Unternehmen wollen krisenfest werden

Die Geschäfte laufen gut; Umsatz und Gewinn steigen; Kunden, Partner und Anteilseigner sind zufrieden. Und dann kommt aus heiterem Himmel ein Ereignis wie Corona. Lieferketten funktionieren nicht mehr, Mitarbeiter müssen ad hoc ins Homeoffice verlagert werden, Prozesse und Angebote im Eiltempo auf eine digitale Basis gestellt werden, etwa im Handel. „Die Covid-19-Krise führt uns eindrucksvoll die Auswirkungen externer Einflüsse und Risiken für Unternehmen vor Augen. Fragile Lieferketten, autarke IT-Anwendungen, Datensilos, manuelle Workflows und veraltete Infrastrukturen bringen Unternehmen in Krisen schnell ins Straucheln“, erklärt Stephan Romeder, Vice President Global Business Development bei Magic Software Enterprises, einem Anbieter von Software-Plattformen für die Digitalisierung und Automatisierung von Workflows.

Ein solches „Straucheln“ lässt sich vermeiden, wenn Unternehmen im Vorfeld eine Business-Resilienz-Strategie erarbeiten. Diese sollte nicht nur Geschäftsprozesse und interne Abläufe berücksichtigen, sondern auch die IT-Umgebung und Vorkehrungen gegen die Auswirkungen von Cyber­angriffen. „Business Resilience ist die Fähigkeit einer Organisation, sich schnell an Störungen anzupassen und gleichzeitig den Geschäftsbetrieb aufrechtzuerhalten sowie Mitarbeiter, Vermögenswerte und den Markenwert zu schützen“, definiert Heiko Böhm, Managing Director EMEA - Azure Business Group bei NetApp.

Business Resilience geht daher weiter als Maßnahmen für Business Continuity und Disaster Recovery. „Business Resilience bietet Strategien für die Zeit nach einem Ereignis, damit ein Unternehmen Ausfallzeiten vermeiden, Schwachstellen beseitigen und den Geschäftsbetrieb gewährleisten kann“, so Böhm weiter. Obwohl eine „Katastrophe“ wie Corona deutlich gemacht hat, wie wichtig Business Resilience ist, beschränkt sich dieser Ansatz nicht auf solche Ereignisse. Er unterstützt Unternehmen generell dabei, Vorkehrungen gegen plötzliche Veränderungen jeder Art zu treffen.

„Es geht insbesondere um die Frage, wie man mit externen oder internen Einwirkungen auf bestehende Arbeitsstrukturen so umgeht, dass man am Steuer bleibt und nicht zum Getriebenen dieser Einflüsse wird. Es stellt sich die Frage, wie flexibel und anpassungsfähig die Prozesse innerhalb eines Unternehmens sind und welche Aspekte dabei berücksichtigt werden müssen“, unterstreicht Jürgen Pinkl, Managing Director Technology beim Beratungshaus Accenture in Deutschland, Österreich, der Schweiz und Russland.

Zu berücksichtigen ist zudem, in welcher Branche ein Unternehmen oder eine Organisation angesiedelt ist und in welchem Maß die Geschäftsabläufe digitalisiert sind. Vor allem Unternehmen aus dem Bereich der verarbeitenden Indus­-
trie seien äußeren Einflüssen stärker ausgesetzt, so Stephan Romeder. „Ein Servicedienstleister kann seine Online-Bestellplattform ortsunabhängig betreiben, während ein Maschinenbauer auf seine Produktionsstandorte angewiesen ist.“ So seien durch Corona in Produktion und Logistik teilweise fatale Auswirkungen aufgetreten, weil Abläufe durcheinanderkamen und sich Produktionsprozesse etwa durch Ausfälle bei Lieferteilen verzögerten.

„Die Schaffung einer transparenten Sicht auf diese Unternehmensdaten, Daten aus Lieferketten und Wertströmen ist daher eine der dringendsten betrieblichen Anforderungen“, betont Romeder. „Ohne Zugriff auf präzise Echtzeitdaten und Einblicke in die gesamte Lieferkette kann beispielsweise von Supply-Managern nicht erwartet werden, dass sie zeitnah die richtigen Entscheidungen treffen.“

Doch damit solche Daten zur Verfügung stehen, müssen IT-Systeme, Cloud-Computing-Ressourcen und Cybersecurity-Maßnahmen reibungslos funktionieren - und ebenfalls „resilient“ ausgelegt sein. Daher haben sich gewissermaßen als Untermenge der Business-Resilienz Sparten wie IT Resilience und Cyber Resilience herausgebildet. „Während Business-Resilienz viele Elemente wie Mitarbeiter, Marktverhältnisse, Umsätze oder auch politische Verhältnisse in einer Region einschließt, dreht sich die IT-Resilienz um Konzepte und Technologien in der Informationstechnologie, um den fortlaufenden Geschäftsbetrieb zu garantieren. Da jedoch heute in fast jedem Unternehmen die IT eine der Kernkomponenten darstellt, ist deren Resilienz besonders wichtig für das Business“, erklärt Florian Malecki, International Product Marketing Senior Director bei StorageCraft, ein Unternehmen von Arcserve, einem Anbieter von Lösungen für Disaster Recovery und IT Resilience.

Im ersten Schritt empfiehlt der IT-Security-Spezialist RSA, die Abhängigkeit von Geschäftsprozessen voneinander und von speziellen IT-Komponenten und Services zu überprüfen. Eine solche Business Impact Analysis (BIA) gibt Aufschluss darüber, welche kritischen Prozesse vorhanden sind, von welchen IT-Ressourcen sie abhängen und in welcher Reihenfolge diese Abläufe nach einer Störung wiederhergestellt werden sollten. Solche BIAs lassen sich mit Tools für die Analyse und das Management von Prozessen durchführen. Wichtig bei der Auswahl einer BIA-Plattform oder -Software ist, dass sie allen involvierten Mitarbeitern und Teams im Unternehmen Informationen über die Verzahnung von Abläufen und die verknüpften Business-Resilienz-Maßnahmen zur Verfügung stellt.

Zweites Element ist ein „Incident Management“. Es erfasst und kategorisiert Vorfälle, die den Geschäftsbetrieb beeinträchtigen. Das können Cyberangriffe und der Ausfall zen­traler IT-Systeme sein, aber auch geopolitische Vorkommnisse wie Unruhen in einem Land, in dem eine Firma oder Zulieferer Fertigungsstätten unterhalten. Nach einer Bewertung der Vorfälle und ihrer Auswirkungen erhalten Manager und IT-Verantwortliche Vorschläge, welche Gegenmaßnahmen in Betracht kommen. Diese Erkenntnisse können auf zentralen Dashboards übersichtlich zusammengefasst werden.

---

Zu den klassischen Werkzeugen im Bereich IT-Resilienz zählen Disaster Recovery (DR) und Business Continuity Management (BCM). Beide Bereiche wachsen zusammen. Backup konzentriert sich darauf, Kopien von Dateien, System-Images oder Datenbanken auf anderen Speichermedien abzulegen - im eigenen Rechenzentrum oder auf Systemen von (Cloud-)Service-Providern. Disaster Recovery ergänzt dies um Vorgehensweisen, Systeme und Services, um komplette IT-Umgebungen nach einem „Desaster“ schnellstmöglich wiederherzustellen. Das schließt Daten, Server, Netzwerkverbindungen, Virtual Machines, Anwendungen und Prozesse mit ein. Diese werden in ein entferntes Rechenzentrum oder eine Cloud-Umgebung repliziert und stehen für den Notfalleinsatz zur Verfügung.

Nahezu alle Anbieter von Public-Cloud-Plattformen wie AWS, Microsoft, Google, IBM und Ionos Cloud bieten cloudbasierte Backup- und DR-Dienste an. Doch auch die Anbieter traditioneller Backup- und DR-Lösungen setzen zunehmend auf die Cloud, teils in Zusammenarbeit mit Hyperscalern wie AWS oder Microsoft. Einige Beispiele sind NetApp, StorageCraft, ein Unternehmen von Arcserve, Acronis und Arcserve, aber auch Anbieter wie VMware und Veeam.

BCM ist im Vergleich zu DR eine Ebene höher angesiedelt und darauf ausgelegt, proaktiv den Folgen unerwarteter Ereignisse entgegenzuwirken. Gartner zufolge umfasst BCM Planungen, um die Verfügbarkeit von Ressourcen sicherzustellen, die der Geschäftsbetrieb erfordert. Das beginnt beim Telefon und Client-Systemen wie Notebooks und setzt sich über Netzwerkverbindungen, Datenbanken und Anwendungen fort. Eine zentrale Rolle bei BCM spielen die Geschäftsprozesse. Ein Business-Continuity-Plan definiert etwa, welche Kunden und Zulieferer besonders hohe Priorität haben oder welche Online-Angebote möglichst schnell wiederhergestellt werden müssen. Der Fokus eines BCM liegt stärker auf organisato­rischen Überlegungen, unterstützt durch Risikoabwägungen (Risk Management).

Unter den Anbietern von BCM-Lösungen und -Plattformen finden sich laut Gartner nur wenige bekannte Namen. Zu den Firmen, die auch in Deutschland über eine beträchtliche Zahl von Kunden verfügen, zählen Castellan, ServiceNow und Metric­stream. Allerdings unterhalten weitere BCM-Spezialisten in Deutschland Customer Support Center und Rechenzentren, über die sie ihre Services anbieten. Beispiele sind Fusion Risk Management, SAI Global, Galvanize und Continuity Logic.

Als Folge der Corona-Krise könnte Business Continuity Management einen Aufschwung verzeichnen. Zudem ist davon auszugehen, dass neben Beratungshäusern wie Accenture, TCS und Capgemini auch große Software-Firmen wie Microsoft, Oracle und SAP ihr Engagement in diesem Bereich ausweiten. Gleiches gilt für IT-Unternehmen wie Dell Enterprise, Cisco, HPE und IBM.

Ein weiterer Eckpunkt einer Business-Resilienz-Strategie ist der Schutz von Unternehmensdaten und Anwendungen vor Cyberattacken, vor allem vor Verschlüsselungstrojanern (Ransomware). „Es gilt, den Datenbestand zu schützen, den stetigen Zugriff darauf zu ermöglichen und ihn im Fall einer erfolgreichen Attacke wiederherzustellen“, erläutert Markus Grau, Systems Engineering Strategist bei Pure Storage. Umsetzen lasse sich dies, indem Unternehmen „Hochverfügbarkeit implementieren“, so Grau. Das bedeute, ein praktika­bles Disaster-Recovery-Konzept zu implementieren, das regelmäßig getestet wird. Außerdem rät Pure Storage dazu, Datensicherungen zu erstellen, die nicht manipuliert werden können, denn solche Backups seien auch vor Ransomware sicher. „Entscheidend ist, dass die Wiederherstellung von Daten mit minimaler Verzögerung erfolgt“, so Grau. „Wir sehen daher verstärkt Unternehmen, die Hochleistungs-Flash-Speicherlösungen einsetzen. Damit können sie im Handumdrehen sogar an kalte Daten wieder herankommen.“ Das sind Informationen, die im Gegensatz zu „Hot Data“ seltener genutzt werden. Dennoch haben viele Unternehmen aus Sicht von Pure Storage beim Thema Cyber Resilience noch Nachholbedarf. „Es braucht oft eine Lernkurve, bis zielführende Investitionen in diesem Bereich getätigt werden“, sagt Grau. „So sind Ransomware-Angriffe häufig der Schuss vor den Bug - oder gar in den Bug, der die Entscheider wachrüttelt.“

Im Lauf der Pandemie stellte sich heraus, dass Unternehmen mit hohem Digitalisierungsgrad besser durch die Krise kommen, sagt eine Umfrage, die der Digitalverband Bitkom im Herbst 2020 durchführen ließ. Darin erklärten 70 Prozent der Unternehmen, deren Geschäftsmodell bereits digitalisiert ist, dass sie durch Corona weniger Probleme haben. Dass Digitalisierung hilft, Krisen besser zu meistern, bestätigt Santu Mandal, Head Manufacturing Business Unit bei TCS in Deutschland: „Corona hat die Digitalisierung rasant beschleunigt“, so der Manager des Beratungshauses. „Die Pandemie hat auch deutlich gemacht, dass Digitalisierung für Unternehmen zwingend notwendig ist, um flexibel und belastbar zu bleiben. Firmen müssen heute digitale Technologien und digitale Geschäftsmodelle einführen, um auch künftig schwierige Rahmenbedingungen besser zu meistern.“

Warum das so ist, erläutert Jürgen Pinkl von Accenture anhand von zwei Beispielen: der Kontrolle von Lieferketten und Remote Working. „Wenn einzelne Stationen und Akteure einer Wertschöpfungskette mithilfe digitaler Strategien jederzeit abrufbar und alle Mitarbeitenden untereinander gut vernetzt sind, können Fehler und Defizite in der Supply-Chain schneller erkannt und behoben werden“, so Pinkl. Externe Schocks lassen sich dem Experten zufolge dann schneller abfedern, weil Mitarbeiter auf die relevanten Informationen auch remote zurückgreifen können. „Die tiefergehende Digitalisierung ermöglicht es zudem, agilere Geschäftsstrukturen aufzubauen. Ein Unternehmen kann so auf Schwankungen der Nachfrage schneller reagieren und neue Produkte und Dienstleistungen darauf aufbauen“, ergänzt Pinkl.

Doch damit die Digitalisierung die Business-Resilienz stärken kann, ist nach übereinstimmender Einschätzung der Experten ein Faktor mitentscheidend: die Analyse von Daten. „Vom Office bis zum Online-Shop und zur Fertigung muss es das Ziel sein, in Echtzeit Einblicke in alle anfallenden Daten zu erhalten. Nur mit dieser Transparenz lassen sich Planbarkeit und schnelle Reaktionsfähigkeit sicherstellen“, betont etwa Stephan Romeder von Magic Software. Zudem seien Datenanalysen wichtig, um automatisierte, robuste Prozesse aufzusetzen.

Beratungshäuser wie TCS plädieren dafür, KI und maschinelles Lernen für das Erfassen und Auswerten von Daten einzusetzen, die von IT-Systemen und Anwendungen bereitgestellt werden. So ließen sich aufkommende Probleme schneller erkennen und beheben. Magic Software wiederum fordert, bereits bei der Auswahl einer Digitalisierungsplattform auf Funktionen wie Datenintegration und Echtzeit-Data-Analytics zu achten, damit Fachleute im Krisenfall schnell die „richtigen“ Anpassungen vornehmen können.

Um dafür gerüstet zu sein, dass erneut Mitarbeiter nicht an ihrem Arbeitsplatz im Firmenbüro aktiv sein dürfen, reicht es aber nicht aus, einfach Homeoffice-Arbeitsplätze einzurichten. „Man muss in Sachen Digitalisierung einen Schritt weitergehen“, unterstreicht Jürgen Pinkl von Accenture. Er plädiert für eine Workplace-Infrastruktur, die zentral in die Cloud überführt wird und sich an die Arbeitsbedingungen und Anforderungen des Unternehmens anpassen lässt: „Insbesondere im Homeoffice ist der gesicherte Zugriff auf Daten entscheidend, die an einem zentralen Speicherort liegen, um auch im Krisenfall flexibel und agil arbeiten zu können.“ Solche Workplaces bietet etwa Microsoft mit Windows Virtual Desktop an. Citrix hat mit Virtual Apps and Desktops ein ähnliches Konzept entwickelt.

Eine weitere Option für Unternehmen, die sich nachhaltig vor den Folgen von Naturkatastrophen und Cyberangriffen schützen wollen, liegt für NetApp darin, geschäftskritische Workloads in mehreren Regionen vorzuhalten. „Wenn zudem der Wechsel, also das Failover, schnell und einfach erfolgt, lassen sich kostspielige Ausfallzeiten vermeiden“, sagt Heiko Böhm. Sein Unternehmen bietet mit Cross Region Replication (CRR) eine entsprechende Lösung für Azure NetApp Files an, mit SnapMirror für Cloud Volumes ONTAP. Unter dem Aspekt Datenspeicherung ist laut Böhm zudem in gemischten Windows- und Linux-Umgebungen wichtig, dass Anwender sowohl auf NFS-Dateien (Network File Systems) als auch auf SMB-Files (Server Message Block) zugreifen können. Erreichen lasse sich das mit Dual-Protocol-Volumes, die etwa in der Azure-Cloud abgelegt werden.

Doch allein mit Plattformen, Tools, Clouds und Assessments sei es nicht möglich, Business- und IT-Resilienz zu gewährleisten. Business Resilience beginne zwar mit dem Verständnis, dass Arbeitsabläufe erhalten bleiben müssen, damit Unternehmen unerwartete Ereignisse überleben, so Heiko Böhm, eine oft übersehene Herausforderung bei der Planung von Business Resilience sei aber das menschliche Element:  „Mitarbeiter müssen darauf vorbereitet und geschult werden, wie sie in einer chaotischen Situation reagieren sollen.“

Unternehmen müssen ihre Vorkehrungen im Bereich Business-Resilienz ausbauen. Hauptgrund ist, dass durch Digitalisierung und Globalisierung komplexe Liefer- und Produktionsketten entstanden sind. Hinzu kommt die höhere Anfälligkeit vernetzter IT- und Produktionsumgebungen für Cyberattacken, auch durch Staats-Hacker. Geschäftsprozesse und IT-Umgebungen resilient zu machen, ist allerdings keine einfache Aufgabe, vor allem angesichts des Mangels an IT-Fachkräften. Daher werden viele Unternehmen auf Beratungshäuser und IT-Dienstleister zurückgreifen müssen. Und das sollten sie auch. Natürlich kostet das Geld und erfordert möglicherweise einen Umbau von Geschäfts- und IT-Prozessen. Doch der Aufwand lohnt sich. Denn in einem wirtschaftlichen Umfeld, das immer stärker auf Echtzeit ausgelegt ist, können selbst kürzere Unterbrechungen des Geschäfts­betriebs schweren Schaden verursachen. Und darauf sollte es kein Unternehmen und keine öffentliche Einrichtung ankommen lassen.

Die IT-Umgebung eines Unternehmens muss für unerwartete Entwicklungen gerüstet sein und daher Prozesse und IT-Umgebungen resilient machen. Das lässt sich nur teilweise mit Tools und Technik erreichen. Auch die Kompetenz der Mitarbeiter muss erweitert werden, so Florian Malecki, International Product Marketing Senior Director beim Disaster-Recovery-Spezialisten StorageCraft, ein Unternehmen von Arcservice.

Florian Malecki: IT-Resilienz ist ganz klar ein Teil der Business-Resilienz. Während Business-Resilienz viele Elemente wie Mitarbeiter, Marktverhältnisse, Umsätze oder auch politische Verhältnisse in einer Region einschließt, dreht sich die IT-Resilienz ausschließlich um Konzepte und Technologien in der Informationstechnologie, um den fortlaufenden Geschäftsbetrieb zu garantieren. Da jedoch heute in nahezu jedem Unternehmen die IT eine der Kernkomponenten darstellt, ist deren Resilienz besonders wichtig für das Gesamt-Business.

Malecki: IT-Resilienz beschreibt die Fähigkeit eines Systems, in zeitlich vertretbarer und effizienter Art und Weise Gefahren und unerwarteten Änderungen zu widerstehen und diese zu absorbieren, sich Änderungen anzupassen und sich gegebenenfalls von deren Auswirkungen zu erholen. Dafür werden selbstverständlich auch Konzepte für Business Continuity, Cybersecurity, Disaster Recovery oder Risikomanagement benötigt, um nur einige zu nennen. Wichtig ist bei der IT-Resilienz, dass die Systeme in unerwarteten Situationen bestehen, ganz gleich, ob diese Situationen negativ oder positiv sind.

Malecki: Es ist richtig, dass man dem Begriff Resilienz derzeit oft begegnet. Aber der Ansatz ist nicht neu. Resilienzbestrebungen gibt es bereits seit geraumer Zeit. Natürlich hat die Wichtigkeit der IT in jedem Business die IT-Resilienz auf ein höheres Level gehoben. Cyberattacken, komplexe Strukturen und die Digitalisierung haben dazu ihr Übriges beigetragen. Nicht zuletzt hat auch die Corona-Pandemie Auswirkungen auf die IT-Resilienz. Sie hat beispielsweise durch die plötzliche und unerwartete Veränderung der Arbeitssituation in Homeoffices dafür gesorgt, dass die IT-Resilienz auf die Probe gestellt wurde - und dass sie im einen oder anderen Unternehmen nachgebessert werden muss. Übrigens zeigt gerade Corona, dass Resilienz ein kontinuierlicher Prozess ist. Es gibt immer wieder neue, unerwartete Situationen, in denen sich die IT als zuverlässig erweisen muss.

Malecki: Auch in deutschen Unternehmen wird Resilienz schon seit längerer Zeit betrieben. Vielleicht kann man unterschiedliche Ausprägungen und Entwicklungsstufen je nach Unternehmensgröße oder nach Art des Business erkennen. Aber denkt man beispielsweise an kritische Infrastrukturen, etwa Stromversorger, wird auch in Deutschland Resilienz schon lange auf hohem Niveau umgesetzt. Aber auch in nicht kritischen Unternehmen ist Resilienz ein Thema. Allein die Digitalisierung und die Anforderungen durch die Datenschutz-Grundverordnung oder HIPAA (Health Insurance Portability and Accountability Act) erfordern resiliente, belastbare IT-Systeme. Im Grunde befinden sich nahezu alle Unternehmen auf einer individuellen Reise in Richtung Resilienz - entsprechend ihren Anforderungen und Bedürfnissen.

com! professional: Welche Maßnahmen können Firmen ergreifen, um resilient zu werden?

Malecki: Dafür gibt es keinen „One size fits all“-Ansatz. Es ist immer eine individuelle Abschätzung dessen erforderlich, was auf ein Unternehmen im Extremfall zukommen kann. Wichtig ist die Fähigkeit - egal auf welche Situation -, schnell, gezielt und koordiniert reagieren zu können. Aus Sicht der IT-Resilienz gehört dazu natürlich ganz wesentlich die Redundanz, die Wiederherstellung, aber auch die Skalierbarkeit von allen lebenswichtigen Systemen. Besonders wichtig ist, dass Unternehmen und Mitarbeiter wissen, was in einer extremen Situation tatsächlich zu unternehmen ist. Daher sind Notfallpläne und Trainings der IT-Mitarbeiter ein Kernelement der IT-Resilienz.

Malecki: Grundlegend ist die Fähigkeit, das Unerwartete zu antizipieren. Das kann man lernen, beispielsweise durch genaues Beobachten, was in anderen Unternehmen passiert oder auch welche Veränderungen im eigenen Unternehmen stattfinden und sich zu einer echten Herausforderung entwickeln können. Aus Sicht der IT-Systeme sind die folgenden Punkte besonders wichtig: erstens eine konsolidierte Data- und Storage-Protection, zweitens der Schutz der Daten von Edge- und Remote-Standorten. Das dritte Element ist die Absicherung der physischen und virtuellen Umgebungen, das vierte der Schutz der cloudbasierten Arbeitsabläufe. Und fünftens ist die Dokumentation und das Testen des Data-Protection-Plans unverzichtbar.