Von der Risikoanalyse zum ganzheitlichen Ansatz
RZ als sensibler Geschäftsfaktor
An die Stelle einer singulären Bewertung der physischen Sicherheit eines RZs tritt immer stärker eine globale Betrachtungsweise, die neben baulich-physischen Infrastrukturfaktoren auch Systeme, Netzwerke, Applikationen und Organisationsstrukturen untersucht. Eine solche ganzheitliche Geschäftsprozessanalyse liefert Entscheidungsgrundlagen zur Absicherung geschäftskritischer IT-Prozesse. Zusätzlich kann sie als Grundlage für eine spätere ISO-27001-Zertifizierung dienen.
In den Chefetagen der Unternehmen wächst die Erkenntnis, dass Investitionen in die
IT-Funktionssicherheit nicht nur sinnvoll, sondern notwendig sind. Laut einer aktuellen Studie
beträgt der Anteil des IT-Budgets, der für Sicherheitsmaßnahmen ausgegeben wird, durchschnittlich
14,2 Prozent. Die größere Investitionsbereitschaft der Vorstände und Geschäftsführungen hängt
einerseits mit der steigenden Abdeckung der optimierten Geschäftsprozesse durch IT-Systeme
zusammen, andererseits mit zahlreichen regulatorischen Vorschriften und erhöhten Haftungsrisiken
der Entscheidungsträger. Damit gewinnen zertifizierte Audits und Sicherheitskonzepte an Bedeutung,
die die Gewährleistung der IT-Funktionssicherheit dokumentieren. Zugleich sind die Unternehmen
gefordert, auf die Wirtschaftlichkeit der Sicherheitsmaßnahmen zu achten: Neben den
Investitionskosten spielen die laufenden Betriebskosten eine immer größere Rolle. Angesichts der
Herausforderungen sind die Unternehmen gehalten, ein Business-Continuity-Management zu betreiben,
das unter Beachtung aller entstehenden Kosten für störungsfrei ablaufende Geschäftsprozesse
sorgt.
Ein zentrales Element im Business-Continuity-Management-Prozess bildet die
Geschäftsprozessanalyse. Grundgedanke der Geschäftsprozessanalyse ist es, den Ausfall der
kritischen und möglicherweise überlebenswichtigen IT-Strukturen – und der damit verbundenen
Geschäftsprozesse – mit möglichst optimaler Strategie aufzufangen. Die Analyse der
Geschäftsprozesse liefert das notwendige Planungswissen für die Entwicklung der Strategie, auf
deren Grundlage Planung und Implementierung beziehungsweise das Disaster-Recovery-Management
erfolgen.
Was wird im Einzelnen untersucht? Bei der physischen Risikoanalyse sind es die Faktoren Gebäude,
Energieversorgung, Verkabelung, Klimatisierung/Lüftung, Serverräume/Rechenzentren, technische
Infrastrukturräume und Daten-Backup-Lokalitäten. Bei der IT-Systemanalyse sind es unter anderem
Windows-Betriebssysteme, Telekommunikationsanlagen, Unix-Systeme, sowie ERP- und Storage-Lösungen.
Auf Faktoren wie heterogene Netze, Firewalls, Remote-Access-Lösungen, LAN- und WAN-Verbindungen und
Modems konzentriert sich die Netzwerkanalyse, während im Fokus der Prozessanalyse vor allem
Applikationen, Datenbanken, WWW- und Faxserver und E-Mail-Lösungen stehen. Organisationsstrukturen
fallen in die an Bedeutung gewinnende Organisationsanalyse, etwa Personen oder Prozessabläufe.
Damit erhöhen sich die Anforderungen an die Betreiber eines Business-Continuity-Managements, die
über umfangreiches Know-how auf verschiedensten Gebieten verfügen müssen, um alle relevanten
Aspekte abzudecken. Wer als Unternehmen nicht über die entsprechenden Ressourcen verfügt, sollte
sich an spezialisierte Dienstleister wenden.
Konkreter Ablauf
Wie läuft die Geschäftsprozessanalyse konkret ab? Zunächst identifizieren die Prozessbeteiligten
die kritischen Geschäftsprozesse: Wie sehen die Geschäftsprozesse im Unternehmen aus; welche
Geschäftsprozesse sind besonders wichtig und auf welche kann auf gar keinen Fall verzichtet werden,
weil ihre Störung zu enormen Folgekosten führen und die Existenz gefährden würde? Ziel dieser
Betrachtung ist eine Schutzbedarfsfestlegung, bei der die Geschäftsprozesse selektiert und in
bestimmte Einstufungskriterien kategorisiert werden.
Zur Identifizierung der kritischen Geschäftsprozesse gehört auch die Identifizierung der
benötigten Ressourcen. Danach bestimmen die Beteiligten die relevanten IT-Strukturen. Sie ermitteln
also die Ist-Situation im Unternehmen. Im Anschluss gewichten sie die materiellen und immateriellen
Implikationen eines Stör- und Schadensfalles: Welche potenziellen Schäden entstehen im Fall eines
Verlusts der Verfügbarkeit, wie sieht es mit finanziellen Schäden aus, wenn zum Beispiel die
Fertigungssteuerung ausfällt; welche immateriellen Schäden – zum Beispiel Imageschäden – kann eine
längere Ausfallzeit zur Folge haben; wie sieht es mit der Verletzung von Gesetzen oder der
Herabstufung der Kreditwürdigkeit aus; bestehen Gefahren für Leib und Leben der Mitarbeiter?
Ein weiterer zentraler Part bei der Gewichtung der Implikationen ist die Analyse potenzieller
Ursachen für einen Störfall wie höhere Gewalt, organisatorische Mängel, menschliches Fehlverhalten,
technisches Versagen oder vorsätzliche Handlungen sowie die Beurteilung der
Eintrittswahrscheinlichkeit. Zusammenfassend formuliert bietet die Geschäftsprozessanalyse einen
Soll-Ist-Verfügbarkeitsvergleich, aus dem sich die weitere Strategie und die operativen Maßnahmen
ableiten lassen. Si eliefert darüber hinaus auch Entscheidungsgrundlagen für die anschließende
Sicherheits- und Schwachstellenanalyse. Für die Sicherheits- und Schwachstellenanalyse, die eine
gute Übersicht über die Aufstellung des Unternehmens in puncto IT-Betriebssicherheit darstellt,
setzen Anbieter wie zum Beispiel Litcos Instrumente ein, die eine objektive und transparente
Betrachtung erlauben.
Welchen Nutzen bietet die Geschäftsprozessanalyse den Unternehmen? Sie bezieht neben der
IT-Infrastruktur, der baulichen und technischen Infrastruktur, IT-Systemen und Services und Sprach-
sowie Datennetzwerken auch Geschäftsprozesse, Support-Funktionen und Unternehmenswerte mit ein. Sie
trägt der Verschmelzung von Infrastruktur-, System- und Applikationsebene Rechnung und vermeidet
dadurch Schieflagen, die durch das Außerachtlassen relevanter Faktoren entstehen.
Sie liefert zudem Entscheidungsgrundlagen, um eine Strategie zu entwickeln, die
geschäftskritische IT-Prozesse absichert und diese auch bei Störungen auf einer vordefinierten
Stufe lauffähig hält. Schließlich bereitet sie Zertifizierungen wie die ISO 27001 vor, deren Ziel
die Etablierung eines Information-Security-Management-Systems ist, in dem alle relevanten
Strukturen, Prozesse und Abläufe für Planung, Steuerung und Kontrolle beschrieben und schriftlich
fixiert sind.
Lesen Sie mehr zum Thema
