Jeder Geschäftskontinuitätsplan sollte die Wiederherstellung im Katastrophenfall beinhalten

Nach einer Krise, einer von Menschen verursachten Katastrophe, einer Umweltkatastrophe oder einer anderen Art von Notfall müssen Organisationen ihre alltäglichen Abläufe so schnell und reibungslos wie möglich wieder aufnehmen.

Die Fähigkeit eines Unternehmens, sich von einer Katastrophe zu erholen, erfordert sorgfältige Planung, testbare Prozesse und die richtige Technologie. Laut einer Studie des Ponemon Institute, belaufen sich die durchschnittlichen Kosten für Ausfallzeiten in Rechenzentren auf fast 9.000 US-Dollar pro Minute. Die Studie von Gartner hat ergeben, dass die Kosten für Netzausfallzeiten mit etwa 5.600 US-Dollar pro Minute geringer ausfallen. Unabhängig vm tatsächlichen Betrag ist Zeit wirklich Geld, sodass Unternehmen proaktiv vorgehen müssen, um sich für eine erfolgreiche Wiederherstellung im Falle einer Katastrophe zu rüsten.

Was versteht man unter Wiederherstellung nach einer Katastrophe?

Die sogenannte „Disaster Recovery“ ist der Prozess der Wiederherstellung der Betriebsabläufe nach einer Störung. Die Wiederherstellung im Katastrophenfall umfasst eine Reihe von Richtlinien oder Verfahren, die eine effektive Kommunikation während des Ereignisses und die Rückkehr zum normalen Betrieb gewährleisten. Zudem wird die Wiederherstellung von IT-Systemen und der Betriebszeit für geschäftskritische Anwendungen erleichtert.

Obwohl sie oft mit Geschäftskontinuität (Business Continuity oder BC) in Verbindung gebracht wird, ist die Katastrophenwiederherstellung nur eine der Komponenten des BC-Programms. Ein BC-Programm umfasst mehrere Pläne zur Aufrechterhaltung der Betriebsabläufe vor, während und nach einem Ereignis. Das Ziel der Disaster Recovery ist, den Betrieb während eines Ereignisses so reibungslos wie möglich aufrechtzuerhalten und nach einer Unterbrechung mit minimaler Ausfallzeit wieder aufzunehmen.

Erstellung eines Wiederherstellungsplans

Ein effektiver Wiederherstellungsplan ist sorgfältig geplantes, durchdachtes, vorbereitetes und getestetes Dokument. Es enthält eine Übersicht und detaillierte Versionen von Richtlinien und Verfahren zur  Behebung einer Katastrophe,  wenn diese eintritt, zur Minimierung der Auswirkungen von Unterbrechungen und zur Gewährleistung der schnellstmöglichen Wiederaufnahme des Betriebs nach einer Ausfallzeit.

Die Entwicklung eines Wiederherstellungsplans zusammen mit dem BC-Gesamtplan ist eine wesentliche und effiziente Nutzung der Zeit und Ressourcen einer Organisation. Beide Aufgaben erfordern eine Bewertung der geschäftlichen Auswirkungen und Risikoanalysen. In den Analysen werden kritische Komponenten des Wiederherstellungsplans ermittelt, z. B. die IT-Wiederherstellungszeit und die Ziele der Wiederherstellungspunkte.

Neben der IT-Hardware, den Anwendungen und den digitalen Ressourcen muss ein Wiederherstellungsplan auch die physischen Einrichtungen und den Standort des Personals darin berücksichtigen. Der Plan sollte aufzeigen, was im Katastrophenfall geschützt werden muss, einschließlich der betroffenen Mitarbeiter, Vermögenswerte und Einrichtungen. Es muss auch festgelegt werden, welche Mitarbeiter für welche Verfahren zuständig sind, z. B:

• wann und wie Facility Manager den Betrieb aufrechterhalten oder abschalten
• welches IT-Personal die Backups wiederherstellt, nach welcher Ausfallzeit und wann die Wiederherstellung unbedingt erforderlich ist
• mit welchen Mitteln Menschen, Arbeitsabläufe und Hardware vor Gefahren geschützt werden
• wer dem Krisenmanagementteam angehört
• wer die Kommunikationslösung für die Wiederherstellung im Katastrophenfall/das Management kritischer Ereignisse leitet
• wer die Mitteilungen über die Medien genehmigt und wer sie übermittelt

Der Wiederherstellungsplan muss auch einen Notfallplan enthalten: Wie sieht der Plan B im Falle eines Ausfalls aus, wer führt das Personal durch den Plan B und wie wird die Schulung der Mitarbeiter durchgeführt? Ein Plan funktioniert letztendlich nur, wenn die Mitarbeiter ihn befolgen können.

Zu den weiteren Anforderungen an einen vollständigen Wiederherstellungsplan gehören Versicherungsinformationen für relevante Geschäftsfunktionen und Vermögenswerte, Beteiligte, die alle Notfallwiederherstellungsverfahren abzeichnen müssen, und ein Testplan.

Ein Plan ist nur eine Hypothese, bis die Krisenmanagementteams oder die zuständigen Mitglieder der Krisenmanagement- und Krisenreaktionsteams ihn getestet haben. Und das Testen ist keine einmalige Aufgabe; es sollte ein Testplan festgelegt und eingehalten werden. Das Testen des Wiederherstellungsplans ist der sicherste Weg, um Lücken, Bedürfnisse oder Fehler in den geplanten Verfahren zu erkennen. Das Testen von Wiederherstellungsplänen umfasst die Durchführung von Übungen unter Verwendung des Kommunikationssystems der Organisationen für Notfälle, Krisen und Katastrophen.

Wirksame Kommunikation im Katastrophenfall

Die Kommunikation während einer Katastrophe und die anschließenden Wiederherstellungsmaßnahmen sind ein Eckpfeiler des Plans. Es ist wichtig, Klarheit darüber zu haben, wer mit wem, wann, wie und was kommuniziert wird. Wirksame Kommunikation erfordert schnelle und flexible Wege und beruht auf Vertrauen. Das Versäumnis, klar und rechtzeitig zu kommunizieren, kann Folgen für die Sicherheit haben und je nach Art der Katastrophe auch den Ruf der Marke schädigen.

Für eine wirksame Kommunikation während und nach einer Katastrophe gelten die folgenden Grundsätze:

• Kommando und Kontrolle: Es muss klar sein, wer das Kommando hat und wer die Kontrolle ausübt.
• Konsistenz: Alle Abteilungen und Gruppen müssen dieselben Informationen und Gesprächsthemen übermitteln.
• Kooperation: Vorher festgelegte Gedanken, Prozesse und Praktiken sind für eine produktive Zusammenarbeit unerlässlich.
• Koordination: Die Nachrichtenübermittlung muss funktionsübergreifend koordiniert werden.
• Klare Kommunikation über optimale Kanäle: Alle Mitteilungen müssen eindeutig über die jeweiligen Kanäle verbreitet werden.

Die Kommunikation während und nach einer Katastrophe umfasst vorformulierte Benachrichtigungen und Warnungen, die per E-Mail oder SMS an die entsprechenden internen und/oder externen Adressaten gesendet werden, sowie Anweisungen, die über Lautsprecheranlagen oder Telefonanrufe übermittelt werden.

Diese Mitteilungen sollten Hinweise zur Sicherheit und auf Versammlungsorte enthalten und über den aktuellen Stand der Dinge informieren. Einige Katastrophen erfordern externe Kommunikation. Zu den externen Parteien gehören Interessengruppen, Medien und Notfallkontakte.

Der optimale Ansatz für die Kommunikation im Katastrophenfall ist die Verwendung einer integrierten, einheitlichen Massenkommunikationsplattform. Eine solche Lösung konsolidiert die Kommunikation zu Crisis Management, Disaster Recovery und Business Continuity. Außerdem bietet es Echtzeit-Reaktionsmöglichkeiten und voreingestellte Regeln und Richtlinien. Massenkommunikationsplattformen mit fortschrittlichen Funktionen wie Everbridge verfügen über Lösungen zur Automatisierung von Ereignismanagementprozessen, um menschliche Fehler zu reduzieren (z. B. Fehler wegen zitternder Hände), die Belastung durch manuelle Aufgaben zu verringern und die Latenzzeit zwischen den Ereignisauslösern und der Ereignisreaktion des Unternehmens zu reduzieren.

Was sind die einzelnen Schritte bei der Wiederherstellung nach einer Katastrophe?

Da Krisenszenarien je nach Organisation unterschiedliche Auswirkungen haben, müssen die Komponenten eines Wiederherstellungsplans verschiedene Krisenszenarien berücksichtigen. Der Schlüssel liegt darin, die geeigneten Schritte zu dokumentieren, um Ihre Mitarbeiter zu schützen und die normalen Betriebsabläufe wieder aufzunehmen, bevor ein kritisches Ereignis Ihr Unternehmen beeinträchtigt. Wenn Sie mehr über die Überlegungen erfahren möchten, die bei der Entwicklung von Notfallplänen für die verschiedenen Arten von kritischen Ereignissen, auf die Unternehmen vorbereitet sein müssen, berücksichtigt werden müssen, lesen Sie bitte unseren begleitenden Beitrag „What to Account for in Planning for Disaster Recovery“ zu beachten ist.