IT-SICHERHEIT IT-Notfallpläne: Probleme mit Technologien, Personen und Prozessen Studie: Disaster statt Schutz vor System-Ausfall Jedes zweite Unternehmen musste bereits auf firmeninterne Disaster-Recovery-Pläne zurückgreifen. Böse Überraschung: die Pläne in den meisten Unternehmen werden zu selten getestet – und mehr als die Hälfte dieser Pläne versagt bei umfassenden Tests. zent machten sich Sorgen um die eigene Wettbewerbsposition und 64 Prozent hatten Angst vor dem Verlust von Unternehmensdaten. Das ist das Ergebnis einer weltweiten Studie von Symantec zum Umgang mit Disaster-Recovery-Plänen in Unternehmen. Die befragten Unternehmen gaben an, dass sie sich der Bedeutung der Disaster-Recovery-Planung bewusst sind. Die Risiken eines fehlenden Disaster-RecoveryPlans für den störungsfreien Geschäftsbetrieb sind bekannt. Existierende DisasterRecovery-Pläne werden in Unternehmen viel zu selten auf den Prüfstand gestellt. Dabei ergab die jüngste Studie von Sicherheits-Software-Anbieter Symantec, dass in 48 Prozent der befragten Unternehmen die vorhandenen Disaster-Recovery-Pläne bereits zum Einsatz gekommen sind. Noch schwerer trifft eine Katastrophe allerdings Unternehmen ohne verfügbaren Notfallplan. 44 Prozent dieser Unternehmen waren schon einmal mit kritischen Vorfällen konfrontiert, bei 26 Prozent der Unternehmen waren es sogar zwei oder mehr und bei elf Prozent drei oder mehr Vorfälle. Dabei können Unterbrechungen bei Anwendungen und Services für ein Unternehmen äußerst kostspielige Konsequenzen haben. Den in der Symantec-Studie befragten Führungskräften war das durchaus bewusst: 69 Prozent der Befragten äußerten ihre Besorgnis über eine mögliche Marken- oder Rufschädigung für das Unternehmen, 65 Prozent fürchteten negative Auswirkungen auf die allgemeinen Kundentreue, 65 Pro- Der Symantec-Bericht Disaster Recovery Research 2007 enthält qualitative und quantitative Untersuchungsergebnisse – zusammengetragen mit Hilfe von ITManagern in Großunternehmen aus den Vereinigten Staaten sowie 11 europäischen Ländern, dem Nahen Osten und Südafrika. Die Mehrzahl der Befragten erklärte, dass die vorhandenen Disaster RecoveryPläne im Unternehmen geprüft werden; gleichzeitig gaben jedoch 48 Prozent der befragten IT-Fachleute an, dass ihre Tests aufgrund von Problemen mit Technologien, Personen oder Prozessen fehlschlugen. Als häufigste Ursache für gescheiterte Tests wurde angeführt, dass die implementierten Technologien nicht die erwarteten Ergebnisse lieferten. Die Umfrageergebnisse zeigen eindeutig, dass selbst bei erfolgreich verlaufenen Tests die Testverfahren für Disaster Recovery-Pläne selbst sowie die Wahrscheinlichkeits- und Auswirkungsanalysen nicht umfassend genug sind. Während 88 Prozent der Unternehmen eine Wahrscheinlichkeits- und Auswirkungsanalyse für mindestens eine Bedrohung durchgeführt haben, ist dies nur bei 40 Prozent für sämtliche Bedrohungen der Fall. Bei 12 Prozent der Unternehmen erfolgte überhaupt keine Wahrscheinlichkeits- und Auswirkungsanalyse für irgendeine Bedrohung. Am seltensten analysiert wurde der Bedrohungsbereich Konfigurationsänderungs- 64 Ausgabe 3/2008 Mängel bei Planung und Testverfahren Frank Bunn, Senior, Senior Solutions Marketing Manager bei Symantec: „Um sich vor Ausfallzeiten zu schützen, müssen die Unternehmen Hochverfügbarkeits- und Disaster-Recovery-Lösungen in ihrer gesamten Unternehmensumgebung implementieren.“ management: Nur bei 42 Prozent der Befragten, die in diesen Bereich eine Bedrohung wahrnahmen, wurden auch entsprechende Wahrscheinlichkeits- und Auswirkungsanalysen durchgeführt. Deutsche sorgen sich um Reputation und Computersysteme Naturkatastrophen (69 Prozent), Virenangriffe (57 Prozent) und Krieg oder Terrorismus (31 Prozent) waren weltweit die Hauptsorgen, die Unternehmen dazu bewegten, Disaster Recovery-Pläne zu entwerfen. Unternehmen in Deutschland erscheinen Ausfälle der Computersysteme allerdings noch deutlich bedrohlicher: 79 Prozent der NEU: LIVE-STREAMING! Befragten gaben an, sich von dieser Gefahr erheblich bedroht zu fühlen. Besonders schlecht vorbereitet sind deutsche Unternehmen auf Schäden durch eine Feuerkatastrophe – sie benötigen für die Wiederherstellung nach einem schwerwiegenden Schaden durch Feuer überdurchschnittlich lange. Die größten Gefahren, gegen die ein Disaster Recovery-Plan schützen soll, sind in Deutschland: Schäden an der Reputation (83 Prozent), Nachteile im Wettbewerb (75 Prozent), die Beziehung zu Lieferanten (74 Prozent) und Vertrauensverlust bei Kunden (54 Prozent). Auf der anderen Seite sorgt sich aber nur jedes dritte Unternehmen um die Leistungsfähigkeit seiner Lieferanten im Katastrophenfall – die meisten setzen entsprechende Pläne einfach voraus. Disaster Recovery- und Business Continuity-Strategien sind geschäftskritisch Um die Kontinuität des Geschäftsbetriebs sicherzustellen, sollten Unternehmen Disaster Recovery-Strategien entwickeln, die eine Anwendungs- und Datenverfügbarkeit über alle Plattformen und Entfernungen hinweg gewährleisten. „IT-Fachleute werfen vermehrt einen erneuten Blick auf ihre Disaster Recovery- und Business Continuity-Strategien“, erklärt Frank Bunn, Senior, Senior Solutions Marketing Manager bei Symantec. „Um sich vor Ausfallzeiten zu schützen, müssen die Unternehmen Hochverfügbarkeits- und Disaster Recovery-Lösungen in ihrer gesamten Unternehmensumgebung implementieren. Außerdem müssen sie geeignete Routinen für Disaster Recovery-Tests einführen und pflegen, mit deren Hilfe sich die Effektivität ihrer Disaster Recovery-Strategie jederzeit und ohne Auswirkungen auf die Produktionsumgebung bewerten lässt.“ www.symantec.de Kluft zwischen Business Continuity und Disaster Recovery ● 43% der Organisationen besitzen einen Disaster-Recovery-Plan, der in den BC-Plan integriert ist ● 40% verfügen über beides: Disaster-Recovery-Plan und Business-Continuity-Plan, aber beides sind separate Pläne. ● 10% der Organisationen besitzen nur einen Disaster-Recovery-Plan, jedoch keinen BusinessContinuity-Plan ● 6% der Organisationen unterscheiden nicht zwischen Disaster Recovery und Business Continuity. ● 1% kann nicht angeben, wie der Disaster-Recovery-Plan mit dem Business-Continuity-Plan zusammenhängen. PRINT + TV + ONLINE der multimediale Marketingmix für Ihren Erfolg! Infos unter www.medizin-edv.de Kongreß- und Messeberichte Wir berichten von Ihrem Messestand zum Beispiel von der MEDICA Produktneuheiten, Statements, Interviews.... Anwenderberichte Wir besuchen Ihren Referenzkunden... Produktionformationen Ihr Produkt als Film nichts ist anschaulicher.... Pressegespräche In einer Diskussionsrunde werden heiße Themen behandelt... Interviews Für Leute, die etwas zu sagen haben Speicher-Medien für den Disaster-Recovery-Plan ● 66% der Organisationen benutzen mehrere Medien zur Speicherung eines Disaster-RecoveryPlans ● 62 % der Organisationen verfügen über einen Disaster-Recovery-Plan lediglich auf Papier. ● 41% speichern den Disaster-Recovery-Plan als Datenfile im Netzwerk. ● 29% haben den Disaster-Recovery-Plan auf einem USB-Stick gespeichert, ebenso viele speichern ihn über eine Internetseite. ● 1% ist unsicher, auf welchem Medium sich der Disaster-Recovery-Plan befindet. Lockere Zügel bei Zulieferern ● 34% fragen regelmäßig ihre Technologie-Suppliers nach Business-Continuity-Plan und DisasterRecovery-Plan. ● 29% der Organisationen fragen ihre Zulieferer nicht nach Business-Continuity-Plan und Disaster-Recovery-Plan, sie gehen von deren Existenz aus. ● 28 % fragen regelmäßig bei den Zulieferern und Serviceleistern nach Business-ContinuityPlan und Disaster-Recovery-Plan, bevor Aufträge unterschrieben werden. ● 4 % sind über den Stand von Business-Continuity-Plan und Disaster-Recovery-Plan ihrer Supplier unsicher. Sie haben Interesse? Ihre Fragen beantworten wir gern. Rufen Sie uns einfach unverbindlich an Antares Computer Verlag GmbH, Gießener Straße 4 63128 Dietzenbach, Tel.: 06074/25358, Fax: 06074/24786 [email protected] www. medizin-edv.de