#27 – Just to be safe… Business Continuity Plan

Moin Dennis, hallo und herzlich willkommen an alle ZuhörerInnen zu Folge 27 von dem hagel IT-Podcast.

Philip, ich grüße dich. So schnell vergeht die Zeit. Zum 27. Mal sitzen wir uns jetzt hier schon gegenüber sozusagen.

Richtig, aber auch nur virtuell.

Genau, nur virtuell. Ganz pandemie-konform. Wir wollen heute an ein Thema anknüpfen im weitesten Sinne. Und zwar haben wir vor ein paar Folgen schon mal über IT-Notfallpläne gesprochen. Genau. Und wollen einen sogenannten Business Continuity oder zu Deutsch gerne auch Geschäftskontinuitätsplan uns mal ein bisschen genauer anschauen. Und haben dazu das Ganze mal in so fünf Schritte. Genau, also fünf Schritte in Richtung Business Continuity Plan. Dazu gibt es auf unserer Internetseite auch schon einen Blog-Eintrag, an dem wir uns noch ein bisschen langhangeln wollen. Einfach mal um zu zeigen, was muss ich eigentlich machen, beziehungsweise wie umfangreich ist dieses ganze Thema eigentlich und wie viele Schritte braucht es mich im weitesten Sinne, damit ich dann einen fertigen Business Continuity Plan habe.

Genau, anknüpfen tun wir an Folge 18. Das ist die Folge, auf die du verwiesen hast. Da haben wir uns mit dem Thema IT-Notfallplanung beschäftigt. Genau, anknüpfen tun wir an Folge 18. Das ist die Folge, auf die du verwiesen hast. Und ja, vielleicht einfach mal zur Begrifflichkeit. Was genau ist eigentlich ein Business Continuity Plan, also ein Geschäftskontinuitätsplan?

Genau, also grundsätzlich sagt dir der Name schon Continuity. Steht ja für im weitesten Sinne, dass etwas weitergehen muss oder wie es auch weitergeht. Und da geht es ja, glaube ich, in der Geschäftswelt auch darum, wenn Probleme welcher Art, also vielleicht gar nicht so zwingend nur IT, IT-basiert auftreten, wie kann ich dafür sorgen, dass mein Geschäft eben grundsätzlich weitergeht. Und natürlich wollen wir uns aber heute eher der IT-Struktur, beziehungsweise der technischen Seite dieser Business Continuity Pläne widmen. Ich würde vorschlagen, dass wir vielleicht einfach mal mit Schritt 1 des Blogbeitrags auch gleich starten. Der heißt nämlich Durchführung einer detaillierten Risikobewertung. So, das ist jetzt ja wieder ein Wort, das vielleicht so ein bisschen... Erklärungsbedürftig ist. Vielleicht kannst du unsere ZuhörerInnen da mal so ein bisschen abholen. Was hat nun eine Risikobewertung wieder damit zu tun, dass mein Geschäft hier weiterlaufen soll?

Ja, das ist so ein bisschen eine Sache, die wir auch im Bereich IT-Notfallplanung schon mal uns angeschaut haben. Geht darum, einfach mal aufzulisten, welche Risiken oder welchen Risiken ist mein Unternehmen ausgesetzt. Dabei muss ich mir halt natürlich dann... Ja, verschiedene Sachen angucken. Dazu können geografische Sachen gehören. Dazu gehört die Unternehmensinfrastruktur. Dazu gehört generell die Branche, in der ich unterwegs bin. Und dann muss ich eine Prioritätssortierung vornehmen. Also, was ist am wahrscheinlichsten oder wie sind die Wahrscheinlichkeiten, dass diese Risiken eintreten? Und dann habe ich meine Liste, meine Prioritäten und anhand dieser Risikoliste... kann ich dann eben festlegen, welche Themen... mit welchen Themen beschäftige ich mich als allererstes, weil bei denen dann die Wahrscheinlichkeit eben am höchsten ist, dass sie auch eintreten. Wir hatten das damals beim IT-Notfallplan einmal ganz kurz angesprochen. Wenn ich zum Beispiel hier in Hamburg mein Unternehmen im Hamburger Hafen sitzen habe, dann habe ich ein deutlich höheres Risiko, dass meine Geschäftsräume überflutet werden, als wenn ich da mal... in Hamburg im Hamburger Norden sitze. Heißt, da hätte dann eben eine höhere Eintrittswahrscheinlichkeit. Und da müsste ich mir halt vorher Gedanken drüber machen.

Ich glaube, dass es vielleicht auch so ein bisschen daher rührt, dass es ansonsten auch so ein bisschen so eine never ending story werden kann. Also, wenn ich mich jetzt wirklich auf jedes mögliche Szenario der Welt vorbereiten will, wird das ja quasi unmöglich. Und dadurch ist es glaube ich wichtig, dass ich das eben für mich, für das, was ich tue, für den Ort, an dem ich mich befinde, und mein näheres Umfeld einfach priorisiere und eben schaue, was sind die wahrscheinlichsten Fälle, die hier eintreten könnten.

Ja, und viele Sachen ähneln sich dann ja auch. Zum Beispiel wird die Vorgehensweise bei Eintritt eines Überflutungsschadens, zumindest was die IT angeht, sicherlich sehr ähnlich sein zu der Vorgehensweise bei beispielsweise einem Brandschaden, der eintritt. Ja. Also von der Vorgehensweise in Betrachtung auch der Eintritt. Also auf die IT, und das ist ja das, was wir uns hier angucken, werden die Maßnahmen sehr ähnlich aussehen. Mhm. Okay.

Ähm, weiter zu Schritt zwei. Kritische Funktionen identifizieren und Wiederherstellungspläne für jede Funktion erstellen. Heißt im Prinzip, ich gucke mir an, was machen wir hier eigentlich so den ganzen Tag und was ist im weitesten Sinne lebensnotwendig für das, was wir tun, beziehungsweise welche Prozesse sind so wichtig, dass ohne diese Prozesse die Arbeit hier stillsteht. Ja? Genau.

Gut zusammengefasst, genau darum geht es, einfach zu schauen, was mache ich hier. Ähm, und da geht es halt wirklich, wie du schon gesagt hast, um die Prozesse im Detail. Ähm, es ist halt zum Beispiel so, dass ich sagen kann, naja, wenn vielleicht meine Telefonanlage bei mir nicht funktioniert, dann hat das einen unterschiedlichen Impact, auf mein Geschäft, wenn ich ein Callcenter bin oder wenn ich ein Einzelhändler bin. Ja, also ein Einzelhändler, der wird das, wenn er nicht funktioniert, die Telefonanlage, wahrscheinlich gut eine Woche oder zwei auch mal im Zweifel überleben können. Bei einem Callcenter sieht das halt schon anders aus. Da basiert das Geschäftsmodell auf der Telefonie und wenn die nicht funktioniert, habe ich ein Problem. Und genau das schaut man sich an, welche Prozesse habe ich an der Stelle. Und ähm. Was davon ist dann wirklich geschäftskritisch, damit ich meine Leistungen erbringen kann, mit denen ich Geld verdiene. Und dann, ja, stellt man für diese Prozesse, für diese Funktionen, für die daran beteiligten Strukturen, eben Wiederherstellungspläne. Ähm, also wie kann ich dann eben dafür sorgen, dass im Fall eines Ausfalls das Ganze weitergeht.

Jetzt muss ich das, das vielleicht schon mal zwischendurch gesagt, also üblicherweise behandeln wir das Thema ja immer gerne am Ende einmal ganz kurz. Aber jetzt muss ich natürlich nicht alles selber wissen oder wissen können. Ja, also ich kann mir durchaus Hilfe für solche Business Continuity Pläne ja ans Haus senden. Also ich kann mir vorstellen, dass vielleicht der eine oder andere jetzt zuhört und sagt, naja, aber wie soll ich wissen, wie ich hier im Notfall X irgendeine dieser kritischen Funktionen selber wiederherstellen kann.

Genau. Also ganz klar, man kann nicht alles selber können, wissen oder machen. Da sollte man sich Hilfe holen, jeweils von den einzelnen Bereichen. Das ist ja auch so, wir bilden hier ja nur einen Teilbereich ab. Vielleicht habe ich als Unternehmen, bin ich im produzierenden Bereich unterwegs und ich habe zum Beispiel einen Maschinenpark. Und wenn wir jetzt mal den Fall Brand betrachten, dann ist ein Bereich ja die IT, aber der andere Bereich ist vielleicht meine Produktion. Und da muss ich ja auch schauen, inwieweit sind da Spezialisten eben in der Lage, das wieder anlaufen zu lassen. Was muss dann getan werden? Wer kann das tun? Das kann ich nicht alles selber wissen. Und da sind wir auch so ein bisschen auch schon in Schritt 3 drin. Denn was eben auch ganz besonders wichtig ist, sind Notfallrollen. Also Schritt 3 ist definieren Sie Notfallrollen. Und da geht es eben auch wieder um Personen. Nämlich. Nämlich wer ist denn daran beteiligt an diesem Business Continuity Plan? Denn auch das kann ich ja nicht alleine wuppen. Sondern da brauche ich Leute, die dann eben Teilbereiche davon übernehmen. Und die müssen im besten Falle eben auch genau wissen, was sie dann tun müssen. Heißt, ich muss das mit denen vorher schon besprechen. Die müssen Teil dieser Entwicklung des Geschäftskontinuitätsplans sein. Damit die eben auch wirklich genau von Anfang an damit eingebunden sind. Und wissen, was ihre Rolle an der Stelle ist.

Jetzt kann man dazu vielleicht noch sagen, dass das ja nicht immer zwingend nur Leute sein müssen, die hier bei mir im Unternehmen arbeiten oder in dem entsprechenden Unternehmen arbeiten. Sondern das können halt auch externe Dienstleister, wie jetzt beispielsweise IT-Systemhäuser oder für große Produktionsketten, eben beispielsweise auch Hersteller von Produktionsmaschinen sein.

Ja. Genau. Auf jeden Fall.

Dann kommen wir zu dem wahrscheinlich wichtigsten Punkt des Business Continuity Plans. Schritt 4. Dokumentieren Sie Ihren Plan. Denn tatsächlich ist es so, das ist alles toll, wenn man das vielleicht mal durchgespielt hat. Wenn sich da zwei Leute mal Gedanken drüber gemacht haben und die wissen, worum es geht. Aber grundsätzlich sollte man ja auch sagen, dass man sich da mal Gedanken drüber gemacht hat. Und das sollte jeder, der auch nur ansatzweise an diesen Problematiken beteiligt ist, davon wissen. Und es sollte klar geregelt und niedergeschrieben sein, wer wann was zu tun hat.

Ja und ganz, ganz wichtiger Punkt. Bitte, bitte, bitte. Wir sind ja sonst Verfechter von Papierlos. In dem Fall ist vielleicht Papier gar nicht so verkehrt. Aber auf jeden Fall, egal ob Papier oder digital, nochmal außerhalb der vier Wände des Unternehmens aufbewahren. Ja. Denn der schönste Notfallplan oder auch Geschäftskontinuitätplan hilft mir nicht weiter, wenn er bei einem Katastrophenfall mit zerstört wird. Da kann ich da vorher noch so viel Zeit und Energie reingesteckt haben. Was weg ist, ist weg und kommt auch nicht mehr wieder. Genau und dokumentieren, wie du schon gesagt hast, ist generell einfach wichtig dafür. Denn auch das muss man sagen, wir sind ja viel unterwegs eben im kleinen und mittelständischen Bereich. Da sind häufig die Geschäftsführer, die Inhaber, die in der Geschäftsführung sind. Die Inhaber eben noch sehr stark eingebunden ins Geschäft. Die haben vielfach ja auch sowas im Kopf. Aber auch da muss es halt raus, da muss es niedergeschrieben werden. Auch das ist ein Punkt, wenn so ein Notfall erstmal eingetreten ist, hat man vielleicht auch nicht mehr den klaren Kopf, um sich dann noch damit zu beschäftigen, wer macht jetzt was. Wer übernimmt jetzt welche Funktionen, weil man sicherlich auch noch tausend andere Baustellen hat. Und da hilft es eben, wenn man es im Vorfeld einfach niedergeschrieben hat und die Notfallrollen vernünftig definiert hat.

Tatsächlich auch ein weiterer wichtiger Punkt, was dann auch tatsächlich hier in diesem Blogbeitragsbeispiel Schritt 5 wäre, ist das Ganze auch zwischendurch mal zu testen. Wir haben beim Thema Backup beispielsweise mal darüber gesprochen. Es ist immer gut zu wissen, dass ich ein Backup habe. Aber die Frage ist im Notfall, brauche ich dieses Backup? Oder eben in diesem Fall, brauche ich diesen Business Continuity Plan bzw. die Schritte, die da dokumentiert sind? Weiß aber im Zweifel eben gar nicht, funktioniert das eigentlich so, wie ich mir das hier aufgemalt habe? Und da gilt es aber auch, das durchaus in mehr oder weniger regelmäßigen Abständen zu überprüfen und nicht einfach einmal nur initial. Kannst du dazu vielleicht nochmal ein bisschen was sagen? Also jetzt muss ich mir hier ja nicht eine Flutkatastrophe simulieren und ich sag mal meinen Serverraum fluten. Sondern ich kann ja auch einfach mich an die Flutkatastrophe konzentrieren. Und dann kann ich in diesem Dokument mal, ich sag mal, trocken lang hangeln.

Ja, ich steig einfach an der Stelle ein, ab der ich beschrieben habe, was dann zu tun ist. Also wir nehmen einfach mal ein simples Beispiel. Du hast eben angesprochen Flutkatastrophe oder einfach Überflutung. Wir können also davon ausgehen, der Server ist unwiederbringlich zerstört. Und dann wäre ja ein möglicher Schritt in meinem Geschäftskontinuitätplan, dass ich meinen Dienstleister bitte das Backup, was eben außer Haus gelagert wird, auf einem neuen System oder auf einem Testsystem oder in einer Cloud, je nachdem wie es bei mir definiert ist in meinem Geschäftskontinuitätplan, wiederherzustellen. Und dann einfach mal zu schauen, funktioniert das reibungslos? Was fehlt möglicherweise? Und eben auch, um vielleicht einfach mal zu schauen, wie lange dauert sowas denn? Also ist es überhaupt realistisch, dass ich es schaffe, innerhalb von, vier Stunden, acht Stunden, drei Tagen, zwei Wochen, je nachdem, was ich da definiert habe, damit wieder starten zu können. Und da wird man wahrscheinlich bei jedem neuen Test, werden einem Sachen auffallen, die sich vielleicht geändert haben, die man anpassen muss, die man erweitern muss, ergänzen muss. Und das ist eben einfach wichtig, um diesen Plan eben immer weiterzuentwickeln. Denn weiß jeder von sich selber, die Geschäftswelt ist sehr schnelllebig, die Unternehmen sind sehr schnelllebig, es verändern sich täglich Dinge, gerade auch mit Einführung von Cloud-Systemen, sind ja Änderungen eben noch schneller umgesetzt, als man das eben noch hat, wenn man sich die Hardware einmal kauft und dann hinstellt. Und ja, das muss man regelmäßig testen, anpassen, um dann eben sicher zu sein. Für den Fall der Fälle ist der Plan geprüft, wasserdicht, funktioniert, getestet, alle wissen, was zu tun ist.

Ich habe ja vor allem bei diesen Tests auch einen ganz guten Lerneffekt. Also ich kann natürlich dafür sorgen, dass diese Business Continuity oder dass das Weiterführen meines Geschäfts schneller wieder möglich ist, als vielleicht noch vor dem letzten Test.

Ja, genau. Das Schöne ist, was man vielleicht noch sagen muss an der Stelle, natürlich kostet es Geld. Also ich glaube, das ist jedem klar, wenn man hört, was dahinter steckt, das kostet Geld, das ist aufwendig, das ist zeitaufwendig. Trotzdem muss man sich eben einfach immer die Frage stellen, was ist denn das Risiko, wenn ich das nicht habe? Und jetzt kann man vielleicht sagen oder man ist vielleicht geneigt zu sagen, naja, wir sind irgendwie zwei, drei, vier, fünf, zehn, zwanzig Mann, was brauchen wir denn dafür? Das machen wir schon irgendwie. Aber man kann auf der anderen Seite auch festhalten, je kleiner das Unternehmen, desto weniger ist das, je kleiner ist in der Regel auch die IT. Und desto schneller ist so ein Plan möglicherweise dann auch erstellt, weil es eben gar nicht so große, viele Prozesse gibt, die abzubilden sind, so viele Systeme gibt, die abzubilden sind. Und von daher ist es dann eben auch schneller gemacht. Und da sollte man auch wieder so einen Punkt, wo man einfach nichts dran sparen sollte. Das ist wie eine Versicherung, nur dass man da im Zweifel eben auch wirklich sein Unternehmen mit reduziert. Und das ist dann auch, was man dann auch noch mal so retten kann, wenn dieser Krisenfall mal eintritt.

Na, ich denke, man kann schon ganz banal ehrlicherweise sagen, man muss halt so ein bisschen abwägen, was kostet mich das hier im Zweifel, wenn ich einen Tag nicht arbeiten kann?

Ja, oder länger.

Genau, nur um meine Hausnummer zu haben eben. Und ich glaube, dass man schon je nach Unternehmensgröße vielleicht in wenigen Tagen oder vielleicht in sogar wenigen Stunden schnell merken wird, dass das eigentlich gar nicht so teuer ist, wie man sich das vielleicht in der Relation vorher vorgestellt hat. Ja. Prima. Ja, ich glaube, das war ein ganz guter Leitfaden mit fünf Schritten in die richtige Richtung eines Geschäftskontinuitätsplans. Und an dieser Stelle bleibt mir oder uns wie immer zu sagen, sollte das Ihr Interesse geweckt haben oder jetzt der eine oder andere vielleicht denkt, ach, das könnte ich mir eigentlich auch mal anhören und gegebenenfalls mal erstellen, lassen, gerne wie immer einen Termin buchen für eine persönliche Beratung, hagel-it.de slash Termin. Und dann schauen wir, wie wir Ihnen da helfen können.

In diesem Sinne, bis nächste Woche.

Bis nächste Woche.