Interview zu IT-Resilienz: Krisenfeste Systeme, die sich anpassen (Teil 1)
Das Corona-Jahr 2020 hat gezeigt, wie wichtig Digitalisierung sein kann. Unternehmen müssen heute in der Lage sein, flexibel und schnell auf neue Situationen, wie zum Beispiel eine Homeoffice-Pflicht für Mitarbeiter oder geschlossene Ladengeschäfte, zu reagieren und kontinuierlich nachsteuern zu können. Deswegen haben im letzten Jahr viele Unternehmen die Digitalisierung deutlich vorangebracht.
Dies führte aber auch zu einer verstärkten Abhängigkeit von elektronischen Systemen. Sie sind für Betriebe im wahrsten Sinne des Wortes „systemrelevant“ geworden. Deshalb beschäftigt nun viele Verantwortliche vermehrt die Frage: Wie kann ich mein System vor Ausfällen und Angriffen von außen schützen und welche Sicherungsmechanismen kann ich einbauen für den Fall, dass es trotzdem zu einem Absturz oder Schäden durch sogenannte Malware kommt?
Wir haben bei Oliver Henrich, Vice President Product Engineering Central Europe bei Sage, nachgefragt, was IT-Resilienz bedeutet und wann IT-Systeme krisensicher sind.
Was hat die Corona-Pandemie im letzten Jahr in Deutschland in Bezug auf Digitalisierung verändert?
Viele Unternehmen haben sich, was Digitalisierung im Zuge der Corona-Pandemie angeht, vor allem im Bereich der Kommunikation weiterentwickelt. Es wurden Werkzeuge und Möglichkeiten geschaffen, um aus dem Homeoffice mit Kollegen weiterzuarbeiten. Hier hat sich viel getan, wenn auch gezwungenermaßen. Digitalisierung bedeutet aber weit mehr, als nur den Mitarbeitern ein Kommunikationstool zur Verfügung zu stellen. Digitalisierung betrifft auch die Kundenprozesse, seien es Auftragserstellung, Auftragsbearbeitung, Lieferauskünfte bis hin zur Reklamation. Der Kunde will ständig informiert sein. Leider ist das nicht das Bild eines typischen deutschen Unternehmens. Hier stehen viele noch am Anfang. Die Handelsbranche ist hier im Vergleich schon relativ weit. Aber selbst da gibt es nach wie vor Betriebe, die über keinen oder nur einen rudimentären Onlineshop verfügen. Dauerhaft wird es nach Corona sicher einen Trend Richtung Onlinehandel geben.
2020 hat auch gezeigt, wie abhängig Unternehmen von digitalen Systemen sind. Das Thema Resilienz ist dabei in aller Munde. Was bedeutet Resilienz konkret für die IT und warum ist es so wichtig für Unternehmen?
Resilienz bedeutet grundsätzlich die Fähigkeit von IT-Systemen, bei Störungen oder Ausfällen robust zu reagieren und dem Anwender dabei weiterhin die gewünschten Services zur Verfügung zu stellen. Das funktioniert, indem zum Beispiel bei Störungen nur Einzelkomponenten, aber nicht das gesamte System ausfallen, sodass man den Betrieb aufrechterhalten kann. Letztendlich geht es also um die Widerstandsfähigkeit von IT-Systemen.
Mit zunehmender Digitalisierung steigt natürlich auch die Abhängigkeit der Unternehmen von digitalen Systemen, besonders wenn kritische Prozesse wie Bestellungen oder Rechnungsstellung betroffen sind. Resilienz ist also ein sehr wichtiges Thema, um sich vor Ausfällen zu schützen.
Ab wann ist ein System krisenfest? Welche Kriterien muss es dafür erfüllen?
Zwei Faktoren sind extrem wichtig: Backup und Recovery. Sie sorgen dafür, dass die Mitarbeiter bei einem Absturz oder im Fall einer beschädigten Datenbank in der Lage sind, Daten wiederherzustellen und mit dem System weiterarbeiten können. Wenn die betriebswirtschaftliche Anwendung abstürzt, können sie zum Beispiel keine Rechnungen mehr schreiben. Das Backup sorgt also dafür, dass die Daten zurückgeholt werden und die Prozesse wieder hochgefahren werden können.
Ebenfalls wichtig neben der Datensicherung und -wiederherstellung sind redundante Systeme. Das bedeutet, dass ein System einspringt, wenn ein anderes ausfällt. Und nicht zuletzt sollte man Wert auf vorbeugende Maßnahmen legen, damit Störungen erst gar nicht eintreten. Dazu gehören Sicherheitsmaßnahmen gegen Hacker und eine ausreichende Skalierbarkeit, damit das System bei höherer Belastung trotzdem noch voll funktionsfähig bleibt.
Im Idealfall passt sich ein resilientes System auch schnell an neue Umgebungen und deren Bedingungen an. Ein Beispiel für diese Form der IT-Resilienz ist, wenn wie im Fall von Corona, die Mitarbeiter nicht mehr ins Büro kommen können, diese aber von zu Hause aus remote auf alle Anwendungen zugreifen können. Der Betrieb läuft dann unter neuen Bedingungen weiter, ohne dass der Kunde etwas davon merkt.
Wie setzt man das Thema Resilienz am besten in der Praxis um? Welche Tipps gibt es?
Zuerst ist es wichtig, die Systeme zu priorisieren, also zu fragen: Welche sind besonders kritisch und dürfen auf keinen Fall ausfallen? In vielen Unternehmen sind die kritischen Systeme weder dokumentiert noch bewertet. Es gibt Möglichkeiten, das nachzuholen und Diagnostik-Tools, die dabei helfen, die Resilienz zu prüfen. Derartige Tests haben das Ziel, aufzuzeigen, wo Handlungsbedarf in der IT besteht. In einem nächsten Schritt können Unternehmen die anschließenden Maßnahmen priorisieren.
Ein Beispiel hierfür sind sogenannte Pen-Tests, also „Penetration-Tests“. Sie simulieren, was passiert, wenn ein System gehackt wird. Hier geht es darum, zu prüfen, wie gut man auf Cyber-Angriffe vorbereitet ist. Das ist in dieser Zeit, wo es sehr viele Hackerangriffe gibt, extrem wichtig.
Es ist zudem empfehlenswert, ein Team zusammenstellen, das sich kontinuierlich mit dem Thema Resilienz beschäftigt. Die Frage nach der IT-Resilienz ist nicht mit einem Einzeltest beantwortet, sondern ein dynamischer Prozess. Die Anforderungen an Datensicherheit und Datenschutz verändern sich ständig. Daher müssen relevante Prozesse immer up-to-date sein und regelmäßig angepasst werden.
Lesen Sie in der kommenden Woche weiter, wenn wir Oliver Henrich danach fragen, was die zunehmende Cyberkriminalität für die IT-Resilienz von Betrieben bedeutet, warum Unternehmen hier nach wie vor viel Aufholbedarf haben und wie ein wachsendes Bewusstsein für Resilienz bei der weiteren Digitalisierung und der Erschließung neuer Geschäftsfelder helfen kann.