Information Technology Reference
In-Depth Information
Im Rahmen eines Risk Assessment wird das konkrete Risiko für die einzelnen Geschäts-
prozesse bewertet und in Risikostufen eingeordnet. Je größer das Risiko, dass ein deiniertes
Katastrophenszenario tatsächlich eintritt, desto wichtiger ist die Deinition adäquater Maßnah-
men für das Geschät des Kunden. Für die Bewertung der Risiken sollten Standardmethoden
wie M_o_R oder CRAMM eingesetzt werden:
M_o_R (Management of Risk):
Beschreibt vier grundlegende Schritte zur Risikokontrolle.
Zunächst werden Risiken identiiziert, anschließend die Efekte bei Eintreten bewertet. Der
nächste Schritt ist die Festlegung von Maßnahmen, um den Bedrohungen zu begegnen. Im
vierten Schritt werden die abgeleiteten Maßnahmen implementiert und deren Wirkung
beobachtet, um ggf. korrigierend zu reagieren. Im Rahmen dieser Methode werden die
folgenden Dokumente regelmäßig geplegt, kommuniziert und gelebt:
Risikomanagement-Policy
Prozesshandbuch
Risikomanagement-Pläne
Verzeichnis der Risiken
Issue Logs
CRAMM (CCTA Risk Analysis and Management Method):
Betrachtet die für die Geschäts-
prozesse benötigten Assets in Verbindung mit den identiizierten Bedrohungen und
den Schwachstellen, die sich in Bezug auf die Geschätsprozesse ergeben. Aus dieser
Betrachtung leitet man das Risiko für den jeweiligen Geschätsprozess ab und deiniert
entsprechende Gegenmaßnahmen.
Entsprechend den identiizierten Risiken und deren Auswirkungen wird eine IT-Service
Continuity Strategy entwickelt und dokumentiert. Ziel dieser Strategie ist es, die optimale
Balance zwischen vorbeugenden Maßnahmen und solchen zur Wiederherstellung der Services
zu inden und entsprechende Aktivitäten zu deinieren. Um den identiizierten Bedrohungen
zu begegnen, nutzt man verschiedene Recovery-Optionen:
Manuelle Workarounds:
Die einfachste Methode, um einer Bedrohung durch den Ausfall
eines IT-Service zu begegnen, ist eine manuelle Ausweichlösung. Statt eine Reiseroute mit
Hilfe eines elektronischen Routenplaners festzulegen, greit man auf die gute alte Landkarte
zurück. In vielen Fällen kann diese kostengünstige Variante durchaus eine Alternative zu
teuren technischen Lösungen sein.
Gegenseitige Vereinbarungen (Reciprocal arrangements):
Unternehmen, die ähnliche IT-
Systeme nutzen, sagen sich die Nutzung der Ressourcen des jeweiligen Vertragspartners
im Katastrophenfall zu. Diese Variante spielt in modernen IT-Umgebungen eine immer
kleinere Rolle, da u. a. Sicherheitsaspekte dagegen sprechen.
Allmähliche Wiederherstellung (Gradual recovery oder cold standby):
Diese Option eignet
sich für Services, die eine Verzögerung der Wiederherstellung von mehreren Tagen oder
gar Wochen verkraten. In der Regel handelt es sich um vollständig mit Infrastruktur wie
Gebäude, Strom, LAN, WAN, Telefonanschlüssen usw. ausgestattete Ausweichlokationen,
die bei Bedarf mit eigenem bzw. neu beschatem IT-Equipment ausgestattet werden. Ot
werden diese Lokationen von externen Providern angeboten und bereitgestellt. Die Ausstat-
tung mit IT-Equipment muss in dieser Variante geplant und bei Bedarf die Verfügbarkeit
der Komponenten mit dem Lieferanten abgestimmt werden.
