Wie Hosting und IT-Betrieb die Resilienz eines Unternehmens erhöhen

Resilienz – also die Widerstands- und Anpassungsfähigkeit eines Unternehmens gegenüber Störungen und Schäden – wird im unternehmerischen Kontext verstanden als Fähigkeit, die mehrere Bereiche betrifft.

• Operative Resilienz: sichert im Fall eines Zwischenfalls die Geschäftskontinuität.
• Strategische Resilienz: beschreibt die Fähigkeit eines Unternehmens, auf Veränderungen im wirtschaftlichen, sozialen und politischen Umfeld zu reagieren.
• Finanzielle Resilienz: definiert die finanzielle Gesundheit und damit die Fähigkeit eine Krise zu bewältigen.
• Soziale Resilienz: Anerkenntnis, dass die Resilienz eines Unternehmens von der sozialen und politischen Resilienz der Gemeinschaften abhängt.
• Organisatorische Resilienz: umschreibt die Fähigkeit der Mitarbeiter, Kultur und Struktur auftretenden Störungen effektiv zu begegnen.
   

Die Technologie, die materiellen und personellen Ressourcen für den Betrieb sind damit zentraler Teil für die Herstellung der operativen Resilienz.
Vor einer Entscheidung für einen externen Dienstleister für Hosting und IT-Betrieb sollte diese evaluiert werden.

Compliance: Hier sollte für Hosting und IT-Betrieb die regulatorische und administrative Messlatte liegen

Das Hosting und der IT-Betrieb von Anwendungen erfordern verglichen mit on-premise Lösungen einen weiter gefassten Blick:   

Was Datenschutz leisten muss:

Wie realisiert ein Anbieter technische und organisatorische Maßnahmen?

• Welche Authentifizierungs- und Zugriffskontrollmechanismen greifen bei einem Anbieter für Hosting und IT-Betrieb bzgl. Zugangskontrolle?
• Welche Back-up-Konzepte gibt es?
• Welche Verschlüsselung greift?
• Wie ist der Rechtsraum definiert?
• Wo liegen die Daten?

Kurzgefasst: Was leisten Anbieter zum Schutz von sensiblen Daten?
 

Was SLA aufgreifen sollten:

• Welche Antwort- und Reaktionszeiten sind gewünscht?
• Wer hat die Datenhoheit?
• Datensicherung/Wiederherstellung: Welche Maßnahmen werden zur Datensicherung- und Wiederherstellung der gehosteten Daten ergriffen? In welchen Zyklen werden Backups gemacht?
• Welcher Leistungsumfang wird vereinbart?
• Monitoring/ Sicherheitsbenachrichtigungen: Wie wird überwacht und im Notfall alarmiert? Welche Protokolle werden bei Zwischenfällen erstellt?
• Welche Prozessbeschreibungen sind relevant?
• In welcher Sprache wird kommuniziert?
• Vertrags- und Service-Level-Vereinbarungen: Auf der Rechtsgrundlage welches Landes beruht das SLA? Welchen Sprachen werden bedient? Wie gestalten sich Back-Up & Disaster-Recovery-Funktionalitäten? Wie sieht das Rechtemanagement aus? Wird gemonitort und wenn ja, wie? Wer haftet? Fragen wie diese sind entscheidend bei der Wahl eines Unternehmens, das Hosting und IT-Betrieb anbietet.
• Wo liegen die Urheberrechte?
   

Updates und Patches: Welche Prozesse und Routinen gelten für Hosting und IT-Betrieb mit Blick auf Updates und Patches?

• Was passiert am Ende der Vertragslaufzeit mit den Daten?

Das sind nur einige beispielhafte Aspekte, die ein guter SLA aufgreifen sollte.

Normen und Standards im Zusammenhang
mit Hosting und IT-Betrieb

Die nachfolgenden Zertifizierungen können einen Großteil der Compliance-Anforderungen bereits abdecken und sichern die Einhaltung von vorgegebenen Standards zu:

• Zertifizierungen und Testierung nach ISO/IEC 27001: Informationssicherheitsmanagementsystem
• ISO 27001: Zertifizierung auf der Basis von IT-Grundschutz
• ISO/IEC 20000-1: Servicemanagementsystem
• ISO 9001: Qualitätsmanagementsystem
• ISO 14001: Umweltmanagementsystem
• VdS 3406: Objektspezifisches Sicherheitsmanagementsystem
• PCI DSS: Payment Card Industry Data Security Standard
• ISAE 3402 Typ II: Internes Kontrollsystem auf der Basis von COBIT 5