Während es verlockend sein kann, sich auf die Planungen rund um die Errichtung der erforderlichen IT-Infrastruktur zu konzentrieren, verlangen die BC/DR-Pläne in der Regel eine wesentlich stärkere Business-Ausrichtung.
Einer der ersten Schritte, den ein Unternehmen bei dem Aufstellen eines BC/DR-Plans ansteuern sollte, besteht in der Durchführung einer umfassenden Risikoanalyse. Schließlich ist es unmöglich, einen angemessenen BC-Plan zu erstellen, ohne dass eventuell gefährliche Risiken für die Kontinuität des Geschäfts identifiziert worden sind.
Obwohl das IT-Team eines Unternehmens sicher ein Gefühl für die möglichen Risiken haben wird, ist es bei großen Unternehmen eher üblich, die Untersuchung zur Risikoanalyse an eine Consulting- oder Auditing-Firma zu vergeben, die auf Dienstleistungen für BC-Planung spezialisiert ist.
Ein anderer wesentlicher Schritt bei der Einbettung von BC in eine DR-Strategie besteht darin, eine Business Impact Analysis (BIA) durchzuführen. Eine solche Untersuchung weist allen IT-Operationen eines Unternehmens einen bestimmten finanziellen Wert zu. Das bedeutet, dass festgelegt wird, welche Workloads für die anstehenden Aufgaben besonders wichtig sind. Zusätzlich bestimmt ein solcher Report im allgemeinen die Kosten pro Minute, die bei eventuellen Ausfällen einzelner Operationen für das Unternehmen anfallen werden.
Für eine DR-Strategie ist ein BIA-Bericht wichtig, da er die IT-Abteilung bei der Festsetzung von Prioritäten in ihrer Arbeit unterstützt. BC- und DR-Prozesse können teuer sein. Es gibt eventuell nicht genügend finanzielle oder personelle Ressourcen, um DR-Fähigkeiten für alle Workloads des Unternehmens zur Verfügung zu stellen. Indem die Ausfallkosten für alle einzelnen Workloads festgelegt werden, kann die IT-Abteilung Prioritäten für wichtige Prozesse bestimmen. Auf die gleiche Weise kann das Wissen um die Ausfallkosten dabei helfen, die BC-Ausgaben im Budget angemessen zu berücksichtigen.
Selbst wenn ein Unternehmen über die notwendigen Ressourcen verfügt, um die ganze IT-Infrastruktur komplett redundant aufzustellen, nimmt die Aufstellung eines BC/DR-Plans Zeit in Anspruch. Das Unternehmen bleibt solange für einen Ausfall verwundbar, bis der Plan vollständig umgesetzt ist. Wenn man weiß, welche Prozesse besonders wichtig für die Aufrechterhaltung der normalen Geschäftsvorgänge sind, kann die IT-Abteilung bestimmen, wo man im Notfall zu beginnen hat.
Obwohl die IT-Abteilung eine Ahnung davon haben wird, welche Workloads besonders wichtig für das Geschäft sind, hat sie in der Regel nicht so viel Einblick darin, wie das Geschäft wirklich funktioniert. Es ist dementsprechend unwahrscheinlich, dass die IT-Abteilung über Informationen oder Hintergründe verfügt, die für die BIA-Produktion erforderlich sind. Ein solcher Report muss fast immer von der Finanzabteilung des Unternehmens oder von einer externen Buchhaltungsfirma erstellt werden.
Verbreitete Ansätze für eine BC/DR-Strategie
Es gibt vier hauptsächliche Ansätze, die Unternehmen gewöhnlich für die Absicherung und Straffung ihrer BC- und DR-Strategie verfolgen. Man beachte, dass es in der Praxis unzählige Varianten dieser Ansätze gibt.
1. Externe Expertise einholen. Wählt man diesen Ansatz, nutzt ein Unternehmen eine Mischung aus BC-Firmen und DR-Anbietern, wobei man besonders auf die Einhaltung der Unternehmensvorgaben achtet. Ein Unternehmen kann zum Beispiel einen Dienstleister für eine Risikoanalyse einsetzen und einen anderen für einen Business-Impact-Bericht.
Dahinter steckt der Gedanke, dass eine Buchhaltungsfirma wahrscheinlich am besten geeignet ist für einen Business-Impact-Report, während eine Firma für IT Auditing wahrscheinlich am besten die Risiken beschreiben kann, die bereits existieren. Zusätzliche Dienstleister kann man je nach Bedarf einsetzen. In einigen Fällen kann es zu einer Überschneidung bei den jeweiligen Erfahrungen kommen, da jede Firma in der Regel ihre eigenen Kernkompetenzen besitzt.
Der Best-in-Class-Ansatz ist wahrscheinlich die teuerste aller Optionen, die wir hier vorstellen, weil sie mehrere Fachleute voraussetzt. Trotzdem sind die Kosten wohl gerechtfertigt, da am Ende ein BC/DR-Recovery-Plan herauskommt, der von mehreren Experten gründlich geprüft worden ist.
2. Partnermanagement. Mit dieser Option setzt ein Unternehmen einen BC-Dienstleister ein, der über eine Partnerschaft mit einem Managed Service Provider (MSP) für DR verfügt. Dieser Ansatz ist wahrscheinlich nicht so teuer wie der Best-in-Class-Ansatz, weil weniger Experten zum Einsatz kommen, aber er sollte noch immer eine brauchbare Option darstellen.
Bei diesem Ansatz bewertet eine Firma, die sich auf BC spezialisiert hat, die Anforderungen eines Unternehmens und entwickelt zusammen mit einem DR-Partner eine Strategie. Einer der größten Vorteile dieses Ansatzes besteht in seiner Effizienz. Weil der BC-Dienstleister an die Zusammenarbeit mit seinem Partner gewöhnt ist, wird die Entwicklung einer umfassenden DR-Strategie wahrscheinlich schneller und einfacher vonstatten gehen als bei dem vorherigen Ansatz, der eine Bandbreite von Firmen erfordert, die nicht an eine Kooperation miteinander gewöhnt sind.
3. Ein einziger Anbieter. Ein dritter Ansatz dreht sich um einen Managed Service Provider (MSP) mit einem Angebot für DR as a Service (DRaaS). Dieser Fall ist sogar billiger als eine Managed Partnership, weil die ganze Erfahrung von einer einzigen Firma geliefert wird. Weil sich diese Firma wahrscheinlich auf eine geringe Anzahl von DR-Services stützt, wird sie sich auch genau bei eventuellen Schwierigkeiten mit diesen Services auskennen und wird deshalb in der Lage sein, eine gut durchdachte Strategie ohne plötzliche Überraschungen auszuarbeiten.
4. Eine Do-it-Yourself-Lösung. Bei diesem Ansatz führt die eigene IT-Mannschaft des Unternehmens die ganze Planung durch und stellt dann ein DR-Angebot zusammen, das sich auf einen Public Cloud Provider wie zum Beispiel Microsoft Azure oder AWS stützt.
Der letzte Ansatz ist bei weitem der billigste von allen vier, aber er hat mindestens einen deutlichen Nachteil: Der Projekterfolg ist vollständig von der Erfahrung des IT-Teams abhängig. Während die IT-Leute eines Unternehmens vermutlich kompetent sind, haben sie eventuell Erfahrung mit der Entwicklung einer DR-Strategie oder auch nicht. Man muss außerdem beachten, dass Firmen, die sich auf BC spezialisiert haben, fast immer über Angestellte mit einem Business-Hintergrund verfügen.
Umgekehrt wird die interne IT-Abteilung eines Unternehmens alle notwendige technische Kompetenz besitzen, aber nur wenig an echtem Business-Hintergrund. Deshalb wird sich das IT-Team schwer damit tun, die wirklichen Geschäftsprozesse zu verstehen, die bei dem BC-Ansatz berücksichtigt werden müssen.
Es ist klar, dass viel Arbeit in den BC/DR-Planungsprozess investiert werden muss. Obwohl ein Unternehmen letztlich DR-Fähigkeiten in allen möglichen Formen realisiert, werden die meisten von ihnen wohl eine Strategie bevorzugen, die sich auf eine der vier hier dargestellten Varianten stützt.