Das Wichtigste in der Unternehmens IT: Verfügbarkeit und Sicherheit

Teil 1 – Verfügbarkeit

Vermeintlich geht es letztlich immer ums Geld. Im Bereich der Unternehmens IT ist dies ein fatales Vor-/Fehlurteil. Was nutzen Kosteneinsparungen beim Einkauf und beim Unterhalt, wenn Systeme und Daten nicht kontinuierlich verfügbar oder nicht sicher sind.

Das existentiell Wichtigste stellen in der Unternehmens IT die beiden Bereiche VERFÜGBARKEIT und (IT) SICHERHEIT dar. Beides gehört zusammen und bedingt einander. Eine oft damit einhergehende Kostenreduktion steht nicht im Vordergrund, sondern bildet das Sahnehäubchen oben drauf.

Im ersten Teil unserer Serie geht es um die wesentlichen Grundlagen der Verfügbarkeit und die Möglichkeiten, diese bestmöglich zu gewährleisten. Im zweiten Teilen widmen wir uns, genauso umfassend, der (IT) Sicherheit. Der dritte Teil zeigt unsere passenden Lösungen.

INHALTSVERZEICHNIS

1.      Unternehmerische Bedeutung von (Hoch-) Verfügbarkeit – (High) Availability

2.      Mögliche Ursachen eines ungeplanten Ausfalls – Downtime

3.      Mögliche Folgen eines ungeplanten Ausfalls

4.      Definition Verfügbarkeit / Hochverfügbarkeit

5.      Faktoren und Komponenten der (Hoch-) Verfügbarkeit

6.      Wichtiger Teil der Schutzziele der Informationssicherheit

7.      Umsetzung und Gewährleistung von (Hoch-) Verfügbarkeit

8.      Verfügbarkeit und IT Sicherheit als ganzheitliches  System für eine performante Unternehmens IT

9.      IT Notfallplan (Business Continuity Plan) Information Security Management System (ISMS)

10.    IT Incident Response Team

1. Unternehmerische Bedeutung von (Hoch-) Verfügbarkeit – (High) Availability

Die meisten Geschäftsprozesse sind ohne IT Systeme nicht mehr denkbar. Ein Ausfall schränkt somit die Abläufe in einem Unternehmen ein, ein längerer Ausfall kann zu ernsthaften Konsequenzen bis hin zur existentiellen Bedrohung führen. Die kontinuierliche Verfügbarkeit aller IT Systeme sowie aller damit verbundenen Daten stellt also einen essentiellen Bestandteil der Unternehmens IT dar. Es gibt viele Möglichkeiten, die (Hoch-) Verfügbarkeit zu gewährleisten (siehe Punkt 7: Umsetzung und Gewährleistung von (Hoch-) Verfügbarkeit). Und dennoch sollten auch für den Ernstfall entsprechend Eskalationsstrategien etabliert werden (siehe Punkt 9:  IT Notfallplan (Business Continuity Plan) – Information Security Management System).

Die Bedeutung und teilweise auch Verpflichtung von Verfügbarkeit ist, neben anderen wichtigen Faktoren, in diversen nationalen und internationalen Regelwerken zu finden – Stichwort „IT Compliance“. Dies betrifft alle Unternehmen. Verschärfte Regelungen gibt es für sog. KRITIS-Betreiber (Sektoren Wasser, Ernährung, Energie, Informationstechnik und Telekommunikation).

2. Mögliche Ursachen eines ungeplanten Ausfalls – Downtime

Ein ungeplanter Ausfall kann verschiedene Ursachen haben:

  • Ausfall/Defekt von Hardware
  • Fehlerhafte Software
  • Anwendungsfehler
  • Korruption/Manipulation (Hacker, Mitarbeiter)
  • Höhere Gewalt (Feuer, Wasserschaden, Blitzeinschlag, etc.)
3. Mögliche Folgen eines ungeplanten Ausfalls

Während geplante Ausfallzeiten, z.B. für ein Software-/Hardware-Upgrade entsprechend zeitlich gesteuert, Mitarbeiter informiert und Ersatzsysteme bereitgestellt werden können, kann ein unerwarteter Ausfall ernsthafte Folgen haben. Je länger dieser anhält, desto gravierender sind die Konsequenzen.

  • Reparaturkosten (Time to fix/repair)
  • Personalkosten für Überstunden
  • Umsatzeinbußen
  • Imageverlust
  • Datenverlust
  • Kundenverlust
  • Schadensersatzforderungen
  • Konventionalstrafen
4. Definition Verfügbarkeit / Hochverfügbarkeit

Einfach ausgedrückt, ist ein System/Service verfügbar, wenn es die vorgesehenen Aufgaben erfüllt. Die Verfügbarkeit bemisst sich aus dem Verhältnis von Downtime zu Uptime:

Verfügbarkeit = Uptime / (Downtime + Uptime)

Hochverfügbar ist ein System, das auch im Fehlerfall weiterhin verfügbar ist und dabei ohne unmittelbaren menschlichen Eingriff weiterhin genutzt werden kann.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) definiert Hochverfügbarkeit als die Fähigkeit eines Systems, mit einer hohen Wahrscheinlichkeit (oft 99,99 % oder höher) den Betrieb trotz Ausfall einer seiner Komponenten im geforderten Umfang und in vorgesehener Geschwindigkeit zu gewährleisten.

Die Harvard Research Group hat die Verfügbarkeit in Verfügbarkeitsklassen unterteilt (Availability Environment Classification, kurz AEC, siehe Abbildung 1). Laut deren Definition sind hochverfügbare Systeme zu 99,999 % verfügbar mit einer jährlichen, mittleren Ausfallzeit von etwa 5 Minuten. Da die Hochverfügbarkeitsangabe aus fünf Neunern besteht, wird diese Regel auch “Fife Nine” genannt.

Je nach Quelle unterscheiden sich die Definitionen zur (Hoch-) Verfügbarkeit ein wenig. Letztlich ist weniger die exakte Zahl ausschlaggebend, sondern vor allem die individuellen Anforderungen. Nicht jedes Unternehmen benötigt die „Fife Nine“-Regel. Aber jedes Unternehmen sollte sich die Zeit nehmen, die eigenen belastbaren Ausfallzeiten zu berechnen bzw. welche daraus resultierenden materiellen und immateriellen Schäden tolerierbar sind.

Abbildung 1: Hochverfügbarkeit: Kennzahlen und Metriken
https://web.archive.org/web/20080420200257/http://www.tecchannel.de/test_technik/grundlagen/430342/index12.html
5. Faktoren und Komponenten der (Hoch-) Verfügbarkeit

Verschiedene Faktoren und Komponenten und deren Einsatzweise haben Einfluss darauf, wie verfügbar Systeme und Services sind:

  • Hardware
  • Software
  • Datensicherung
  • Administration
  • Gebäudetechnik
  • Verbindungsart zwischen
    hochverfügbaren Systemen
  • Sicherheit (z.B. Firewall, Virenschutz, Patch-Management)
  • Notfallplan
6. Wichtiger Teil der Schutzziele der Informationssicherheit

Die Verfügbarkeit ist ein wichtiger Bestandteil der drei Grundwerte der Informationssicherheit:
Vertraulichkeit, Verfügbarkeit und Integrität.

Kurzinfo Informationssicherheit:

  • Schützt technische (digitale) und nicht-technische Systeme (z.B. das Papierarchiv)
  • Wird durch Prozesse und organisatorische Konzepte umgesetzt
  • Relevante internationalen Standards: ISO/IEC 27000 Familie
  • Bewährte Vorgehensweisen: IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI)
  • Zur Gewährleistung der Informationssicherheit etabliert ein Information Security Management System (ISMS) die notwendigen Verfahren und Regeln in einem Unternehmen
  • Schließt Datenschutz, Datensicherheit und IT Sicherheit mit ein
Schutzziele Informationssicherheit
Informationen und Beratung zur Informationssicherheit:
ds-consult.eu/informationssicherheit
7. Umsetzung und Gewährleistung von (Hoch-) Verfügbarkeit

Je nach Anforderung und Komplexität der IT Umgebung gibt es unterschiedliche Ansätze, die gewünschte (Hoch-) Verfügbarkeit zu erreichen. Um die für ein Unternehmen richtigen Lösungen zu finden, ist unbedingt eine vorherige Risikoanalyse zu empfehlen, ebenso wie die Berechnung wichtiger Kennzahlen (Mean Time to Repair, Mean Time Between Failures, Kosten eines Ausfalls). Daraus folgend können die Kriterien festgelegt und entsprechende Maßnahmen getroffen werden.

Mögliche Maßnahmen zur Erhöhung/Sicherstellung der (Hoch-) Verfügbarkeit:

  • Standortwahl: Serverräume, Lagerort(e) Backup-Medien, etc.
  • Physischer Schutz: Feuer-/Wassermelder, Zutrittskontrollen, Klimaanlage, etc.
  • Verkabelung: Ausreichend Bandbreite, anpassbar, etc.
  • Unterbrechungsfreie Stromversorgung (USV), ggf. auch Netzersatzaggregate (NEA)
  • Redundante Systeme
  • Cluster
  • Serverfarmen
  • Datenspiegelung
  • RAID-Systeme
  • Regelmäßige Datensicherung
  • Regelmäßige Probe-Restores
  • Teilweise oder komplette Auslagerung in die Cloud
  • Aktueller Anti-Viren-Schutz
  • Korrekte Einstellungen der Firewall
  • Eingeschränkte Benutzerkonten
  • Aktive Inhalte, sofern nicht unbedingt benötigt, deaktivieren (ActiveX, Java, etc.)
  • Regelmäßige und zeitnahe Aktualisierung aller Systeme
  • Virtual Private Network (VPN)
  • Datenverschlüsselung
  • Mitarbeiterrichtlinien, ggf. Schulungen (Surfen am Arbeitsplatz, Erkennen von falschen eMails, Erstellen von und Umgang mit Passwörtern, Verschwiegenheitsvereinbarungen, etc.)
  • Protokolle und Log-Dateien
  • Einsatz von unterstützender Software wie z.B. Monitoring, Management- und Berichtslösung (RMM – Remote Monitoring and Management)
  • uvm.
8. Verfügbarkeit und IT Sicherheit als ganzheitliches System für eine performante Unternehmens IT

Die oben angeführte Aufzählung zeigt, dass auch (IT) Security Maßnahmen erheblich zum Erhalt bzw. zur Verbesserung der Verfügbarkeit beitragen. Darin lässt sich bereits im Ansatz erkennen, dass Verfügbarkeit und Sicherheit größtenteils einander bedingen. Um beispielsweise einen Verfügbarkeitsverlust aufgrund eines Cyberangriffs zu verhindern, benötigt man komplexe und durchgängig gewartete IT Security Systeme. Umgekehrt muss Hard- und Software stets verfügbar sein, um die Funktionsfähigkeit von IT Security Systemen zu gewährleisten.

Der zweite Teil dieser Serie beschäftigt sich ausführlich mit dem Thema (IT) Security.

9. IT Notfallplan (Business Continuity Plan)
Information Security Management System (ISMS)

Unabhängig von den eingesetzten Maßnahmen sollte in jedem Fall ein Notfallplan erstellt und ggf. regelmäßig aktualisiert werden. Der Erstellung geht die Analyse aller Geschäftsprozesse sowie die Bestandsaufnahme aller IT Systeme und IT Schnittstellen voran. Der Notfallplan enthält dann alle Maßnahmen, die für eine schnelle Systemwiederherstellung wichtig sind. Auch alle für den Notfall beteiligten Ansprechpartner (intern und/oder extern) sind darin vermerkt. Dieser konkrete Handlungsplan spart nicht nur Zeit und Nerven, sondern auch viel Geld.

Perfektioniert wird das Notfallsystem, wenn man ein Information Security Management System (ISMS) einsetzt. Darin werden alle relevanten Regeln, Verfahren, Maßnahmen und entsprechende Tools definiert, die die Informationssicherheit sicherstellen, steuern und kontrollieren. Ein IT Notfallplan ist Teil des ISMS.

Die DS Consult + Compliance berät und unterstützt Sie bei der Einführung von ISMS:
ds-consult.eu/informationssicherheit

10. IT Incident Response Team

Sofern Sie im IT Notfall auf professionelle externe Hilfe setzen möchten, steht Ihnen das IT Incident Response Team der DS Consult + Compliance GmbH mit weitreichender Expertise und vielen Spezialisten zur Verfügung –  unabhängig davon, ob es sich um einen Cyber-Angriff oder einen Ausfall aufgrund eines IT Defekts handelt.

Zusätzlich angebotene effektive Präventivmaßnahmen und IT Security Schulungen, sorgen dafür, die Gefahr eines Schadensereignisses möglichst gering und damit die Verfügbarkeit möglichst hoch zu halten.

Mehr Informationen zum IT Incident Response Team finden Sie hier:
https://ds-consult.eu/it-incident-response-team/

Hier können Sie den Blog-Beitrag als pdf-Datei herunterladen:

Sie planen in den Bereichen (Hoch-) Verfügbarkeit und/oder IT Sicherheit oder wünschen prinzipiell dahingehende Beratung/Unterstützung?

Unsere Experten beraten Sie ausführlich, welche Konzepte und Lösungen für Ihr Unternehmen am effektivsten sind. Bei konkreten Projekten unterstützen wir Sie bei jedem von Ihnen gewünschten Schritt. Mit SicherheIT. Teilen Sie uns einfach mit, ob Sie eine telefonische Erstberatung wünschen oder eine persönliche Beratung bei Ihnen vor Ort.

Telefon:  +49 9431 7173 130
eMail:  marketing@gourmet-it.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert