Der Begriff „Business Continuity“ beschreibt die Fähigkeit eines Unternehmens, sich vor Unterbrechungen des Betriebsprozesses zu schützen, die der Firma ansonsten ernsthafte (wirtschaftliche) Schäden zufügen würden.
Wie IDC in ihrer Studie „The Cost of Downtime“ herausfand, verursacht ein Infrastrukturausfall Kosten von durchschnittlich 100.000 Dollar – pro Stunde. Sich selbst arbeitsfähig zu halten, sollte für Unternehmen daher einer der wichtigsten Punkte in der Betriebsplanung sein – so zumindest in der Theorie.
Tägliche Herausforderungen gefährden die Produktivität
Dass Business Continuity allerdings nicht immer weit oben auf der Prioritätenliste steht, zeigte die Corona-Pandemie. Durch die Homeoffice-Pflicht waren viele Betriebe gezwungen, ihre Mitarbeiter von heute auf morgen von zuhause aus arbeiten zu lassen. Doch viele waren darauf nicht eingestellt. Dadurch konnten sie nicht sofort auf die neuen Gegebenheiten reagieren, was ihre Produktivität zeitweise minderte und sie gleichzeitig anfälliger für Angriffe von außen machte.
Allerdings muss es nicht gleich eine weltweite Krise sein, die Unternehmen vor unerwartete Herausforderungen in ihrer Produktivität stellt. Auch lokale Ereignisse wie Unwetter oder Blitzeis können jederzeit dafür sorgen, dass Mitarbeiter spontan remote arbeiten müssen. Für solche Fälle ist es im Sinne der Business Continuity, wenn Unternehmen einen Notfallplan und entsprechende Lösungen im Einsatz haben, die sie auch in solchen Situationen voll produktionsfähig halten.
Business-Continuity-Plan
Ein Business-Continuity-Plan umfasst in der Regel folgende Stufen:
Bei der Ausarbeitung ist eine Checkliste nützlich, in der die betreffende Ausstattung tung und die Standorte von Daten-Backups sowie des Business-Continuity-Plans an sich gelistet sind. Die Kontaktinformationen für Notfallhelfer, Schlüsselpersonal und die Betreiber der Backup- Standorte sollten dort ebenfalls aufgeführt sein. Außerdem sollten auch eine Business-Impact-Analyse sowie der erwähnte Disaster-Recovery-Plan Teil des Business-Continuity-Konzepts eines Unternehmens sein. Diese konzentrieren sich darauf, die essenziellen Prozesse im Unternehmen zu bestimmen, die Ausfallkosten abschätzbar zu machen und die IT-Infrastruktur sowie den laufenden Betrieb nach einem Ausfall wiederherzustellen.
Sicher im Ernstfall
In der Praxis sind für die Umsetzung eines Business-Continuity-Plans auch entsprechende IT-Lösungen notwendig, die dabei helfen, das Unternehmen im Alltag arbeitsfähig zu halten. Dabei kommt es zum einen darauf an, dass die Mitarbeiter ihre Arbeit von überall aus remote verrichten können, und zum anderen, dass die Unternehmens-IT gleichzeitig vor Cyberangriffen geschützt bleibt. Eine moderne Remote-Access-VPN-Lösung ist für die Erfüllung dieser beiden Punkte unverzichtbar.
Bei der Auswahl des richtigen VPN-Produkts können Unternehmen einem 6-Punkte-Plan folgen:
SCHRITT 1: Ist-Situation analysieren und ein stabiles Fundament schaffen
Zu Beginn der Planung sollten einige Fragen geklärt und die Ausgangsituation ermittelt werden. Welche Maßnahmen wurden bereits ergriffen? Wie kann ein sicherer Zugriff auf das Firmennetz aus dem Homeoffice erfolgen? Ist bereits eine Lösung im Einsatz und ist man mit dieser zufrieden? Ist die vorhandene Lösung zukunftssicher und skalierbar sowie an wechselnde Bedarfe anpassbar? Hilfreich ist an dieser Stelle auch das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellte IT-Grundschutz-Kompendium, das zahlreiche Hinweise zu modernen VPN-Lösungen enthält.
SCHRITT 2: Welche Lösung ist die richtige? Hard- oder Software?
Der Markt an möglichen Lösungen ist kaum zu überblicken. Daher sollten Unternehmen zu Beginn in zwei Kategorien unterscheiden: Hardware-Lösungen, die spezielle Gateway- oder Server-Geräte benötigen, und Software-Lösungen. Generell sind letztere aufgrund ihrer breiten Kompatibilität mit Standard-Hardware/-Betriebssystemen und der sofortigen Verfügbarkeit ohne Lieferengpässe zu empfehlen.
SCHRITT 3: Administrierbarkeit & Bedienung
Besonders bei hohen Anwenderzahlen ist es unerlässlich, dass die VPN-Lösung einfach zu administrieren bleibt. Dafür sollte der Hersteller ein zentrales Management implementiert haben, welches Administratoren erlaubt, alle Clients aus der Ferne mit Updates und neuen Richtlinien zu versorgen. Außerdem sollten die Clients für Endanwender einfach zu bedienen sein, damit sich diese mit nur einem Mausklick von überall mit der Firmenzentrale verbinden und stabil arbeiten können.
SCHRITT 4: Wichtige Security-Maßnahmen erfüllen
Neben der reinen Verbindung zum Firmenserver gehört auch der Schutz vor Spionage und Datendieben zur Hauptaufgabe einer VPN-Lösung. Daher sollte diese die hohen deutschen Datenschutzstandards erfüllen und auf technischer Ebene mit Protokollen und Verschlüsselungen wie IPsec und IKEv2 arbeiten.
SCHRITT 5: Erweiterte Sicherheitsfunktionen
Damit die Datenübertragung aus dem Homeoffice immer sicher abläuft, sind weitere Sicherheitsfunktionen wünschenswert. So sollte die verwendete VPN-Lösung den Verbindungsaufbau mittels Multifaktor-Authentifizierung und weiteren Technologien wie elliptischen Kurven oder digitalen Zertifikaten mehrfach absichern. Außerdem sollten die Geräte der Mitarbeiter und damit auch die Verbindung zur Firmenzentrale über Netzwerkzugriffskontrollen geschützt sein. Diese stellen sicher, dass alle Endgeräte über die aktuellen, sicherheitsrelevanten Softwareversionen verfügen.
Abseits dessen sollte eine moderne VPN-Lösung auch über weitere Funktionen wie „Split-Tunneling“ und „VPN Bypass“ für die Entlastung des Servers sowie „Quality of Service“ zur Priorisierung des VoIP-Datenverkehrs verfügen, um sowohl Anwendern als auch Admins das Leben leichter zu machen.
SCHRITT 6: Die Lösung muss sich dem Bedarf des Unternehmens anpassen, nicht umgekehrt
In Business-Continuity-relevanten Szenarien wird der Bedarf eines Unternehmens für flexiblen Remote Access nie gleichbleiben. So können an „normalen” Tagen wenig VPN-Lizenzen benötigt werden, während im Ernstfall plötzlich ein Großteil der Mitarbeiter remote arbeiten muss. Damit sich ein solches Konstrukt wirtschaftlich sinnvoll betreiben lässt, sollte die VPN-Lösung auch durch ihre Lizenzmodelle skalierbar bleiben. Beliebte Tarifoptionen sind dabei:
➜ Pay-per-Use: Der Kunde erhält eine bestimmte Anzahl an Lizenzen (inkl. Wartung). Es werden jedoch nur so viele Lizenzen abgerechnet, wie der Kunde tatsächlich einsetzt.
➜ Temporary Use: Der Kunde kauft eine bestimmte Anzahl an Lizenzen und bekommt vom Hersteller weitere Lizenzen für eine kurzfristige höhere Nutzung zur Verfügung gestellt. Die Mehrnutzung wird anschließend monatlich abgerechnet.
Folgen Unternehmen den Schritten zum Aufbau eines Business-Continuity-Plans und der Implementierung einer modernen VPN-Lösung, sind sie bestens für etwaige Produktivitätsherausforderungen gerüstet!