Wie auch immer eine Katastrophe aussieht, der beste Weg, damit umzugehen, ist, sich mit einem gut durchdachten Notfallplan darauf vorzubereiten. Es ist viel einfacher, unter Druck einen kühlen Kopf zu bewahren, wenn man jemanden (oder etwas) hat, der einen durch eine schlechte Situation führt. Katastrophen nehmen viele Formen an, von Naturkatastrophen bis hin zu Cyberangriffen und Unfällen.
Cyberangriffe, wie z. B. Ransomware, können für ein Unternehmen katastrophale Folgen haben und die Arbeit oft völlig zum Erliegen bringen. Versehentliche Dokumentenverluste oder böswillige Sicherheitsverletzungen können schwerwiegende Folgen haben, wie z. B. Rufschädigung, Geldbußen sowie System- und Geschäftsausfallzeiten. Die Erstellung eines umsetzbaren Business-Continuity-Plans gibt einem Unternehmen die bestmögliche Chance, die Auswirkungen einer Katastrophe wie einer Überschwemmung, eines Brandes oder eines Cyberangriffs zu minimieren und die Wiederherstellungszeit zu verkürzen.
In diesem Leitfaden erfahren Sie, was ein Disaster-Recovery-Plan ist und wie Sie einen solchen Plan erstellen.
Was ist ein Disaster Recovery Plan?
Im Reiseführer für Anhalter durch die Galaxis beginnt die Encyclopaedia Galactica mit den Worten "Keine Panik". Ein wirksamer Notfallplan (Disaster Recovery Plan, DR) muss nicht mit diesen Worten beginnen, denn er ist ein durchdachter Leitfaden für den Umgang mit einer Katastrophe. Ein Disaster-Recovery-Plan ist die dokumentierte Anleitung einer Organisation für die Reaktion auf Vorfälle wie Naturkatastrophen, Überschwemmungen, Stromausfälle, Cyberangriffe, Datenverlust usw. Der Plan enthält eine Reihe von Strategien, die dazu beitragen, die Auswirkungen einer Katastrophe so gering wie möglich zu halten, wobei das Ziel darin besteht, den Geschäftsbetrieb aufrechtzuerhalten und die Arbeit so schnell wie möglich wieder aufzunehmen.
Warum müssen Sie einen Notfallplan erstellen?
Schlimme Dinge passieren, oft ohne Vorwarnung, und führen zu weitreichenden Störungen. Die Stürme im Vereinigten Königreich 2015-2016 beispielsweise hatten wirtschaftliche Auswirkungen in Höhe von 1,6 Milliarden Pfund, wobei Unternehmen über 500 Millionen Pfund für Überschwemmungsschäden ausgaben. Auch Cyberangriffe sind eine Katastrophe, die nur darauf wartet, zu passieren: Laut einer DCMS-Umfrage aus dem Jahr 2021 waren 65 % der mittelständischen Unternehmen im Jahr 2020 von einem Cyberangriff betroffen. Auch Insider-Bedrohungen können katastrophale Folgen haben, denn die Kosten steigen laut Ponemon Institute sprunghaft an: In den letzten 12 Monaten stiegen die durchschnittlichen jährlichen Kosten eines Insider-Angriffs um 31 % auf 11,45 Millionen Dollar (8,27 Millionen Pfund).
Katastrophen sind oft unvermeidlich, aber man kann ihre Auswirkungen so gering wie möglich halten - hier kommt der Disaster Recovery Plan ins Spiel. Ein Notfallplan soll:
- Begrenzung der Auswirkungen der Katastrophe auf das Unternehmen
- Minimierung der Auswirkungen auf Geschäftsprozesse und -abläufe
- Minimierung von physischen oder Cyber-Schäden
- Senkung der mit der Katastrophe verbundenen Kosten
- Schulung des Personals, der Lieferanten und der Beteiligten in den Prozessen, die zur Eindämmung von Katastrophen ermittelt wurden
- Ermittlung von Arbeitsmöglichkeiten während der Bewältigung der Katastrophe
- Verfahren zur Wiederherstellung nach einer Katastrophe
Wie man einen Disaster Recovery Plan schreibt
Disaster-Recovery-Pläne bestehen in der Regel aus fünf Hauptkomponenten:
- Rollen und Verantwortlichkeiten
- Welches sind die Risikobereiche?
- Durchführung einer Geschäftsfolgenabschätzung (BIA)
- Vermögensprüfung
- Datensicherungen
Rollen und Verantwortlichkeiten
Bilden Sie ein Notfallteam, das für die Entwicklung und Pflege des Notfallplans verantwortlich ist. Bestimmen Sie die wichtigsten Mitarbeiter, die mit der Durchführung der Aufgaben im Zusammenhang mit der Bewältigung und Wiederherstellung nach einer Katastrophe betraut sind. Eine wirksame Verbreitung von Informationen und stabile Kommunikationskanäle sind für einen effektiven Notfallplan unerlässlich. Tragen Sie die Personalangaben, einschließlich der Kontakt- und Backup-Kontaktinformationen, in ein leicht zugängliches Protokoll im Notfallplan ein. Dies wird Ihre Hauptliste der Kontakte sein. Sie sollten auch ein Ersatzteam von Ansprechpartnern zusammenstellen.
Alle Mitarbeiter müssen über den Notfallplan informiert werden und darüber, wer für die Ausführung des Plans im Katastrophenfall verantwortlich ist. Dies wird Teil eines umfassenderen Schulungsprogramms zur Katastrophenplanung für alle Mitarbeiter sein, damit sie verstehen, was im Falle einer Katastrophe geschieht.
Welches sind die Risikobereiche?
Definieren Sie die mit einer Katastrophe verbundenen Risikobereiche. Dabei wird in der Regel zwischen verschiedenen Arten von Katastrophen unterschieden, z. B. Naturkatastrophen, von Menschen verursachte Katastrophen und technologiebedingte Katastrophen. Für jede Art von Katastrophe gibt es in der Regel eigene Strategien zur Schadensbegrenzung. Legen Sie dar, wie diese Strategien aussehen und wie sie umgesetzt werden.
Durchführung einer Geschäftsfolgenabschätzung (BIA)
Die effektive Bewältigung einer Katastrophe erfordert die Festlegung von Prioritäten. Eine Bewertung der Auswirkungen auf das Geschäft (Business Impact Assessment, BIA) untersucht die Arten von Geschäftstätigkeiten und ordnet diese den Risikostufen zu, je nachdem, wie kritisch sie für die Fortführung der Geschäftstätigkeit des Unternehmens sind. Daraus ergibt sich der Ressourcenbedarf für kritische Geschäftsvorgänge, die erforderlich sind, um die betriebliche Widerstandsfähigkeit und Kontinuität bei einer Unterbrechung des Geschäftsbetriebs zu gewährleisten. Bei der Katastrophenplanung konzentriert sich ein Disaster-Recovery-Plan in der Regel auf wichtige Geschäftsbereiche wie die Umsatzgenerierung und die Lohnbuchhaltung. Das Ziel besteht jedoch darin, den gesamten Betrieb so schnell wie möglich wiederherzustellen.
Vermögensprüfung
Als Teil einer umfassenderen Folgenabschätzung sollte der Notfallplan eine Prüfung der am stärksten betroffenen Anwendungen, Dokumente, Hardware usw. und ihrer Kritikalität für den Geschäftsbetrieb vorsehen. Dies ist ein fortlaufender Prozess, da sich diese Elemente schnell ändern können.
Backups
Datensicherungen von wichtigen und sensiblen Dokumenten sind ein Garant für Ausfallsicherheit. Geschäftswichtige Dokumente können bei einer Katastrophe verloren gehen oder beschädigt oder bei Ransomware-Angriffen verschlüsselt werden. Stellen Sie sicher, dass Ihre Richtlinie eine Sicherungs- und Wiederherstellungsstrategie enthält, die die folgende Checkliste abdeckt:
- Wer ist für die Datensicherung zuständig?
- Was ist zu speichern und wie oft sind Sicherungen durchzuführen?
- Wie wird sie gespeichert (Art des verwendeten Sicherungssystems - dies ist besonders wichtig für den Schutz vor Ransomware)
- Wie man das Sicherungssystem testet und wie oft man es testet
- Wiederherstellung von Backups
Es ist auch wichtig, daran zu denken, dass ein Datenwiederherstellungsplan ein lebendiges Dokument ist, das regelmäßig aktualisiert werden sollte. Die Erstellung eines robusten Wiederherstellungsplans ist ein intensiver Prozess, bei dem es darum geht, wie Ihr Unternehmen im schlimmsten Fall vorgehen wird. Er besteht aus vielen geschäftskritischen Teilen und die Zusammenarbeit mit Experten von Drittanbietern sollte in Betracht gezogen werden, um einen passgenauen Plan zu erstellen.
Ist Ihr Disaster Recovery Plan bereit?
Jeder Disaster-Recovery-Plan ist einzigartig für ein Unternehmen: Ein Disaster-Recovery-Plan geht auf den Kern der Geschäftstätigkeit eines Unternehmens und dessen Arbeitsweise ein. Im Mittelpunkt eines Disaster-Recovery-Plans stehen jedoch die Menschen. Die Schulung des Personals zur Umsetzung der Grundsätze eines Notfallwiederherstellungsplans ist von entscheidender Bedeutung, um sicherzustellen, dass der Plan wirksam umgesetzt wird. Unsere Mitarbeiter sind das Mittel zur Abwendung einer Katastrophe, aber sie müssen sich ihrer Rolle bei der Abwendung oder Minimierung der Auswirkungen dieser Katastrophe voll bewusst werden.
