Den Geschäftsbetrieb auch in der Krise aufrechterhalten
Stell dir vor, dein zentraler ERP-Server fällt aus. Nicht für eine Stunde, nicht für einen Tag, sondern für eine ganze Woche. Keine Aufträge, keine Rechnungen, keine Lieferscheine. Wie lange überlebt dein Unternehmen, bevor der finanzielle Schaden existenzbedrohend wird? Diese Frage steht im Zentrum des Business Continuity Managements, und die ehrliche Antwort ist für viele mittelständische Unternehmen ernüchternd. Diese Themenseite zeigt dir, wie du dein Unternehmen gegen Betriebsunterbrechungen absicherst und im Ernstfall schnell wieder handlungsfähig wirst.
Business Impact Analyse: Wo tut es am meisten weh?
Der erste Schritt zu einem funktionierenden Notfallmanagement ist die Business Impact Analyse, kurz BIA. Sie beantwortet die zentrale Frage: Welche Geschäftsprozesse sind so kritisch, dass ein Ausfall sofort spürbare Auswirkungen hat? Und wie lange darf jeder dieser Prozesse maximal ausfallen, bevor der Schaden untragbar wird?
Die BIA zwingt dich, dein Unternehmen aus einer Perspektive zu betrachten, die im Tagesgeschäft oft untergeht. Du identifizierst Abhängigkeiten zwischen Prozessen, Systemen und Ressourcen, die dir im Normalbetrieb gar nicht bewusst sind. Vielleicht stellst du fest, dass die Produktion nicht nur vom ERP abhängt, sondern auch von einem kleinen Spezialsystem, das ein einzelner Mitarbeiter betreut und das nirgendwo dokumentiert ist. Solche Erkenntnisse sind Gold wert, denn genau diese verborgenen Abhängigkeiten werden im Ernstfall zum Engpass.
RPO und RTO: Die zwei wichtigsten Kennzahlen
Zwei Begriffe begegnen dir im Business Continuity Management immer wieder: Recovery Point Objective (RPO) und Recovery Time Objective (RTO). Der RPO definiert, wie viel Datenverlust du maximal tolerieren kannst. Wenn dein RPO vier Stunden beträgt, musst du mindestens alle vier Stunden ein Backup erstellen. Der RTO definiert, wie schnell ein System nach einem Ausfall wieder verfügbar sein muss. Wenn dein RTO für das ERP-System bei acht Stunden liegt, muss dein Wiederanlaufplan sicherstellen, dass du innerhalb dieser Zeit einen funktionierenden Zustand wiederherstellen kannst.
Diese beiden Werte sind keine technischen Details, die du an die IT delegieren kannst. Sie sind Geschäftsentscheidungen, denn sie bestimmen, wie viel du in Backup-Infrastruktur, Redundanz und Notfallvorsorge investieren musst. Ein RPO von null erfordert synchrone Datenreplikation und kostet erheblich mehr als ein RPO von 24 Stunden, der mit täglichen Backups erreichbar ist.
Backup-Strategie: Mehr als nur Daten kopieren
Viele Unternehmen haben Backups. Wenige haben eine durchdachte Backup-Strategie. Der Unterschied zeigt sich erst im Ernstfall: Ist das Backup vollständig? Ist es lesbar? Wie lange dauert die Wiederherstellung? Das BSI empfiehlt die 3-2-1-Regel als Minimum: drei Kopien deiner Daten, auf zwei verschiedenen Medientypen, davon eine Kopie außerhalb des Standorts. Ergänzend dazu setzen sich immutable Backups immer mehr durch, also Sicherungen, die nachträglich nicht verändert oder gelöscht werden können, selbst wenn ein Angreifer Zugriff auf dein Netzwerk hat.
Aber auch die beste Backup-Strategie ist wertlos, wenn du die Wiederherstellung nie testest. Restore-Tests gehören zu den am häufigsten vernachlässigten Aufgaben in der IT. Dabei ist ein Backup, das du nicht wiederherstellen kannst, kein Backup. Unser Artikel zu Bare-Metal-Recovery-Tests zeigt dir, wie du regelmäßige Wiederherstellungstests durchführst und dabei sicherstellst, dass deine Notfallprozesse tatsächlich funktionieren.
Disaster Recovery und Wiederanlauf
Ein Disaster Recovery Plan geht über einzelne System-Wiederherstellungen hinaus. Er definiert die Abfolge, in der Systeme wiederhergestellt werden, berücksichtigt Abhängigkeiten zwischen Diensten und beschreibt den organisatorischen Rahmen für den Krisenbetrieb. Wer koordiniert die Wiederherstellung? Wo arbeitet das Team, wenn das Bürogebäude nicht zugänglich ist? Wie werden Kunden und Partner informiert?
Üben, üben, üben
Ein Notfallplan, der nur im Schrank steht, hilft im Ernstfall wenig. Regelmäßige Tabletop-Übungen, bei denen du mit deinem Team Szenarien durchspielst, sind der effektivste Weg, Schwachstellen in deinen Notfallprozessen zu finden. Diese Übungen müssen nicht aufwendig sein: Ein bis zwei Stunden, ein realistisches Szenario, die richtigen Leute am Tisch. Unsere Artikelsammlung zeigt dir, wie du solche Übungen planst und durchführst, und gibt dir mit der IT-Notfallkarte ein praktisches Werkzeug an die Hand, das im Ernstfall die wichtigsten Sofortmaßnahmen auf einen Blick zeigt.