So nutzen Sie die Vorlage für Business-Continuity-Tests
Das Testen der Business Continuity kann eine große Herausforderung darstellen. Die kostenlose Vorlage zeigt, wie Tests in den Prozess des BC-Managements integriert werden können.
Business-Continuity-Pläne sind wertlos, wenn sie nicht regelmäßig getestet werden. Der Schlüssel zur Geschäftsresilienzliegt in der Einbeziehung von Tests in den gesamten Prozess des Business Continuity Managements (BCM).
Es gibt verschiedene Aktivitäten, die eine Organisation durchführen kann, um einen Geschäftskontinuitätsplan zu testen. Um sicherzustellen, dass die Mitarbeiter ihre Rollen und Verantwortlichkeiten kennen, kann eine Organisation Tabeltop Exercises (TTX) oder ähnliche Maßnahmen durchführen. IT-Administratoren können auch Tests auf Systemebene umsetzen, bei denen sie die Stromzufuhr abschalten, um einen Ausfall zu simulieren. Business-Continuity-Tests können eine unternehmensweite Beteiligung erfordern, insbesondere bei der Vorbereitung auf Ereignisse, die über einen Konferenzraum hinausgehen.
Unternehmen können enorme finanzielle Verluste erleiden, wenn sie ihre Geschäftskontinuitätspläne nicht testen. Betriebsunterbrechungen, die über bestimmte Grenzen hinausgehen, können zu Umsatzeinbußen und Rufschädigung führen. Erfolgreiche Tests erfordern die Unterstützung des Managements, Zeit für die Vorbereitung und Durchführung, finanzielle Mittel, sorgfältige Planung und einen strukturierten Prozess. Dieser Prozess muss vollständig geplant werden, beginnend mit den Aktivitäten vor dem Test und endend mit der Auswertung nach dem Test und einem Bericht nach der (Restore-)Aktion (After-Action Report, AAR).
Dieser Leitfaden enthält eine kostenlose Vorlage für Business-Continuity-Tests, die IT-Experten bei der Planung und Durchführung eines Tests unterstützen kann.
Eine Einführung in Business-Continuity-Tests
Unternehmen verwenden in der Regel einen von drei grundlegenden Testtypen für Business-Continuity-Tests: eine Planüberprüfung, eine Tabletop-Übung oder einen Simulationstest. Gehen wir kurz auf jeden dieser Tests ein:
- Planüberprüfung. Der Verantwortliche für den Geschäftskontinuitätsplan und das zugehörige Team besprechen den Plan. Sie untersuchen das Plandokument im Detail und suchen nach fehlenden Planelementen und Ungereimtheiten. Diese Art von Test bestätigt nicht, dass der Plan beziehungsweise die Pläne bei einem realen Vorfall wie erforderlich funktionieren werden.
- Tabletop-Übung. Die Teilnehmer versammeln sich in einem Raum und gehen die Planaktivitäten Schritt für Schritt durch. Tabletop Exercises können effektiv zeigen, ob die Teammitglieder ihre Aufgaben in einem Notfall kennen. Übungsleiter nutzen diese Art von Test, um Dokumentationsfehler sowie fehlende Informationen und Unstimmigkeiten in den Verfahren des Business Continuity Management (BCM) aufzudecken. Ein TTX kann auch von Disaster-Recovery-Teams genutzt werden, um potenzielle Incident-Management-Maßnahmen für bestimmte Szenarien zu ermitteln.
- Simulation. Hier wird ermittelt, ob die BCM-Verfahren und -Ressourcen in einer realistischeren Situation funktionieren. Dabei werden etablierte Business-Continuity-Ressourcen wie Recovery-Standorte, Backup-Systeme und andere spezielle Tools verwendet. Teams können an alternative Standorte entsandt werden, um Offsite-Technologien neu zu starten und entfernte Geschäftsfunktionen zu verwalten. Durch Simulationen können auch Probleme der Mitarbeiter hinsichtlich der Art ihrer Aufgaben aufgedeckt werden. In der Tat ist eine Simulation ein groß angelegter Test, bei dem mit minimaler Unterbrechung des Geschäftsbetriebs der Stecker gezogen wird. Um die Art des simulierten Szenarios zu bestimmen, sollten IT-Teams Risikoanalysen für wahrscheinliche Bedrohungen durchführen.
So verwenden Sie die Testvorlage
Die hier angebotene Vorlage für Business-Continuity-Tests bietet einen Ausgangspunkt für die Vorbereitung und Durchführung eines Tests. Sie bietet einen Testrahmen, ohne ein bestimmtes Planformat vorzuschreiben. Alle Phasen eines Tests sind in der Vorlage enthalten: Planung vor dem Test, Testdurchführung, Überprüfung nach dem Test und Vorbereitung der Dokumentation nach dem Vorfall (AAR). Die eigentliche Testaktivität, einschließlich Teststruktur, Szenarien, Skripten und Zusatzaktivitäten wie Audio- und Videoprogramme, liegt im Ermessen des Benutzers.
Ziel der Vorlage ist es, unternehmenskritische Systeme, Prozesse und Mitarbeiter zu identifizieren, ihre Wiederherstellungs- und Wiederaufnahmezeiten zu priorisieren und alle Schritte zu beschreiben, die für den Neustart, die Neukonfiguration und die Wiederherstellung aller unternehmenskritischen Geschäftsressourcen erforderlich sind. Außerdem ist Platz für die Angabe der Kontaktdaten von Mitarbeitern und Lieferanten.
Effektive Teststrategien für die Geschäftskontinuität
Die in diesem Artikel vorgestellte Vorlage hilft bei der Verbesserung von Business-Continuity-Plänen. Doch egal, wie oft ein Unternehmen seinen Plan testet, wenn die Realität zuschlägt, wird die Reaktion wahrscheinlich ganz anders ausfallen als bei den Tests.
Zu den wichtigsten Strategien für Tests gehört es, mit einfachen Aufgaben zu beginnen und den Schwierigkeitsgrad mit der Zeit zu erhöhen. Wenn möglich, sollten Sie Hersteller oder Dienstanbieter und Stakeholder zur Teilnahme an den Tests einladen. Beginnen Sie bei der Einführung eines Test- und Übungsprogramms mit Planüberprüfungen und TTXs. Dies wird den Mitarbeitern helfen, sich mit dem Testprozess vertraut zu machen. Steigern Sie mit zunehmender Erfahrung den Schwierigkeitsgrad der Tests. Überraschungstests können sehr effektiv sein, wenn es darum geht, den Stand der Bereitschaft der Organisation zu ermitteln. Allerdings dürfen solche Tests geschäftskritische Systeme und Prozesse nach Möglichkeit nicht stören.
Denken Sie daran, dass ein fehlgeschlagener Test nicht als Misserfolg gewertet werden sollte. Es ist viel besser, Systeme, Netzwerke und Prozesse zu identifizieren, die ausfallen könnten, und diese zu beheben, bevor es zu einem wirklichen Vorfall kommt.
Der Hauptgrund für Tests besteht darin, Schwachstellen in den Plänen zur Aufrechterhaltung des Geschäftsbetriebs zu ermitteln. Im Idealfall werden bei erfolgreichen Tests Probleme mit Plänen, Verfahren, Systemen, Einrichtungen und Mitarbeitern aufgedeckt und dokumentiert. Tests, die erfolgreich zu sein scheinen und keine Probleme aufdecken, sollten von IT-Mitarbeitern weiter untersucht werden, um sicherzustellen, dass sie korrekt durchgeführt wurden.
Eine der wichtigsten Kennzahlen, die während der Tests bewertet werden sollten, ist die angestrebte Wiederherstellungszeit (Recovery Time Objective, RTO), um Ausfallzeiten auf ein Minimum zu beschränken. Eine weitere wichtige Kennzahl ist die maximal tolerierbare Ausfallzeit. Dabei handelt es sich um die maximale Zeitspanne, die das Unternehmen arbeiten kann, bevor der Verlust von Systemen, Prozessen, Menschen und Einrichtungen die Fähigkeit des Unternehmens beeinträchtigt, normal zu agieren.
Häufigkeit der Tests
Der gesamte Business-Continuity-Plan sollte mindestens einmal im Jahr getestet werden, wenn möglich auch öfter. Teile des Plans, wie die Reaktion auf Zwischenfälle (Incidents Response), die Evakuierung von Gebäuden und verschiedene Systemwiederherstellungspläne, können vierteljährlich oder zweimal im Jahr getestet werden. Die Strategie besteht darin, die Teile des Plans zu testen, die die größten Auswirkungen auf die unternehmenskritischen Systeme und Geschäftsprozesse der Organisation haben.