Im Gespräch mit Florian Malecki von StorageCraft

Die IT-Umgebung eines Unternehmens muss für unerwartete Entwicklungen gerüstet sein und daher Prozesse und IT-Umgebungen resilient machen. Das lässt sich nur teilweise mit Tools und Technik erreichen. Auch die Kompetenz der Mitarbeiter muss erweitert werden, so Florian Malecki, International Product Marketing Senior Director beim Disaster-Recovery-Spezialisten StorageCraft, ein Unternehmen von Arcservice.

Florian Malecki: IT-Resilienz ist ganz klar ein Teil der Business-Resilienz. Während Business-Resilienz viele Elemente wie Mitarbeiter, Marktverhältnisse, Umsätze oder auch politische Verhältnisse in einer Region einschließt, dreht sich die IT-Resilienz ausschließlich um Konzepte und Technologien in der Informationstechnologie, um den fortlaufenden Geschäftsbetrieb zu garantieren. Da jedoch heute in nahezu jedem Unternehmen die IT eine der Kernkomponenten darstellt, ist deren Resilienz besonders wichtig für das Gesamt-Business.

Malecki: IT-Resilienz beschreibt die Fähigkeit eines Systems, in zeitlich vertretbarer und effizienter Art und Weise Gefahren und unerwarteten Änderungen zu widerstehen und diese zu absorbieren, sich Änderungen anzupassen und sich gegebenenfalls von deren Auswirkungen zu erholen. Dafür werden selbstverständlich auch Konzepte für Business Continuity, Cybersecurity, Disaster Recovery oder Risikomanagement benötigt, um nur einige zu nennen. Wichtig ist bei der IT-Resilienz, dass die Systeme in unerwarteten Situationen bestehen, ganz gleich, ob diese Situationen negativ oder positiv sind.

Malecki: Es ist richtig, dass man dem Begriff Resilienz derzeit oft begegnet. Aber der Ansatz ist nicht neu. Resilienzbestrebungen gibt es bereits seit geraumer Zeit. Natürlich hat die Wichtigkeit der IT in jedem Business die IT-Resilienz auf ein höheres Level gehoben. Cyberattacken, komplexe Strukturen und die Digitalisierung haben dazu ihr Übriges beigetragen. Nicht zuletzt hat auch die Corona-Pandemie Auswirkungen auf die IT-Resilienz. Sie hat beispielsweise durch die plötzliche und unerwartete Veränderung der Arbeitssituation in Homeoffices dafür gesorgt, dass die IT-Resilienz auf die Probe gestellt wurde - und dass sie im einen oder anderen Unternehmen nachgebessert werden muss. Übrigens zeigt gerade Corona, dass Resilienz ein kontinuierlicher Prozess ist. Es gibt immer wieder neue, unerwartete Situationen, in denen sich die IT als zuverlässig erweisen muss.

Malecki: Auch in deutschen Unternehmen wird Resilienz schon seit längerer Zeit betrieben. Vielleicht kann man unterschiedliche Ausprägungen und Entwicklungsstufen je nach Unternehmensgröße oder nach Art des Business erkennen. Aber denkt man beispielsweise an kritische Infrastrukturen, etwa Stromversorger, wird auch in Deutschland Resilienz schon lange auf hohem Niveau umgesetzt. Aber auch in nicht kritischen Unternehmen ist Resilienz ein Thema. Allein die Digitalisierung und die Anforderungen durch die Datenschutz-Grundverordnung oder HIPAA (Health Insurance Portability and Accountability Act) erfordern resiliente, belastbare IT-Systeme. Im Grunde befinden sich nahezu alle Unternehmen auf einer individuellen Reise in Richtung Resilienz - entsprechend ihren Anforderungen und Bedürfnissen.

com! professional: Welche Maßnahmen können Firmen ergreifen, um resilient zu werden?

Malecki: Dafür gibt es keinen „One size fits all“-Ansatz. Es ist immer eine individuelle Abschätzung dessen erforderlich, was auf ein Unternehmen im Extremfall zukommen kann. Wichtig ist die Fähigkeit - egal auf welche Situation -, schnell, gezielt und koordiniert reagieren zu können. Aus Sicht der IT-Resilienz gehört dazu natürlich ganz wesentlich die Redundanz, die Wiederherstellung, aber auch die Skalierbarkeit von allen lebenswichtigen Systemen. Besonders wichtig ist, dass Unternehmen und Mitarbeiter wissen, was in einer extremen Situation tatsächlich zu unternehmen ist. Daher sind Notfallpläne und Trainings der IT-Mitarbeiter ein Kernelement der IT-Resilienz.

Malecki: Grundlegend ist die Fähigkeit, das Unerwartete zu antizipieren. Das kann man lernen, beispielsweise durch genaues Beobachten, was in anderen Unternehmen passiert oder auch welche Veränderungen im eigenen Unternehmen stattfinden und sich zu einer echten Herausforderung entwickeln können. Aus Sicht der IT-Systeme sind die folgenden Punkte besonders wichtig: erstens eine konsolidierte Data- und Storage-Protection, zweitens der Schutz der Daten von Edge- und Remote-Standorten. Das dritte Element ist die Absicherung der physischen und virtuellen Umgebungen, das vierte der Schutz der cloudbasierten Arbeitsabläufe. Und fünftens ist die Dokumentation und das Testen des Data-Protection-Plans unverzichtbar.