IT-Ausfall: Wenn gar nichts mehr geht

Das Strategie für einen Totalausfall der IT-Systeme ist ein komplexes Unterfangen, dessen Analyse viele Überlegungen erfordert:

• Je nachdem, wie kritisch einzelne Prozesse und Systeme sind, kann bereits die Schaffung von Redundanzen ein wichtiger Baustein einer IT-Sicherheitsstrategie sein. Dabei werden unternehmenskritische Prozesse und Anwendungen doppelt vorgehalten: Fällt das eigene Rechenzentrum aus, kann so auf ein externes, parallel vorgehaltenes Zentrum ausgewichen werden. 
• Wird mit externen Rechenzentren zusammengearbeitet, ist es zu empfehlen, mit dem Betreiber über Geo-Redundanzen zu sprechen. Wie schnell könnte im Zweifel von einem ausgefallenen Rechenzentrum auf ein anderes an einem anderen Ort umgeschaltet werden? Welche Schritte sind dazu innerhalb des Unternehmens notwendig?
• Zu den durchgespielten Szenarien gehört am besten auch eine Strategie für die Desaster Recovery. Wie schnell könnte etwa auf Basis eines aktuellen Backups auf völlig neue Hard- und Software (unabhängig vom aktuellen Standort) migriert werden?
• Ausgehend von einem Worst-Case-Szenario gilt es zu überlegen, welche Prozesse (zumindest temporär) auch ohne IT-Unterstützung funktionieren können. 
• Es sollte eine Prioritätenliste angelegt werden, die die Systeme und Komponenten umfasst, die für das Überleben des Unternehmens notwendig sind. 

Für Nichtfachleute ist IT ein Sammelbegriff, der aber letztlich nur die Gesamtheit aller Systeme der Informationstechnologie in einem Unternehmen beschreibt. Die Systeme sind in der heutigen Arbeitswelt zwar stark miteinander vernetzt und teilweise voneinander abhängig, bleiben aber dennoch einzelne Bausteine, was eine Analyse für den Notfall erleichtert. Bei der Ableitung von Gegenmaßnahmen spielen zwei Gesichtspunkte eine Rolle:

1. Ausmaß des Schadens: Wie viele Systeme sind betroffen bzw. welche Unternehmensteile werden im Betrieb eingeschränkt.
2. Zeitliche Dauer: Wie lange dauert es, bis die Störung behoben werden kann (sofern überhaupt ermittelbar). Gerade bei der zeitlichen Dauer sollte von einem Worst-Case-Szenario ausgegangen werden.

Seit dem Desaster des Kernkraftwerks bei Tschernobyl hat sich der Begriff des GAU (Größter anzunehmender Unfall) im allgemeinen Sprachschatz etabliert. Der Ausfall der (Gesamt-) IT ist in einer digitalisierten Wirtschaft ein solcher GAU.

• Der Ausfall des zentralen Servers, auf dem Kundenbestellungen aus dem Online-Shop eingehen, trifft ein Unternehmen schwer.
• Fällt die Telefonanlage aus, sind die Mitarbeitenden nicht mehr erreichbar.
• Ist die Verbindung zum Internet gekappt, besteht im Zweifel bei IP-basierter Telefonie nicht einmal die Möglichkeit, die Kunden über die Homepage über den Ausfall der Telefonie zu unterrichten.
• Ist das eigene Rechenzentrum nicht mehr arbeitsfähig (aus welchen Gründen auch immer, etwa durch einen Hackerangriff oder ein triviales Ereignis wie einen Stromausfall), stehen die Räder des Unternehmens still.
• Gibt es eine Störung in der IT, die die Steuerung der Logistik übernimmt, kann es zu einem Stillstand der Produktion kommen, wenn keine Rohstoffe oder Material mehr eingelagert werden kann.
• Das bei einem Provider untergestellte Rechenzentrum kann ebenfalls ausfallen. Das betrifft auch die Nutzung von Cloud-Diensten.

Mehr zu IT-Sicherheit bei SpaceNet