Allgemein lässt sich sagen, dass sowohl Business Continuity als auch Disaster Recovery auf ein Ereignis abzielen, welches sich viele Organisationen nicht wünschen: Der Katastrophenfall. Die Gründe für diesen Katastrophenfall können vielfältig sein und müssen nicht immer einen technologischen Ursprung haben. So kann auch eine Naturkatastrophe, beispielsweise Hochwasser, eintreten, um Ihre Organisation in eine Krisensituation zu bringen. Wesentlich ist dann, ob Sie auf einen solchen Vorfall entsprechend vorbereitet sind. Genau an dieser Stelle kommt das Business Continuity und Disaster Recovery Planning zum Einsatz. Dabei bewerten Sie verschiedene Gefährdungen für Ihre Organisation und evaluieren, was Sie im Eintrittsfall konkret tun, um den Schaden möglichst gering zu halten.
Jede Organisation sollte Pläne mit klaren Prozessen etablieren, was im Katastrophenfall zu tun ist. Unter Business Continuity Planning (BCP) werden die Aktivitäten zusammengefasst, die notwendig sind, um kritische Geschäftsaktivitäten im Katastrophenfall aufrecht zu erhalten. Es gibt eine Vielzahl an etablierten Vorgehensweisen und Konzepten, denen man sich zur Erstellung von Business-Continuity-Plänen für das eigene Unternehmen bedienen kann.
Unabhängig davon, wie sich Ihr Vorgehen im Detail gestaltet, sollten Sie in einem ersten Schritt eine Übersicht der Risiken erstellen, denen Ihr Unternehmen ausgesetzt ist. Dazu benötigen Sie ein BCP-Team. Die Teammitglieder sollten sich aus den wichtigsten Bereichen Ihrer Organisation zusammensetzen. Gemeinsam muss das BCP-Team eine sogenannte Business Impact Analyse (BIA) erarbeiten. Die BIA hat zum Ziel, die Abhängigkeiten von Geschäftsprozessen zu den für den Betrieb dieser Prozesse notwendigen Ressourcen, wie zum Beispiel der IT, zu ermitteln. Mittels der BIA lässt sich in einem zweiten Schritt evaluieren, welche Auswirkungen zu erwarten sind, wenn es zum Eintritt der identifizierten Risiken kommt.
Ausgehend von der BIA entwickelt das BCP-Team eine Strategie, welche Schritte das Unternehmen im Krisenfall konkret unternehmen muss, um die Auswirkungen auf wesentliche Geschäftsprozesse im Schadensfalls möglichst gering zu halten. Die Dokumentation erfolgt in Form eines Business Continuity Plans. Bestandteil des Plans ist neben den konkreten Maßnahmen unter anderem auch die Zuweisung klarer Verantwortlichkeiten, zum Beispiel in Form eines Krisenstabs, der die Umsetzung der Maßnahmen im Krisenfall steuert. In vielen Fällen sind Regelungen zum Personaleinsatz Bestandteil der Planung, indem z.B. im Krisenfall kurzfristig externe Unterstützung angefordert oder Mitarbeiter in andere Lokationen bzw. in die Remote-Arbeit versetzt werden.
Das Disaster Recovery Planning beschäftigt sich vor allem mit den IT-Ressourcen, die im Krisenfall wiederhergestellt werden müssen. Als Ergebnis der Business Impact Analyse ist bekannt, welche IT-Ressourcen zum Betrieb der kritischen Geschäftsprozesse notwendig sind. Durch das DR-Planning sollte sichergestellt werden, dass mindestens für diese kritischen IT-Ressourcen entsprechende DR-Pläne existieren.
Der DR-Plan ist damit eine Untermenge des allgemeineren Business Continuity Plannings und fokussiert sich dabei vor allem auf die IT-technischen Komponenten. Zum Beispiel könnte ein DR-Plan beschreiben, wie Datenbanken aus einem BackUp wiederhergestellt werden, wenn es zu einem Brand im Rechenzentrum kam. Der DR-Plan sollte dabei so aufgebaut sein, dass er im Detail darlegt, welche konkreten Schritte in diesem Fall zu unternehmen sind. Das Ziel sollte sein, dass die definierten Verantwortlichkeiten jederzeit mit dem DR-Plan den Betrieb der kritischen IT-Ressourcen wiederherstellen können.
Steigt man etwas genauer in beide Disziplinen ein, werden die Unterschiede ersichtlich. So bezieht sich das Business Continuity Planning vor allem auf eine allgemeine Strategie, wie das Unternehmen im Krisenfall agiert, um die Geschäftsfähigkeit auf einem zu definierenden Niveau aufrecht zu erhalten. Das Disaster Recovery Planning hingegen bezieht sich auf die Wiederherstellung der für den Geschäftsbetrieb kritischen IT-Ressourcen. Der DR-Plan regelt demnach im Detail, welche Schritte zur Wiederherstellung von IT-Systemen zu unternehmen sind, wenn diese durch eine Krise in ihrer Funktionsweise eingeschränkt oder vollständig zerstört wurden.