1. Ermittlung der geschäftskritischen Komponenten und Prozesse. Dabei sollten die für den Geschäftsbetrieb notwendigen Bausteine, Funktionen und Prozesse identifiziert werden. Dazu gehören im Bereich der IT-Infrastruktur zum Beispiel Server, Speichersysteme, Netzwerkkomponenten, die Internetanbindung und betriebswirtschaftliche Anwendungen.

2. Risikoanalyse und Risikobewertung. Im Rahmen einer gezielten Analyse soll abgeschätzt werden, wie wahrscheinlich ein Ausfall der Systeme ist und wie hoch der potentielle Schaden bei einem Ausfall über einen bestimmten Zeitraum ausfällt.

3. Festlegung der Verfügbarkeit. Die Ergebnisse der vorherigen Schritte stellen die Grundlage für die weiteren planerischen und betriebswirtschaftlichen Entscheidungen dar. Nun kann entschieden werden, für welchen Zeitraum eine Störung des Betriebs akzeptabel ist.

4. Redundanz an einem Ort schaffen. Redundant ausgelegte Server und Storage-Systeme bieten zusammen mit einer unterbrechungsfreien Stromversorgung eine effektive Möglichkeit, eine hohe Ausfallsicherheit zu gewährleisten.

5. Datensicherung und -wiederherstellung. Geschäftsdaten sollten sich jederzeit wiederherstellen lassen. Dabei lassen sich zwei Fälle unterscheiden: Der logische Datenverlust durch Löschung und der physische durch Diebstahl. Deshalb sollten regelmäßige Backups nicht nur im eigenen Unternehmen, sondern auch an einem anderen, sicheren Ort aufbewahrt werden.

Doppelt abgesichert hält besser

6. Ein zweites Rechenzentrum. Duale Rechenzentren und redundante Architekturen können sowohl inhouse untergebracht, als auch zu einem Managed-Hosting-Spezialisten ausgelagert werden.

7. Doppelt ausgelegte Kommunikationsleitungen. Speziell bei Unternehmen mit mehreren Standorten sollten die Kommunikationswege doppelt ausgelegt sein, um zu gewährleisten, dass die Mitarbeiter immer und überall auf unternehmenskritische Ressourcen zugreife können.

8. Plan für Disaster Recovery. Ein detailliert ausgearbeiteter, immer wieder getesteter und in regelmäßigen Abständen aktualisierter Notfallplan gibt vor, wie im Katastrophenfall zu verfahren ist. Der Disaster-Recovery-Plan überprüft auch, wie schnell bestimmte Funktionen oder das gesamte Unterehmen wieder einsatzfähig ein können. Dazu müssen auch die Mitarbeiter entsprechend geschult sein.

9. Kostenbetrachtung. Die Sicherheitsvorkehrungen sollten auch betriebswirtschaftlich tragbar sein, deshalb muss genau betrachtet werden, welche personellen und systemseitigen Strukturen zusätzlich geschaffen werden müssen. Alternativ sollte geprüft werden, wie hoch die Investitionen sind, wenn die Vorkehrungen von einem spezialisierten Dienstleister übernommen werden.

10. Interne Lösung oder externer Dienstleister. Wer genügend Kapazitäten bereits im eigenen Unternehmen vorhält, wird bevorzugt auf eine interne Lösung zurückgreifen. Alternativ lassen sich die Risiken auch auf einen Managed-Hosting-Provider übertragen. Ein wichtiges Auswahlkriterium dabei sind Zertifizierungen. Besonders die Zertifizierung nach dem ISO-Standard 27001, der die Anforderungen an die Informationssicherheit bescheibt. Im Rahmen des Standards muss der Dienstleister einen expliziten Business-Continuity-Plan vorweisen können.