ITSCM Mapping IT-Services / Infrastruktur zur Ausfallkritikalität Schweiz | Leitfaden

IT-Services sind die Dienstleistungen, die das Unternehmen seinen Nutzern, Kunden oder Mitarbeitern bereitstellt, wie etwa Cloud-Dienste, Datenbanken, E-Mail-Systeme oder Web-Apps. Jedes dieser Services ist auf spezifische Infrastruktur-Komponenten angewiesen, etwa Server, Netzwerke, Datenbanken und Speichersysteme.

Mapping bedeutet, die Beziehungen zwischen IT-Services und den zugrunde liegenden Infrastruktur-Komponenten systematisch zu identifizieren. Hierzu gehört:

• Identifikation der kritischen IT-Services: Welche Dienste sind essenziell für die Geschäftsprozesse?
• Zuordnung der Infrastrukturkomponenten: Welche Hardware (Server, Speicher), Software (Betriebssysteme, Datenbanken) und Netzwerke unterstützen die IT-Services?
• Visualisierung von Abhängigkeiten: Verwenden Sie Diagramme oder Netzwerkkarten, um aufzuzeigen, welche Komponenten miteinander verbunden sind und voneinander abhängen. Diese Abbildung ermöglicht eine schnelle Fehlerbehebung und präzise Wiederherstellung im Falle eines Ausfalls.

Beispiel: Ein E-Commerce-Shop kann von Webservern, Datenbanken und einem Zahlungs-Gateway abhängen. Wenn eine dieser Komponenten ausfällt, beeinträchtigt dies die gesamte Servicebereitstellung.

Nachdem die Abhängigkeiten zwischen IT-Services und Infrastruktur-Komponenten gemappt wurden, ist der nächste Schritt die Einstufung der Ausfallkritikalität. Jedes IT-System oder jeder Service muss bewertet werden, um festzustellen, wie kritisch der Ausfall für das Unternehmen ist. Dies wird in der Regel in Kritikalitätskategorien eingeteilt, wie etwa:

• Kritische Dienste (High Criticality): Diese Dienste sind für das tägliche Geschäft unverzichtbar. Ein Ausfall würde sofort zu einem erheblichen Verlust von Einnahmen oder Ruf führen.
• Wichtige Dienste (Medium Criticality): Diese Dienste sind wichtig, aber ihre Wiederherstellung kann etwas länger dauern, ohne unmittelbare Geschäftseinbussen.
• Weniger kritische Dienste (Low Criticality): Diese Dienste sind für den Geschäftsbetrieb weniger wichtig. Ein Ausfall könnte längere Zeit toleriert werden.

Faktoren zur Bestimmung der Ausfallkritikalität:

• Geschäftliche Auswirkungen: Wie wirkt sich ein Ausfall auf die Geschäftsprozesse aus? Ist der Service für den Kundenkontakt, Umsatz oder Betriebsabläufe entscheidend?
• Abhängigkeiten: Welche anderen Systeme oder Dienste sind auf diesen Service angewiesen?
• Compliance und Regulierung: Gibt es gesetzliche Anforderungen zur Verfügbarkeit dieses Services?
• Wiederherstellungszeit: Wie lange kann das Unternehmen ohne diesen Service arbeiten, bevor es zu grossen Problemen kommt?

Beispiel: Ein Finanzdienstleister hat möglicherweise eine hochkritische Zahlungsabwicklung, die sofortige Wiederherstellung erfordert, während ein internes HR-System weniger kritisch ist und eine längere Ausfallzeit toleriert werden kann.

Auf Basis des Mappings und der Ausfallkritikalität können IT-Notfallpläne entwickelt und priorisiert werden. Dies umfasst:

• Erstellung von Wiederherstellungsplänen (Disaster Recovery Plans, DRP): Für jedes Service und jede Infrastrukturkomponente werden detaillierte Wiederherstellungsstrategien entwickelt. Dabei wird insbesondere darauf geachtet, kritische Komponenten als erstes wiederherzustellen.
• Festlegung von Service-Level-Agreements (SLAs): Diese definieren die maximal tolerierbare Ausfallzeit und Wiederherstellungsziele (RTO – Recovery Time Objective und RPO – Recovery Point Objective) für jeden Service.
• Risikomanagement: Bestimmung von Risikofaktoren, die Ausfälle verursachen könnten (z.B. Hardwareausfälle, Cyberangriffe), und die Entwicklung von Massnahmen zur Minderung dieser Risiken.

Ein Mapping ist nur dann nützlich, wenn die Prozesse regelmässig getestet werden. Das bedeutet, dass alle IT-Notfallpläne regelmässig geübt und die Service-Wiederherstellungsprozesse überprüft werden müssen, um sicherzustellen, dass im Ernstfall alle Beteiligten gut vorbereitet sind.

• Simulation von Notfällen: Stellen Sie verschiedene Szenarien nach, in denen kritische IT-Services ausfallen. Testen Sie, wie schnell und effektiv der Wiederherstellungsprozess funktioniert.
• Kontinuierliche Verbesserung: Nach jedem Test sollten Schwachstellen identifiziert und der Plan entsprechend angepasst werden.

• Schnellere Wiederherstellung: Durch das Mapping von IT-Services und Infrastruktur-Komponenten können Unternehmen im Notfall schnell feststellen, welche Komponenten betroffen sind und welche zuerst wiederhergestellt werden müssen.
• Bessere Ressourcenzuweisung: Unternehmen können Ressourcen gezielt auf die wichtigsten IT-Services konzentrieren und Prioritäten setzen.
• Reduzierung von Ausfallzeiten: Eine klare Bewertung der Ausfallkritikalität hilft, kritische Dienste zuerst zu sichern und die Wiederherstellung zu beschleunigen.
• Risikominimierung: Das Mapping und die Ausfallkritikalitätseinschätzung identifizieren potenzielle Schwachstellen und helfen, Risiken zu minimieren.

Ein gründliches Mapping von IT-Services, Infrastruktur-Komponenten und der Ausfallkritikalität ist ein wesentlicher Bestandteil eines erfolgreichen IT-Notfallmanagements. Es hilft, die Verfügbarkeit von Services sicherzustellen, kritische Infrastrukturen schnell zu identifizieren und effektive Wiederherstellungsprozesse zu etablieren. Die regelmässige Überprüfung und Anpassung der Notfallpläne ist notwendig, um im Falle eines Ausfalls gut vorbereitet zu sein und das Unternehmen schnell wieder in den Normalbetrieb zu überführen.