HUK-Coburg Versicherungsgruppe - Continuity Managment: Notfallübung für Fortgeschrittene Wie ein Notfall ablaufen wird, ist nicht vorhersehbar. Besonders der menschliche Faktor kann in den Übungen nicht wirklich abgebildet werden. „Was wir erreichen können und wollen, ist eine immer größere Sicherheit durch einen immer höheren Reifegrad unserer Maßnahmen für IT-Services Continuity,“ beschreibt Martha Weitz, Referentin IT-Katastrophenvorsorge bei der HUK-COBURG, die Zielsetzung. Die HUK-COBURG Versicherungsgruppe ist auf Versicherungen und Bausparverträge für private Haushalte spezialisiert und betreut über acht Millionen Kunden. Mit ihren Leistungen und der Qualität ihrer Kundenbetreuung erreicht die HUK-COBURG immer wieder Bestnoten in Testberichten und behauptet eine Spitzenstellung bei der Kraftfahrtversicherung in Deutschland. Über 8.000 Mitarbeiter in Coburg, den Außenstellen und im Notrufzentrum der HUK-COBURG Assistance in Frankfurt leisten dazu ihren Beitrag. Die Säule ihres Tagesgeschäfts und damit der Lebensnerv des Unternehmens ist eine reibungslos funktionierende, hochverfügbare IT verbunden mit einer sicheren Datenhaltung, die die gesetzlichen Vorgaben erfüllt. IT-Services Continuity im Fokus Die Geschäftskontinuität ist bei der HUK-COBURG ein zentrales Thema der Unternehmensführung und die IT-bezogenen Ziele wurden deshalb in der DV-Strategie verankert. Da die zentralen Gebäude in Coburg zunehmend von Hochwasser bedroht sind, entschied sich die HUK-COBURG für den Ersatz eines der beiden Data Center durch ein höher gelegenes Rechenzentrum außerhalb der Stadt. Im Regelbetrieb arbeiten beide Rechenzentren im Lastausgleich. In kritischen Situationen jedoch müssen existentiell wichtige Applikationen verlagert und schnellstens wieder verfügbar gemacht werden. Die HUK-COBRUG betreibt daher ein umfassendes IT-Services Continuity Management: Zwei identisch ausgestattete Rechenzentren besitzen ausreichende Kapazitäten, um einzeln die komplette IT-Produktion zu übernehmen Mit dem Katastrophenhandbuch (IT-KHB) steht ein jederzeit betriebsbereiter, umfassender Aktionsplan für den Notfall zur Verfügung Regelmäßige Tests und Übungen sind in der DV Strategie verankert Wie sicher ist sicher? Wie ein Notfall ablaufen wird, ist nicht vorhersehbar. Besonders der menschliche Faktor kann in den Übungen nicht wirklich abgebildet werden. „Was wir erreichen können und wollen, ist eine immer größere Sicherheit durch einen immer höheren Reifegrad unserer Maßnahmen für IT-Services Continuity,“ beschreibt Martha Weitz, Referentin IT-Katastrophenvorsorge bei der HUK-COBURG, die Zielsetzung. Erfahrungen zeigen, dass auf Teilbereiche der IT beschränkte Übungen oft zu einer vermeintlichen Sicherheit führen. Im Notfall wird jedoch sehr wahrscheinlich ein kompletter Wiederanlauf und eine vollständige Datensicherung erforderlich sein. „Um also die Wirksamkeit unseres IT-Services Continuity Managements insgesamt zu prüfen und zu verbessern,“ erläutert Martha Weitz, „gab es nur einen Weg: eines unserer Rechenzentren tatsächlich ausfallen zu lassen.“ Simulation eines Totalausfalls Um mit den gewonnenen Erfahrungen wirksame Verbesserungen erzielen zu können, sollte ein realistisches Notfallszenario simuliert werden, das die IT-Produktion nicht oder nur sehr gering beeinträchtigen würde. HUK-COBURG entschloss sich daher einen Partner mit umfangreicher und vielseitiger RZ-Erfahrung speziell im Bereich IT-Services Continuity in das Projekt einzubinden. Erste Aufgabe für die Teams von HUK-COBURG und COMPAREX war es, Daten aus dem Betriebstest im Rahmen des RZ-Umzugs in den neu eingerichteten Standort zu sammeln und sie in das IT-KHB einzuarbeiten. Auch die während des Umzugs selbst gewonnenen, für die Geschäftskontinuität relevanten Erkenntnisse wurden aufgenommen. Das gemeinsame Projektteam entwickelte dann eine allgemeine Planung für K-Fall-Tests und anschließend das detaillierte „Drehbuch“ für die RZ-umfassende Übung im 1. Quartal 2007: von der generellen Alarmierungsübung über den organisatorischen Test bis hin zum Gesamttest. Mit einem vertretbaren Aufwand und Risiko wollte die HUK-COBURG aussagekräftige Resultate unter anderem zu folgenden Fragen erhalten: Funktioniert der Alarmierungsplan effektiv? Sind die Anforderungen der Applikationen hinsichtlich Kapazität und Verfügbarkeit korrekt und prioritätsgerecht festgelegt? Sind die Teams in vollem Umfang handlungsfähig (Rollenverständnis, verfügbare Ressourcen, Umsetzbarkeit der Handlungsanweisungen, funktionierende fachübergreifende Kommunikation)? Sind im Wiederanlauf- und Datensicherungsplan alle Abhängigkeiten berücksichtigt? Sind die geschäftskritischen Anwendungen wie geplant verfügbar? Höherer Reifegrad der Notfallorganisation Der Gesamttest hat den Reifegrad der Notfallvorsorge bei der HUK-COBURG erhöht, organisatorisch, technisch und auch hinsichtlich der bereitgestellten Ressourcen. Die Sensibilität der Mitarbeiter für die existentielle Bedeutung der IT für die Geschäftskontinuität ist gestiegen. In einer offenen Kommunikation mit dem COMPAREX-Team wurden in jeder der Projektphasen - Vorbereitung, Test und Auswertung - Verbesserungen des IT-KHB vorgenommen. Einige wichtige Erfahrungen werden in die Konzeptarbeit für die kommenden Testszenarien einfließen. „Auch bei der K-Fall-Vorsorge ist Stillstand gleich Rückschritt,“ ist sich Martha Weitz bewusst. „Wir werden deshalb iterativ weitere Übungsabläufe entwickeln und regelmäßig Gesamttests durchführen. Schritt für Schritt werden wir die Rahmenbedingungen verändern und auch verschärfen, um noch mehr Sicherheit zu gewinnen.“ COMPAREX - Partner für das Rechenzentrum Die Frage der IT-Services Continuity betrifft große Unternehmen und den Mittelstand gleichermaßen - und muss doch individuell gelöst werden. Unternehmen wie HUK-COBURG profitieren von der vielschichtigen Praxiserfahrung und der etablierten IT-Services Continuity Awareness von COMPAREX. COMPAREX arbeitet seit mehr als 30 Jahren erfolgreich mit Kunden aller Branchen an maßgeschneiderten Notfallstrategien und Handlungsplänen sowie an der Entwicklung praxisorientierter Testszenarien zu ihrer Verifizierung und Optimierung. Ablauf des Gesamttests Vorgehen und Dokumentation gemäß IT-KHB Steuerung der Aktivitäten durch den IT-Krisenstab Aktivierung der in der Notfallorganisation vorgesehenen Teams Verlagerung des RZ-Betriebs in den Notfallstandort (alle Applikationen, Datenbanken, Server, Storage-Systeme, Netzwerke, Telefoneinrichtungen und IT-Arbeitsplätze) Prüfen der Funktionsfähigkeit aller Applikationen mit höchster Priorität Rückverlagerung und Wiederherstellung des Normalbetriebs   Copyright 2008 COMPAREX. All Rights Reserved.