Den Satz: lieber man hat als man hätte hat sicher jeder einzelne von uns bereits am eigene Leibe erfahren, ganz egal ob im berufliche oder privaten Umfeld. Hätte man doch bloß nicht auf den schädlichen Link in der E-Mail geklickt oder so ähnlich geht es einem dann durch den Kopf. Wenn das Kind aber erst einmal in den Brunnen gefallen ist dann ist es auch schon zu spät für eine Vorsorge.
Was im Privaten meist nur ärgerlich ist, kann im Geschäftsumfeld aber sehr schnell existenzbedrohend werden. Aus diesem Grunde ist es wichtig sich rechtzeitig ein Sicherheitsnetz für den möglichen Schadensendfall aufzubauen. Leider wird in vielen Unternehmen das Thema Notfallwiederherstellung und Geschäftskontinuität nicht angemessen beachtet, was dann im Ernstfall zu hohen finanziellen Verlusten führt.
Die Menge an möglichen Bedrohungsszenarien ist lang. Das Eintreten mancher Szenarien ist wahrscheinlicher als als anderer. Deswegen gilt es eine realistische Risikobewertung durchzuführen die einzelne Optionen gewichtet. Das hilft die entstehenden Kosten nicht ausufern zu lassen.
Die Corona Pandemie war für viele Menschen ein einschneidendes Erlebnis. Besonders die staatlich auferlegten Hygieneregeln stellten viele Betriebe vor enorme Herausforderungen. Hier sei das Stichwort Home Office genannt. Um der Lage Herr zu werden wurden Arbeitnehmer kurzerhand heimgeschickt um von dort aus zu arbeiten. Da speziell im deutschsprachigen Raum es keine etablierte Kultur und noch viel weniger eine vorhandenen Infrastruktur für Heimarbeit gibt musste diese unter sehr hohem Druck kurzerhand erschaffen werden. Das geschah natürlich nicht ohne Reibungspunkte.
Es muss aber nicht immer gleich ein drastisches Ereignis sein. Auch ein profaner Stromausfall oder eine Netzüberspannung kann erheblichen Schaden verursachen. Es muss auch kein Gebäudebrand oder eine Überschwemmung sein die zu sofortigem Stillstand führt. Auch ein Hackerangriff zählt in die Kategorie ernstzunehmender Bedrohungslagen. Damit soll es auch gut sein. Ich denke die Problematik ist mit diesen Beispielen ausführlich dargelegt. Kümmern wir uns daher zu Beginn um die Frage was man als gute Vorsorge bereits leisten kann.
Die am leichtesten umzusetzende und auch wirkungsvollste Maßnahme ist eine umfangreiche Datensicherung. Damit auch wirklich keine Daten verloren gehen hilft es die verschiedenen Daten aufzulisten und zu kategorisieren. In eine solche Tabelle gehören Informationen über die Speicherpfade die zu sichern sind, ungefährer Speicherverbrauch, Priorisierung nach Vertraulichkeit und Kategorie der Daten. Kategorien sind beispielsweise Projektdaten, Austreibungen, E-Mail Korrespondenz, Finanzbuchhaltung, Zulieferlisten, Lohnabrechnungen und so weiter. Es ist natürlich klar das im Rahmen des Datenschutzes nicht jeder im Unternehmen berechtigt ist die Information zu lesen. Deswegen gilt es verdauliche Daten durch Verschlüsselung zu schützen. Je nach Schutzklasse kann es sich um ein einfaches Passwort für komprimierte Daten handeln oder ein kryptographisch verschlüsseltes Verzeichnis oder eine verschlüsselte Festplatte. Die Frage wie oft eine Datensicherung ausgeführt werden sollte ergibt sich aus der Häufigkeit der Änderung der originalen Daten. Je häufiger die Daten verändert werden um so kürzer sollten die Intervalle der Datensicherung sein. Ein anderer Punkt ist der Zielspeicher der Datensicherung. Ein komplett verschlüsseltes Archiv das lokal im Unternehmen liegt kann nach erfolgreichem BackUp durchaus auf einen Cloud-Speicher hochgeladen werden. Diese Lösung kann allerdings bei großen Datenmengen sehr teuer werden und ist daher nicht unbedingt für Kleine und Mittelständische Unternehmen (KMU) geeignet. Ideal ist es natürlich wenn es von einer Datensicherung mehrere Replikationen gibt die an verschieden Orten aufbewahrt werden.
Es nützt natürlich wenig umfangreiche Sicherungen zu erstellen um dann im Ernstfall festzustellen, dass diese fehlerhaft sind. Deswegen ist eine Verifikation der Sicherung enorm wichtig. Professionelle Werkzeuge für Datensicherung enthalten einen Mechanismus der die geschriebene Daten mit dem Original vergleicht. Das Linux-Kommando rsync nutzt ebenfalls diesen Mechanismus. Ein einfaches copy & paste erfüllt die Anforderung nicht. Aber auch ein Blick auf die Dateigröße der Sicherung ist wichtig. Hier lässt sich schnell erkennen ob Informationen fehlen. Natürlich lässt sich noch viel mehr zum Thema Backup sagen, das würde aber an dieser Stelle zu weit führen. Wichtig ist das richtige Verständnis für die Thematik zu entwickeln.
Wenn wir einen Blick auf die IT Infrastruktur von Unternehmen werfen stellen wir sehr schnell fest das die Bereitstellung von Softwareinstallationen überwiegend ein manueller Prozess ist. Wenn wir uns überlegen das beispielsweise ein Rechensystem auf Grund eines Hardwarefehlers seien Dienst nicht mehr verrichten kann gilt es auch hier eine geeignete Strategie zur Nothilfe in der Hand zu haben. Die Zeitintensive Arbeit beim Auftreten von Hardwarefehlern ist das Aufspielen der Programme nach einem Gerätetausch. Nun macht es für viele Unternehmen aus Kostengründen wenig Sinn eine redundante Infrastruktur bereitzuhalten. Eine bewährte Lösung kommt aus dem Bereich DevOps und nennt sich Infrastructure as a Code (IaaC). Hier geht es vor allem darum Dienste wie E-Mail oder Datenbanken etc. via Script bereitzustellen. Für den Business Continuity & Desaster Recovery Ansatz genügt es wenn die automatisierte Installation beziehungsweise Aktualisierung manuell angestoßen wird. Dabei sollte man nicht auf proprietäre Lösungen von möglichen Cloud Anbietern setzen sondern frei verfügbare Werkzeuge nutzen. Denn ein mögliches Szenario ist auch eine Preiserhöhung des Cloud Anbieters oder für Unternehmen nicht akzeptable Änderungen der Geschäftsbedingungen die eien schnellen Wechsel nötig machen können. Basiert die Automatisierungslösung auf einer speziellen Technologie die Andere Anbieter nicht bereitstellen können, gestaltet sich ein schneller Wechsel äußerst schwierig.
Auch auf die Flexibilität der Angestellten sollte geachtet werden. Die Anschaffung von Notebooks anstatt Desktoprechner erlaubt eine hohe Mobilität. Das inkludiert natürlich auch die Erlaubnis den Laptop mit heim zunehmen und sich von dort in das Firmennetzwerk einzuwählen. Teams die Anfang 2020 bereits mit Home Office vertraut waren konnten nahezu nahtlos ihre Arbeit von zu Hause fortsetzen. Das hat den entsprechenden Unternehmen ein gewaltigen Wettbewerbsvorteil verschafft. Es ist auch davon auszugehen das im Rahmen der digitalen Transformation große repräsentative Firmenzentralen immer weniger Bedeutung haben. Die Teams organisieren sich dann flexibel mit modernen Kommunikationswerkzeugen remote. Aktuelle Untersuchungen zeigen das ein solches Setup in den meisten Fällen die Produktivität steigert. Ein verschnupfter Kollege der sich dennoch in der Lage fühlt sein Pensum zu leisten kann so unbesorgt zur Arbeit erscheinen ohne das die Kollegen Gefahr laufen auch angesteckt zu werden.
Wir sehen schon wie weit sich dieses Thema denken lässt. Die Herausforderung besteht allerdings darin eine schrittweise Transformation durchzuführen. Denn in aller Konsequenz entsteht als Ergebnis eine dezentrale Struktur, die mit Redundanzen arbeitet. Genau diese Redundanzen verschaffen bei einer Störung genügend Handlungsspielräume gegenüber einer zentralisierten Struktur. Redundanzen verursachen natürlich einen zusätzlichen Kostenfaktor. Die Ausstattung von Arbeitnehmern mit einem Laptop anstatt eines stationären Desktop PCs ist in der Anschaffung etwas teurer. Mittlerweile ist die Preisdifferenz der beiden Lösungen nicht mehr so dramatisch wie noch zur Jahrtausendwende und die Vorteile überwiegen allerdings. Die Transformation hin die Geschäftsfähigkeit bei Störungen aufrecht zu erhalten bedeutet nicht dass man nun sofort loszieht und allen Arbeitnehmern neues Equipment kauft. Nach dem festgestellt wurde was für das Unternehmen notwendig und sinnvoll ist können Neuanschaffungen priorisiert werden. Kollegen deren Gräte abgeschrieben sind und für einen Austausch vorgesehen sind erhalten nun Equipment der neuen Unternehmensrichtlinie nach. Nach diesem Vorbild folgt man nun auch in allen anderen Bereichen. Diese schrittweise Optimierung erlaubt einen guten Lernprozess und stellt sicher das jeder bereits abgeschlossene Schritt auch tatsächlich korrekt umgesetzt wurde.