IT-SicherungGut geführte Betriebshandbücher können Unternehmen retten
Die Finanzkrise hat die Banken vorsichtig werden lassen. Wer heute einen Kredit oder Investor sucht, muss in Ratings und Audits schon sehr gut abschneiden. Zertifizierungen, etwa nach ISO 9001:2000 zum Qualitätsmanagement, sind dann im wahrsten Sinne Gold wert.
Nicht wenige Unternehmen scheitern allerdings bereits an der Basis: bei der Sicherung ihrer IT-Infrastruktur. So genannte Betriebshandbücher sollten eigentlich alle Konfigurationen und Zusammenhänge für das Rechenzentrum dokumentieren, um bei einer Störung das System neu starten zu können. Ohne diese Aufzeichnung oder mit veralteten Daten geht erstmal gar nichts mehr. Ähnlich wie bei Versicherungen fehlt es aber zum Teil an der nötigen Absicherung. So merken viele Firmen erst im Schadensfall, dass sie besser hätten vorsorgen müssen. Laut einer Umfrage würden 73 Prozent der Unternehmen schon einen eintägigen Leistungsausfall nicht überleben. Aus Sicht von Banken und Investoren ist solche Sorglosigkeit Gift.
Es ist der GAU für ein Unternehmen, der größte anzunehmende Unfall: Das Rechenzentrum brennt. Und der Brand selbst ist nicht das Ende der Katastrophe. „Was sich das Feuer nicht holt, zerstört die Feuerwehr“, wird der IT-Leiter mit Blick auf die Löschwasserpfützen später sagen, die teure Hardware in Elektroschrott verwandelt haben.
Das Netzwerk ist zusammengebrochen, Datenbanken verschwunden, Informationen können nicht mehr abgerufen werden. Die gesamte Firma steht still, denn in der computerbasierten Geschäfts- und Arbeitswelt ist die IT-Infrastruktur längst zum Nervensystem des Unternehmens geworden. Ebenso schwer wie der Datenverlust wiegt die Frage, wie das System ursprünglich zusammenhing. Welcher Server ist womit verkabelt? Welche Anwendungen müssen auf welchen Rechnern laufen? Und vor allem: Was muss die Hardware leisten können, um ihre Funktion im Gefüge zu erfüllen?
Betriebshandbücher als Rettungsanker der Rechenzentren
Ohne diese Antworten lässt sich das Servernetzwerk nicht neu starten, selbst wenn es kein verheerender Brand war, der das Unternehmen lahmgelegt hat, sondern nur ein Fehler im Betriebssystem oder eine heißgelaufene Festplatte.
Wie essentiell hier schnelles Handeln sein kann, zeigte 2006 eine Umfrage unter Geschäftsführern und Managern durch die Online-Plattform Continuity Central. 32 Prozent der Teilnehmer sahen bei den wichtigsten Services schon eine Ausfallzeit von bis zu vier Stunden als unternehmensgefährdend an. Ein Stillstand von über 24 Stunden, so schätzten 73 Prozent der Befragten, würde für ihre Firma das Aus bedeuten.
Um Ausfälle möglichst kurz zu halten, sollten alle für die IT-Struktur wichtigen Informationen in einem Betriebs- oder Servicehandbuch festgehalten sein. Es dient als Rettungsanker, um Rechenzentren nach Störungen wieder ordnungsgemäß in Betrieb nehmen zu können oder sie im schlimmsten Fall neu aufzubauen.
Neben der Konfiguration der Systeme enthält ein Betriebshandbuch unter anderem Angaben zur installierten Software und den richtigen Ansprechpartnern bei verschiedenen Problemen. Nach den Empfehlungen des Bundesministeriums für Sicherheit in der Informationstechnik (BSI) gehört ein derartiges Notfall-Handbuch zur Basis für einen tragfähigen IT-Grundschutz. Es ist Teil der Voraussetzungen für Risiko- und Servicemanagement eines Unternehmens und – entscheidend für Banken – für die Risikobewertung.
Notfallplan im Ernstfall nutzlos?
Tatsächlich verfügen die meisten Firmen bereits über solch ein Betriebshandbuch, eben weil es so wichtig für den reibungslosen Ablauf ist. Oft fristen die Betriebshandbücher jedoch ihr Dasein im Regal und sind im Ernstfall weitgehend nutzlos. Problem ist die Aktualität: Daten und Konfigurationen in einer EDV-Infrastruktur ändern sich häufig, jede dieser Veränderungen müsste im Handbuch festgehalten werden. In der Realität allerdings wird wenig auf die Aktualisierung geachtet. Wenn überhaupt, geschieht die Dokumentation unter hohem Aufwand von Hand in Word oder in Tabellen – eine Vorgehensweise, die mit den Anforderungen hochmoderner Technik meist nicht Schritt halten kann.
Mit der Zeit sammelt sich so mitunter ein Wust an Informationen an, teils veraltet, teils sinnlos, teils relevant. Sich hier zurechtzufinden fällt schwer, besonders wenn es schnell gehen muss, dabei wären Aktualität und Verfügbarkeit für Betriebshandbücher oberstes Gebot. Gleichzeitig sollen sie aber in Zeiten knapper Budgets nicht zu viel Geld oder Zeit verschlingen. Eine neuartige Möglichkeit dem Problem zu begegnen, sind dynamische Service- und Betriebsdokumentationen, die sich weitgehend selbst aktualisieren.
Derartige Dynamic Manuals entnehmen einen Großteil der Informationen direkt aus der EDV-Infrastruktur. Beteiligte Hardware sowie Dokumentation der gegenseitigen Vernetzungen und der genutzte Software fragt das System eigenständig ab und fügt sie in die Dokumentation ein. Der Zeitaufwand wird so reduziert und gleichzeitig die Qualität der Daten und deren Auffindbarkeit verbessert. Den Aktualitätsgrad bestimmt der Anwender selbst: Das zuständige Programm bringt die Informationen wahlweise turnusmäßig oder nur auf direkte Anweisung auf den neusten Stand.
Zur Absicherung vor Datenverlust sollten diese elektronisch erstellten Handbücher in jedem Fall als Ausdruck vorliegen oder auf einem externen Speichermedium, das von einem Ausfall nicht betroffen wäre, abgelegt werden. Nur so können die Informationen als Basis für Neustart oder Neuaufbau des Serverparks dienen und Fehler schnell behoben werden.
Dokumentation auch gesetzlich verordnet
Vor allem aber gehören gut geführte Betriebshandbücher als Teil der Notfallvorsorge zu den grundlegenden Punkten des Qualitäts- und Risikomanagements. Letztlich zielen sogar verschiedene gesetzliche Regelungen eben darauf ab. So verlangen etwa die „Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme“ (GoBS) unter anderem eine Bestandsdokumentation, die auch Hard- und Software umfasst. Laut „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG) müssen Firmen Wege entwickeln, um Risiken für ihren Betrieb frühzeitig zu erkennen und ihnen zu begegnen. Bei Wirtschaftsprüfungen, Audits oder Ratings sind Unternehmen mit einer entsprechenden Absicherung ein Stück weit auf der sicheren Seite – und haben bei der Bank bereits einen Stein im Brett.
[Bild: Fotolia.com]