Minimum Viable Company-Strategie: Notfallausstattung definieren.
Die Flut an Cyberbedrohungen und die Komplexität digitaler Ökosysteme machen es für Unternehmen immer wichtiger, ihre essenziellen Geschäftsprozesse grundlegend und im Vorfeld zu definieren und zu sichern. Nur so bleiben Kern-Business-Services resilient und funktionsfähig, wenn es zu einem Ausfall oder Cyberangriff kommt. Der „Minimum Viable Company“-Ansatz kann Unternehmen dabei unterstützen, ihre kritischsten Geschäftsabläufe für die Recovery zu priorisieren, um den Geschäftsbetrieb im Ernstfall aufrechtzuerhalten.
Der Begriff „Minimum Viable Company“ (MVC) stellt einfach ausgedrückt den grundlegenden Betriebszustand eines Unternehmens dar, in dem es funktionieren und potenziell wachsen kann – wenn auch mit reduzierter Kapazität. Im Kontext der Cyberresilienz identifiziert, sichert und schützt eine solche Minimum-Viability-Strategie die wichtigsten Ressourcen, Daten, Applikationen und Prozesse, die Unternehmen benötigen, um wichtige Betriebsabläufe während eines Cyberangriffs und danach wiederherzustellen.
Die essenziellen Bestandteile und Prozesse einer MVC variieren je nach Art und Branche. In der Produktion handelt es sich hierbei unter anderem um Produktionslinien, im Gesundheitswesen um Patientensysteme, im Finanzwesen um das Sichern von Transaktionen oder im E-Commerce um die Funktionsfähigkeit des Online-Shops.
Ein implementierter MVC-Ansatz kann dazu beitragen, mögliche finanzielle Schäden durch Ausfälle aufgrund von Cyberangriffen erheblich zu reduzieren, indem nur die Wiederherstellung der wichtigsten Geschäftsfunktionen im Vordergrund steht. Durch die Konzentration der Unternehmensressourcen auf das, was für den Fortlauf des Geschäftsbetriebs wirklich wichtig ist, können Unternehmen sowohl die Recovery-Zeit als auch die damit verbundenen Kosten reduzieren und zugleich die Wiederherstellung der umsatzgenerierenden Aktivitäten priorisieren.
Dabei ist es jedoch kein ausschließlich technologisches Unterfangen, Minimum Viable Company-Strategie zu definieren und zu implementieren. Eine effektive Wiederherstellung der essenziellen Geschäftsabläufe erfordert eine umfassende Strategie, die Menschen, Prozesse und Technologie miteinbezieht.
Business und IT auf Minimum Viable Company-Strategie ausrichten
Traditionell waren Verfahren zur Klassifizierung von IT-Assets wie Server Tiering und Application Mapping „Bottom-Up“-Maßnahmen, die sich auf technische Abhängigkeiten und Infrastruktur konzentrierten. Die steigende Bedrohung durch Cyberangriffe und die Notwendigkeit einer schnellen Recovery haben die Situation jedoch grundlegend verändert. Unternehmen benötigen nun einen „Top-Down”-Ansatz, der auf den Geschäftsbetrieb ausgerichtet ist, um die Minimum Viability des Unternehmens zu definieren und zu erreichen.
Während IT-Assets gegebenenfalls auf der Grundlage ihrer technischen Kritikalität kategorisiert werden, erfordert die Definition der Minimum Viability eine klare Abstimmung zwischen Führungskräften, was für den Betrieb des Unternehmens wirklich kritisch ist. Ein Risiko-/Governance-Verantwortlicher kann eine bestimmte Applikation als kritisch ansehen, während der CEO andere Punkte für wichtiger hält. Dies unterstreicht die Notwendigkeit eines einheitlichen Verständnisses der Geschäftsprioritäten.
Server Tiering und Application Mapping für Minimum Viable Company
Das Verständnis gegenseitiger Abhängigkeiten innerhalb der IT-Infrastruktur und Geschäftsprozesse ist für Unternehmen unerlässlich, um den Maßnahmenkatalog für die sofortige Wiederherstellung festzulegen. Hier kommen Server-Infrastruktur-Tiering, Application Mapping und Observability ins Spiel.
- Geschäftsprozessanalyse: Identifiziert kritische Geschäftsprozesse, welche die für den Geschäftsbetrieb essenziellen Abläufe unterstützen.
- Server-Infrastruktur-Tiering: Umfasst die Kategorisierung von Servern (einschließlich physischer, virtueller und Cloud-Workloads) auf der Grundlage ihrer Relevanz für den Geschäftsbetrieb. Tier-0-Server unterstützen in der Regel geschäftskritische Prozesse und Anwendungen und erfordern die schnellsten Wiederherstellungszeiten, während Tier-3-Server weniger kritische Funktionen unterstützen.
- Application Mapping: Identifiziert das Verhältnis zwischen Anwendungen und den Cloud-Diensten oder der Infrastruktur, auf die sie angewiesen sind. Dies konzentriert Investitionen auf die Ausfallsicherheit, indem es die End-to-End-Geschäftsdienste mit der Technologie und mit Drittanbietern verbindet, die für einen grundlegend funktionsfähigen Geschäftsbetrieb mindestens erforderlich sind.
- Observability: Implementiert Prozesse und Funktionen für eine verbesserte Recovery Intelligence und Überwachung wichtiger Daten für kritische Funktionen, Integrationen, Plattformzustand und Recovery-Risiken.
Wenn Geschäftsprozessanalysen, Server-Tiering, Application Mapping und Observability in die Minimum Viability-Planung miteinbezogen sind, ermöglicht dies folgende Elemente der Recovery und der Resilienz:
- Operative Ausfallsicherheit: Kritische Dienste laufen auch bei Störungen weiter und bieten die von Kunden und Aufsichtsbehörden erwartete und notwendige Zuverlässigkeit.
- Notfallfunktionen: Systeme reduzieren im Fall eines Ausfallereignisses langsam und schonend ihre Funktionen, anstatt vollständig auszufallen. Dabei hat die Kontinuität wichtiger kundenorientierter Dienste Vorrang.
- Optimales Zuweisen von Ressourcen: Effektiv verteilt eine MVC-Strategie die Ressourcen auf der Grundlage der Kritikalität von Servern und Anwendungen, um die Betriebskontinuität unter schwierigen Bedingungen zu maximieren.
Kontinuierliche Tests statt statische Recovery-Pläne
Regelmäßige Tests sind ein wichtiger Bestandteil jeder robusten Minimum Viability-Strategie. Durch gründliche Checks können Unternehmen ihre Wiederherstellungspläne validieren und die Funktionalität ihrer essenziellen Systeme bewerten. Mithilfe von Simulationen verschiedener Szenarien können Verantwortliche:
- Lücken und Schwachstellen in ihren Wiederherstellungsplänen identifizieren, wie etwa fehlende Abhängigkeiten oder unzureichende Ressourcen;
- Wiederherstellungsprozesse verbessern, um die Effizienz und Effektivität zu steigern;
- sowie das Vertrauen in ihre Fähigkeit aufbauen, sich von einem Cyberangriff zu erholen und den Geschäftsbetrieb aufrechtzuerhalten.
Wichtig ist, dass Tests versteckte Interdependenzen aufdecken, die beim Planen möglicherweise nicht erkennbar sind. Dieser proaktive Ansatz ermöglicht es Unternehmen, potenzielle Probleme anzugehen und ihre Minimum Viability-Strategie zu verfeinern, sodass sie besser auf Störungen vorbereitet sind.
Da statische Wiederherstellungspläne schnell veralten, erfordert echte Cyberresilienz eine kontinuierliche Validation. Unternehmen müssen von regelmäßigen Übungen zu kontinuierlichen Testing Frameworks übergehen, die die Wiederherstellungsfähigkeiten im Zuge der Weiterentwicklung der Systeme überprüfen. Regelmäßige Simulationen, Tabletop-Übungen und Cyber-Recovery-Übungen geben den Teams das Selbstvertrauen, Pläne auch unter Druck umzusetzen. Dieser proaktive Ansatz sorgt dafür, dass Minimum Viability-Strategien praktikabel bleiben und auf den aktuellen Betrieb abgestimmt sind.
Fazit: Resilient selbst bei schweren Störungen durch Cyberangriffe
Angesichts der Flut an Cyberbedrohungen ist eine klar definierte Minimum-Viability-Strategie grundlegend und erfordert einen ganzheitlichen Ansatz, der Notfallpläne, Prozesse und strenge Tests umfasst. Durch die Priorisierung kritischer Ressourcen, Daten und Anwendungen können Unternehmen ihre Resilienz stärken und wichtige Betriebsabläufe auch bei schweren Störungen durch Cyberangriffe aufrechterhalten.