Bedarf erkennen!

Die Risiken, die mit dem steigenden Einsatz von IT-Mitteln in jedem Betrieb einhergehen, werden sehr gerne unterschätzt. Dies ist nicht zuletzt der Leistung der IT zu verdanken, die grösstenteils im Hintergrund wirkt, ohne dass Anwender es wahrnehmen.

Unterbrechungsfreier IT-Betrieb?

Eine der wichtigsten Aufgaben besteht nämlich im Bestreben, Systeme und Applikationen ohne Unterbruch und die darin enthaltenen Daten ohne Datenverlust ge

Ohne Unterbruch alles im Griff

setzeskonform verfügbar zu halten. Genau in diesen wichtigen Punkten herrscht oft Unklarheit, welche konkreten Sicherungsund Aufbewahrungsanforderungen die Organisation an die ITMittel stellt. Grobe Prozessanforderungen an die IT sind Mitarbeitern in kleinen, überschaubaren Unternehmen vielleicht noch bekannt. In mittleren und grossen Organisationen verhält es sich aufgrund der Arbeitsteilung oft ganz anders: Anwender gehen von utopischen Verfügbarkeitsanforderungen aus. Ein Ausfall des Computerarbeitsplatzes oder einer einzigen wichtigen Applikation ist noch nie aufgetreten. Die Ursache wird darin gesehen, dass die Informatik solche Szenarien durch Systemauslegung und Produktwahl gänzlich ausgeschlossen hat.

Risiken kennen

Will die IT gezielt Ausfallrisiken minimieren und sich auf die Bedürfnisse des Unternehmens ausrichten, dann müssen die Anforderungen an die Prozesse respektive der darin verwendeten Applikationen und IT-Mittel bekannt sein. Gerade in grossen Unternehmen oder Verwaltungen, wo die Spannweite unterschiedlicher Applikationen und Daten sehr gross ist, ist es wichtig, die Forderungen bezüglich der Sicherheitsdimensionen zu kennen. Kennzahlen zur Verfügbarkeit, Datenexistenz, Integrität und Vertraulichkeit sollte die Informatik systematisch und reproduzierbar erfassen. Dies ermöglicht es ihr, die Systeme, Prozesse und Notfallszenarien der Informatik den Anforderungen

Ausfallrisiken gezielt erkennen

der Organisation entsprechend zu priorisieren. Risiken werden so gezielt minimiert und gesetzliche Vorgaben können besser umgesetzt werden. Das Ziel ist es schliesslich, Anforderungen an die Sicherung und Archivierung für die Organisation zu kennen, Folgen von Ausfällen und deren zeitliche Auswirkungen zu beziffern und demzufolge an die Schutzbedürfnisse angepasste ITDienste anzubieten.

Vorgehen definieren

Der Schutzbedarf kann auf diverse Arten und in unterschiedlicher Qualität beschafft werden. Der etablierte und vielfach erprobte Risikodialog in Form von Interviews ermöglicht das Erfragen der Schlüsselparameter am besten. Es können aufgrund der Fragestellungen und Reaktionen der befragten Personen gezielt individuelle Risiken herausgefiltert werden. Die relevanten Grössen für die IT werden mit den Fragen systematisch ermittelt.

Beim Vorgehen während dieses Risikodialoges gibt es viele Stolpersteine. Werden die Befragten zum Beispiel ohne genaueres Hintergrundwissen einzig zu den Schlüsselindikatoren Sicherung und Aufbewahrung befragt, können die erzielten Ergebnisse schlecht nachvollzogen werden. Es können keine geschäftskritischen Faktoren ermittelt werden, die eine Umsetzung der erhobenen Anforderung begründen. Der Risikodialog darf also nicht direkt auf die Performanz-Indikatoren zielen, sondern muss mit Fragen nach dem «Was wäre wenn?»- Prinzip erfolgen. Fragen zu Folgen von Ausfällen oder Fehlern, die auf die Beeinträchtigung der Aufgabenerfüllung, die öffentliche Reputation oder rechtliche Konsequenzen zielen, müssen angesprochen werden. Dazu ist es vorteilhaft, wenn verständliche Schadensszenarien gezielt als Beispiele verwendet werden

Umfeld berücksichtigen

In kleineren und mittleren Unternehmen können Anforderungen mit dem beschriebenen Risikodialog direkt abgeholt werden. Es bietet sich an, bei weniger als sieben Abteilungen persönliche Gespräche mit Verantwortlichen und involvierten Mitarbeitern zu führen. Sollen in grossen, heterogenen Organisationen Hunderte von Analysen durchgeführt werden, kann das nicht mehr mit persönlichen Risikodialogen erfolgen.

Zu diesem Zweck eignet sich beispielsweise eine elektronische Umfrage besser. Es können beliebig viele Adressaten definiert werden. Es beansprucht bedeutend weniger Zeit als die persönlichen Risikodialoge. Eine solche Business-Impact-Analyse erfasst den gesamten Bestand an Applikationen. Natürlich sind auch Nachtei

le mit einem Fragebogen verbunden. Durch den fehlenden persönlichen Kontakt fehlt das Gespür, bestimmte Aussagen auf ihre Relevanz zu prüfen. Im Nachgang der Analyse kann dem gezielt ent

PersönlicherRisikodialog

gegnet werden, indem vereinzelt das Gespräch gesucht wird, wo extreme Ausprägungen erscheinen oder der Verdacht auf Ungereimtheiten besteht.

Anforderungen erfassen

Die Erfassung der Backup- und Aufbewahrungsanforderungen erfolgte mit einem auf die BackupRichtlinien abgestimmten Multiple-Choice-Fragekatalog, bestehend aus 25 Fragen, eingeteilt in drei Kapitel: Datensicherung, Datenaufbewahrung und Informationssicherheit

1. Datensicherung – dabei werden die wichtigsten Werte für die Sicherung erfragt. Die maximal akzeptable Unterbrechungszeit oder der maximal tolerierbare Datenverlust sind Werte, die direkt in die Sicherungsrichtlinie einfliessen. Dieses Vorgehen basiert auf der Norm ISO 22301, dem führenden Business-Continuity-Standard. Weil diese Angaben von den Befragten oft verzerrt aus der subjektiven Sicht beantwortet werden, ist es notwendig, auch die Folgen von Systemausfällen oder Datenverlust aufzunehmen. Die Folgen werden in Form des zeitlichen Verlaufes des Schweregrades erfasst. Mithilfe dieses Verlaufes können die absoluten Angaben verifiziert werden. So erhält die IT auch die wichtigste Stellgrösse für die Datensicherung: die mittlere Wiederherstellungszeit eines Systems. Sie wird aus den Resultaten der Befragung bestimmt.

2. Datenaufbewahrung – diese zielt im Gegensatz zur Sicherung darauf ab, die Aufbewahrungszeit und damit die Vorhaltezeit der Sicherungen auszulegen. Es werden wichtige Compliance-Vorgaben wie die rechtliche Mindestaufbewahrungsfrist erfragt und, wie schon im Kapitel über die Datensicherung, zeitliche Auswirkungen bei Nichteinhaltung eruiert. Die Datenaufbewahrung fordert aufgrund der explodierenden Menge an Daten und der unterschiedlichen, aber teilweise langen Aufbewahrungsdauer viel Fingerspitzengefühl. Wer meint, aus der Befragung 1:1 eine Aufbewahrungsrichtlinie abzuleiten, der wird enttäuscht. Auf die Frage, wie lange Sicherungen konkret aufbewahrt werden müssen, können nicht einmal IT-Experten – bezogen auf ihre eigenen Daten – eine abschliessend gültige Antwort geben. Im Themenbereich der Aufbewahrung spielen neben den theoretischen Anforderungen immer auch wirtschaftliche Aspekte und die strategische Ausrichtung der Informatik eine Rolle.

3. Datensicherheit – Im letzten Teil des Fragebogens werden Aspekte zur Datensicherheit aufgegriffen und zum Beispiel die Folgen von ungewolltem Informationsabfluss aufgenommen. Antworten in diesem Themenbereich geben neben Schutzanforderungen für Sicherungen und Archive auch Hinweise darauf, wie die Informatik mit Informationen aus den Applikationen umgehen sollte.

Der Fragebogen gibt schliesslich Aufschluss darüber, wie die Anforderungen punkto Sicherung und Aufbewahrung aus Sicht des Leistungsbezügers sind und wie sich die Folgen von Ausfall, Verlust und Compliance-Verstössen auswirken. Aus den Resultaten werden die Schwerpunkte für Sicherung und Aufbewahrung quantifiziert. Im konkreten Fall wurde anhand der Resultate eine Sicherungsund Aufbewahrungsrichtlinie erstellt und ein Backup-Konzept erarbeitet, das auf Anforderungen von über 100 Applikationen aufbaut.

Fazit

Gerade für mittlere und grosse IT-Organisationen ist der geschilderte Ansatz der Anforderungserhebung sehr attraktiv. Mit überschaubarem Aufwand für die IT wird abgetastet, was für Bedürfnisse die Leistungsbezüger an die Applikationen stellen. Die Methode verschafft dem Sicherungsverantwortlichen einen Überblick über die Erwartungen an das Krisenmanagement (BCM) und eine effiziente Sicherung. Dem Sicherheitsverantwortlichen stehen An

Effiziente Sicherung als Ziel

forderungen an Compliance und Gerichtsfestigkeit ganzheitlich zur Verfügung. Der CIO wiederum verfügt mit den gewonnenen Angaben über eine nachvollziehbare und wiederholbare Auswirkungsanalyse, basierend auf den Standards ISO 27001 sowie ISO 22301. Bestückt mit diesen Erkenntnissen, weiss die IT, was in puncto Sicherung und Aufbewahrung effektiv von ihr gefordert wird. Der Umsetzung steht nichts mehr im Wege.