VOLLTEXTSUCHE
Fachartikel, 07.08.2009
IT-Sicherheit
IT-Risikomanagement bestimmt zunehmend Kreditwürdigkeit
Die Finanzkrise hat die Banken vorsichtig werden lassen. Wer heute einen Kredit oder Investor sucht, muss in Ratings und Audits schon sehr gut abschneiden. Zertifizierungen, etwa nach ISO 9001:2000 zum Qualitätsmanagement, sind dann im wahrsten Sinne Gold wert. Nicht wenige Unternehmen scheitern allerdings bereits an der Basis: bei der Sicherung ihrer IT-Infrastruktur. Welche Bedeutung dem IT-Risikomanagement in Unternehmen zukommt, zeigt eine Erhebung, der zufolge drei von vier befragten Unternehmen allein schon einen eintägigen Leistungsausfall nicht überleben würden.

So genannte Betriebshandbücher sollten eigentlich alle Konfigurationen und Zusammenhänge für das Rechenzentrum dokumentieren, um bei einer Störung das System neu starten zu können. Ohne diese Aufzeichnung oder mit veralteten Daten geht erstmal gar nichts mehr. Ähnlich wie bei Versicherungen fehlt es aber zum Teil an der nötigen Absicherung. So merken viele Firmen erst im Schadensfall, dass sie besser  hätten vorsorgen müssen. Aus Sicht von Banken und Investoren ist solche Sorglosigkeit Gift.

Es ist der GAU für ein Unternehmen, der größte anzunehmende Unfall: Das Rechenzentrum brennt. Und der Brand selbst ist nicht das Ende der Katastrophe. „Was sich das Feuer nicht holt, zerstört die Feuerwehr“, wird der IT-Leiter mit Blick auf die Löschwasserpfützen später sagen, die teure Hardware in Elektroschrott verwandelt haben. Das Netzwerk ist zusammengebrochen, Datenbanken verschwunden, Informationen  können nicht mehr abgerufen werden. Die gesamte Firma steht still, denn in der computerbasierten Geschäfts- und Arbeitswelt ist die IT-Infrastruktur längst zum Nervensystem des Unternehmens geworden. Ebenso schwer wie der Datenverlust wiegt die Frage, wie das System ursprünglich zusammenhing. Welcher Server ist womit verkabelt? Welche Anwendungen müssen auf welchen Rechnern laufen? Und vor allem: Was muss die Hardware leisten können, um ihre Funktion im Gefüge zu erfüllen?

Betriebshandbücher als Rettungsanker der Rechenzentren

Ohne diese Antworten lässt sich das Servernetzwerk nicht neu starten, selbst wenn es kein verheerender Brand war, der das Unternehmen lahmgelegt hat, sondern nur ein Fehler im Betriebssystem oder eine heißgelaufene Festplatte. Wie essentiell hier schnelles Handeln sein kann, zeigte 2006 eine Umfrage unter Geschäftsführern und Managern durch die Online-Plattform Continuity Central. 32 Prozent der Teilnehmer sahen bei den wichtigsten Services schon eine Ausfallzeit von bis zu vier Stunden als unternehmensgefährdend an. Ein Stillstand von über 24 Stunden, so schätzten 73 Prozent der Befragten, würde für ihre Firma das Aus bedeuten.

Um Ausfälle möglichst kurz zu halten, sollten alle für die IT-Struktur wichtigen Informationen in einem Betriebs- oder Servicehandbuch festgehalten sein. Es dient als Rettungsanker, um Rechenzentren nach Störungen wieder ordnungsgemäß in Betrieb nehmen zu können oder sie im schlimmsten Fall neu aufzubauen. Neben der Konfiguration der Systeme enthält ein Betriebshandbuch unter anderem Angaben zur installierten Software und den richtigen Ansprechpartnern bei verschiedenen Problemen. Nach den Empfehlungen des Bundesministeriums für Sicherheit in der Informationstechnik (BSI) gehört ein derartiges Notfall-Handbuch zur Basis für einen tragfähigen IT-Grundschutz. Es ist Teil der Voraussetzungen für Risiko- und Servicemanagement eines Unternehmens und – entscheidend für Banken – für die Risikobewertung.

Notfallplan im Ernstfall nutzlos?

Tatsächlich verfügen die meisten Firmen bereits über solch ein Betriebshandbuch, eben weil es so wichtig für den reibungslosen Ablauf ist. Oft fristen die Betriebshandbücher jedoch ihr Dasein im Regal und sind im Ernstfall weitgehend nutzlos. Problem ist die Aktualität: Daten und Konfigurationen in einer EDV-Infrastruktur ändern sich häufig, jede dieser Veränderungen müsste im Handbuch festgehalten werden. In der Realität allerdings wird wenig auf die Aktualisierung geachtet. Wenn überhaupt, geschieht die Dokumentation unter hohem Aufwand von Hand in Word oder in Tabellen – eine Vorgehensweise, die mit den Anforderungen hochmoderner Technik meist nicht Schritt halten kann. Mit der Zeit sammelt sich so mitunter ein Wust an Informationen an, teils veraltet, teils sinnlos, teils relevant. Sich hier zurechtzufinden fällt schwer, besonders wenn es schnell gehen muss, dabei wären Aktualität und Verfügbarkeit für Betriebshandbücher oberstes Gebot. Gleichzeitig sollen sie aber in Zeiten knapper Budgets nicht zu viel Geld oder Zeit verschlingen. Eine neuartige Möglichkeit dem Problem zu begegnen, sind dynamische Service- und Betriebsdokumentationen, die sich weitgehend selbst  aktualisieren.

Derartige Dynamic Manuals entnehmen einen Großteil der Informationen direkt aus der EDV-Infrastruktur. Beteiligte Hardware sowie Dokumentation der gegenseitigen Vernetzungen und der genutzte Software fragt das System eigenständig ab und fügt sie in die Dokumentation ein. Der Zeitaufwand wird so reduziert und gleichzeitig die Qualität der Daten und deren Auffindbarkeit verbessert. Den Aktualitätsgrad bestimmt der Anwender selbst: Das zuständige Programm bringt die Informationen wahlweise turnusmäßig oder nur auf direkte Anweisung auf den neusten Stand. Zur Absicherung vor Datenverlust sollten diese elektronisch erstellten Handbücher in jedem Fall als Ausdruck vorliegen oder auf einem externen Speichermedium, das von einem Ausfall nicht betroffen wäre, abgelegt werden. Nur so können die Informationen als Basis für Neustart oder Neuaufbau des Serverparks dienen und Fehler schnell behoben werden.

Dokumentation auch gesetzlich verordnet

Vor allem aber gehören gut geführte Betriebshandbücher als Teil der Notfallvorsorge zu den grundlegenden Punkten des Qualitäts- und Risikomanagements. Letztlich zielen sogar verschiedene gesetzliche Regelungen eben darauf ab. So verlangen etwa die „Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme“ (GoBS) unter anderem eine Bestandsdokumentation, die auch Hard- und Software umfasst. Laut „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG) müssen Firmen Wege entwickeln, um Risiken für ihren Betrieb frühzeitig zu erkennen und ihnen zu begegnen. Bei Wirtschaftsprüfungen, Audits oder Ratings sind Unternehmen mit einer entsprechenden Absicherung ein Stück weit auf der sicheren Seite – und haben bei der Bank bereits einen Stein im Brett.

QUERVERWEIS
Service-Tipp
Kostenfreie eRunbook-Testinstallation
eRunbook ermöglicht allen IT-Mitarbeitern von Unternehmen eine einheitliche und vollständige Sicht auf die IT-Struktur. Vereinbaren Sie eine unverbindliche eRunbook Testinstallation und bilden Sie sich Ihre eigene Meinung. Als Dankeschön erhalten Sie eine kleine Überraschung.
Weitere Informationen
ZUM AUTOR
Über Gerhard Wagner
nova ratio AG
Gerhard Wagner ist VorstandsvorsitzenderGeschäftsführer der auf Dokumentationssoftware spezialisierten nova ratio AG. Die nova ratio AG begann 1999 mit der Entwicklung der Configuration-Management-Software eRunbook. Auf der ...
nova ratio AG
Hauptstraße 3-5
56235 Hundsdorf

+49-2623-92420
ANDERE ARTIKEL AUS DIESEM RESSORT
Überlegt zum Sprung in die Wolke ansetzen
Der Geschäftserfolg von Unternehmen ist eng mit der Cloud verbunden. Diese Meinung vertreten vier ... mehr

SUCHE
Volltextsuche





Profisuche
Anzeige
PRESSEFORUM MITTELSTAND
Pressedienst
LETZTE UNTERNEHMENSMELDUNGEN
Anzeige
BRANCHENVERZEICHNIS
Branchenverzeichnis
Kostenlose Corporate Showrooms inklusive Pressefach
Kostenloser Online-Dienst mit hochwertigen Corporate Showrooms (Microsites) - jetzt recherchieren und eintragen! Weitere Infos/kostenlos eintragen
EINTRÄGE
PR-DIENSTLEISTERVERZEICHNIS
PR-Dienstleisterverzeichnis
Kostenlos als PR-Agentur/-Dienstleister eintragen
Kostenfreies Verzeichnis für PR-Agenturen und sonstige PR-Dienstleister mit umfangreichen Microsites (inkl. Kunden-Pressefächern). zum PR-Dienstleisterverzeichnis
BUSINESS-SERVICES
© novo per motio KG