Backup & Recovery in der Lebensmittelindustrie – Strategie und Ordnung statt Improvisation

Wenn kritische Produktionsprozesse ausfallen, dann tickt die Uhr. Wie schwerwiegend die Folgen sind, hängt entscheidend davon ab, wie schnell Systeme und Prozesse wiederhergestellt werden können. Dafür sind funktionsfähige Versionsstände wichtig, aber es gibt noch mehr, worauf es im Ernstfall ankommt. Backup & Recovery ist ein essenzieller Teil des Business Continuity Managements und erfordert ein bedarfsgerechtes Konzept, das in eine Notfall-Strategie eingebettet ist.

Ausfälle in der Produktion – womit Sie rechnen müssen

Die Digitalisierung schafft nicht nur Mehrwerte, sondern auch viele neue Angriffsvektoren. Dass sich in der vernetzten Supply Chain ein Sicherheitsvorfall auf viele Unternehmen ausbreitet, ist ein Szenario, auf das sich Unternehmen einstellen müssen. IT-Systeme in der Produktion steuern physische Prozesse, fallen sie aus, kann ein Wiederanlaufen sehr aufwändig und folgenreich sein.

In der Lebensmittelindustrie sind Rohstoffe und Produkte meist schnell verderblich. Gibt es Unterbrechungen im Produktionsprozess, müssen sie gegebenenfalls teuer entsorgt und die Anlagen aufwändig gereinigt werden. Störungen können die Gesundheit und die Sicherheit von Menschen sowie die Umwelt gefährden. Darunter kann auch die Reputation massiv leiden, was negative wirtschaftliche Folgen potenziert. Unternehmen sollten daher die nötigen Vorkehrungen treffen, um auf den Ernstfall bestmöglich vorbereitet zu sein.

Backup & Recovery als Anforderung der NIS2

Backup-Maßnahmen und die Wiederherstellung nach einem Notfall zählen zu den Mindestanforderungen, die die EU Richtlinie NIS2 für den Schutz von IT-Systemen fordert. Die Motivation, wirksame Vorkehrungen für die Aufrechterhaltung des Betriebs zu treffen, geht aber über die Erfüllung einer Compliance-Anforderung hinaus. Backup & Recovery ist kein reines IT- oder Security-Thema, denn nicht immer sind es Sicherheitsvorfälle, die Produktionsprozesse stören oder zum Erliegen bringen. Manchmal ist auch einfach nur der Strom weg.

Eine gute Prävention liegt schlicht im ureigenen Interesse jedes produzierenden Unternehmens.

Backups – um welche Daten geht es?

In jedem Unternehmen fallen in der Produktion permanent riesige Datenmengen an. Für viele davon gibt es konkrete Bedarfe, aber nicht alle müssen gesammelt und archiviert werden.

Die richtige Auswahl an Daten treffen

Für jede Branche gelten spezifische gesetzliche Anforderungen im Hinblick auf Daten, die im Produktionsprozess entstehen. In der Lebensmittelindustrie müssen beispielsweise Chargen über sehr lange Zeiträume nachverfolgbar sein. Die Sicherung und Archivierung von Daten muss daher grundsätzlich geregelt sein. Dabei sollten auch die Betriebsdaten und schützenswerten Informationen berücksichtigt werden, die im Kontext der Backup-Strategie relevant sind.

Was ist das Ziel von Backups? Es geht darum, solche Betriebsdaten und schützenswerten Informationen verfügbar zu haben, die erforderlich sind, um ein System nach einem Ausfall zuverlässig wieder in Betrieb nehmen zu können. Welche dies sind, hängt vom Prozess ab. Dazu gehören System- oder Anwendungsdaten, Rezepturdaten oder aktuelle Betriebsdaten wie Temperatur, Druck, etc. Die betriebskritischen Daten sind in jedem Unternehmen individuell zu ermitteln und der Umgang damit sollte bedarfsgerecht geregelt werden.

Wie geht das?

Priorisierung nach Kritikalität

Es macht nicht immer Sinn, einfach möglichst viele Daten auf die gleiche Weise – und mit demselben Aufwand – zu sichern. Vielmehr gilt es, aus der großen Datenmenge diejenigen zu identifizieren, die schützenswert sind und die verfügbaren Ressourcen gezielt darauf zu verwenden.

Informationen, Betriebsdaten und Konfigurationen, die für eine schnelle und zuverlässige Wiederherstellung nach einem Systemausfall notwendig sind, müssen priorisiert geschützt werden und als Backup jederzeit verfügbar sein.

• Die Kritikalität von Assets und Prozessen ermitteln
  Die Risikoanalyse identifiziert kritische Assets und Prozesse. Dafür ist es wichtig, den Produktionsprozess zu verstehen. Hilfreich ist, sich am Materialfluss in der Produktion zu orientieren. Die erforderliche Transparenz liefert ein OT-Asset-Management.

• Welche Konsequenzen hat ein Systemausfall?
  Um die Maßnahmen und Vorgehensweisen am konkreten Bedarf auszurichten, müssen die Folgen eines Systemausfalls identifiziert und bewertet werden.

Ist die Priorisierung für Backup & Recovery entsprechend der Kritikalität bestimmt, werden im nächsten Schritt wichtige Kennzahlen pro Gerätekategorie definiert.

Relevante Kennzahlen

Wie viel Datenverlust ist in einem spezifischen Teil eines Produktionsprozesses tolerierbar? Auf diese Frage, die wir im Workshop stellen, folgt meist die Antwort: “Gar keine.”

Wie schnell muss die Produktion wieder laufen? Die häufigste Antwort lautet: “So schnell wie möglich!”

Aber was ist realistisch? Dafür muss die individuelle Situation betrachtet werden.

Kennzahlen helfen dabei, relevante Anforderungen für Backup & Recovery zu definieren. Außerdem schaffen Kennzahlen Transparenz: Diejenigen, die Backup & Recovery verantworten, kennen damit die Erwartungshaltung und Process Owner erhalten Klarheit darüber, wie schnell im Ernstfall mit einer Wiederherstellung gerechnet werden kann.

Wichtige Kennzahlen für Informationen und Daten, die als schützenswert eingestuft sind:

• RPO – Recovery Point Objective (Wiederherstellungspunkt)
  Definiert die Grenze für den Datenverlust bis zu dem die Prozesse nach einem Ausfall wieder funktionieren: Wieviel Datenverlust ist maximal verkraftbar?
• RTO – Recovery Time Objective (Wiederherstellungszeitziel)
  Der Wert gibt die maximal tolerierbare Ausfallzeit kritischer Prozesse an: Wie schnell muss das System wieder laufen?

Liegen die ermittelten Werte für RPO und RTO außerhalb des Toleranzbereiches, müssen entsprechende Gegenmaßnahmen ergriffen werden.

Wo liegen die Backups?

Eine Dateiablage irgendwo, das ist kein Sonderfall, sondern leider oft gängige Praxis für Backups in der Produktion. Im Notfall hilft ein Backup nichts, wenn man es nicht findet. Beispielsweise weil die Person, die es erstellt, gerade im Urlaub ist.

Je nach Kritikalität muss eine entsprechend gesicherte Dateiablage die Verfügbarkeit der Daten jederzeit sicherstellen. Berücksichtigen Sie, dass bei Sicherheitsvorfällen auch IT-Systeme betroffen sein können, die üblicherweise zur Dateiablage genutzt werden. Gegebenenfalls sind redundante Systeme erforderlich. Es kann hilfreich sein, bestimmte Informationen (z.B. Produktionspläne) – old school – auf Papier verfügbar zu haben.

Grundsätzlich muss klar definiert und allen Beteiligten bekannt sein:

• Was in welcher Art gesichert wird: Sicherungssystem

• Wo der Sicherungsort ist.

Wann wird gesichert?

Bei der Erstellung von Backups sind gleiche Backupzeitpläne für alle Gerätekategorien nicht immer die sinnvollste Vorgehensweise. Aktuelle Datenstände können beispielsweise immer dann gespeichert werden, wenn bestimmte Änderungen vorgenommen wurden (Backup on Change). Orientieren Sie sich am tatsächlichen Bedarf, den RTO und RPO abbilden. Die für eine Gerätekategorie definierte Kennzahl wird entsprechend umgesetzt: Sind maximal 4 Stunden Datenverlust verkraftbar, muss alle vier Stunden ein Backup gemacht werden.

Recovery – viel mehr als nur eine Datenaktion

Was wird alles gebraucht, um ein System nach einem Ausfall wieder zum Laufen zu kriegen? Das ist die wesentliche Frage für Recovery. Neben den kritischen Betriebsdaten gibt es vieles mehr, das im Notfall zuverlässig verfügbar sein muss.

Abhängigkeiten

Recovery findet fast immer in einem Ausnahmezustand statt. Im Ernstfall dürfen Abhängigkeiten nicht zum Showstopper werden.

Befassen Sie sich mit folgenden Fragestellungen:

• Personelle Situation
  Bestehen für Aufgaben im Kontext Backup & Recovery personelle Abhängigkeiten, intern oder extern? Ein Mitarbeiter mit Spezialwissen kann möglicherweise schon in Rente gegangen oder im Krankenstand sein. Gibt es eine angemessene Vertretungsregelung?
  Sind Hersteller oder Dienstleister beteiligt und sind die Service Level Agreements (SLA) ausreichend? Wie gewährleisten externe Partner, dass die nötige Expertise jederzeit abrufbar ist?

• Ressourcen
  Neben verfügbaren kritischen Betriebsdaten und kompetenten Personen, die diese Daten in die Systeme einspielen können, sind weitere Ressourcen relevant.
  Dazu zählen zum Beispiel Verträge mit Herstellern und Dienstleistern mit entsprechenden Lasten- und Pflichtenheften.
  Denken Sie auch an Ersatzteile, die in einer bestimmten Konfiguration vorrätig sein müssen.

Prozesse

• Besonderheiten beim Wiederherstellungsprozess
  Nicht immer ist Schnelligkeit das wichtigste Kriterium. Die Reihenfolge, in der Systeme wiederhergestellt werden, kann erfolgsentscheidend sein.

• Kommunikation
  Dass relevante Informationen schnell an die richtigen Stellen gelangen, ist entscheidend dafür, wie gut man die Folgen eines Systemausfalls kontrollieren kann. Klären Sie, wer welche Informationen benötigt, um angemessene Reaktionen auslösen oder durchführen zu können.

• Recovery Tests
  Ob Backups und definierte Vorgehensweisen im Ernstfall auch funktionieren, muss getestet werden. Dafür müssen entsprechende Zeiträume eingeplant werden. Ist dies nicht möglich, was valide sein kann, bleibt ein Restrisiko, mit dem man umgehen muss. Werden Tests durchgeführt, unterstützen Recovery-Leitfäden einen reibungslosen Ablauf im Ernstfall.

Organisation

• Verantwortungen & Rollen
  Aufgaben und Verantwortlichkeiten für das Backup- & Recovery-Konzept müssen klar geregelt sein. Das schließt die Rollen für die Durchführung von Backups, die Überwachung und die Wiederherstellung nach einem Systemausfall ein. Die notwendige Expertise muss beim Personal vorhanden, sichere Zugriffe entsprechend angelegt sein.

Die Anforderungen, die dafür sorgen, dass Ihr Backup & Recovery-Konzept im Ernstfall auch funktioniert, erfordern viele Schnittstellen in andere Bereiche. Dazu zählt der Einkauf, wo Anforderungen für Backup & Recovery in die Verträge mit Lieferanten integriert werden oder das Risikomanagement und die Notfallplanung. Schaffen Sie diese Schnittstellen und gestalten Sie die Abläufe so, dass Sie in Ihrem Unternehmen funktionieren.

Schlüsselfunktion Risiko- und Notfallmanagement

Backups durchzuführen ist in der Produktion üblich, dafür gibt es in den verschiedenen Bereichen meist sehr unterschiedliche Herangehensweisen. Was jedoch oft fehlt, ist der Kontext der bereichsübergreifenden Security-Strategie, in die Backup & Recovery eingebettet sind.

Eine passende Vorgehensweise im Ernstfall basiert auf einem fundierten Risikomanagement, aus dem sich das Notfallmanagement ableitet. In diesem Rahmen wird ermittelt, was alles erforderlich ist, um die Betriebskontinuität sicherzustellen.

Daher sollten Anforderungen für verbindliche Vorgaben für Backup & Recovery, die sich am echten Bedarf orientieren, (auch) vom Risk- und Notfallmanagement kommen.

Testen! Dokumentieren! Üben!

Wenn Systeme oder ganze Anlagen ausfallen, ist das in der Regel kein Standardszenario. Es ist eine außergewöhnliche Situation, die meist mit Stress für alle Beteiligten einhergeht. Tritt der Notfall ein, muss jeder wissen, was wie zu tun ist.

Selbst wenn Sie die kritischen Betriebsdaten und schützenswerte Informationen identifiziert und Prozesse für ein Wiederanlaufen von Systemen entwickelt haben, so ist das nur die halbe Miete. Tests müssen belegen, dass Ihr Backup & Recovery-Konzept auch funktioniert. Und wenn nicht, dann werden durch Stresstests notwendige Verbesserungen angestoßen.

Personal befähigen

Im Ernstfall hängt viel an den Mitarbeitenden, die einschlägige Vorgaben und Vorgehensweisen kennen müssen. Schaffen Sie für die Ausnahmesituation bestmögliche Voraussetzungen durch

• klare Vorgaben in Dokumentationen, die jeder kennt (Leitfäden, Checklisten)

• Trainings, in denen Situationen geübt werden, um Chaos im Ernstfall zu vermeiden.

Denken Sie bei den Maßnahmen für das Personal nicht nur an die eigenen Beschäftigten, sondern ebenso an die der externen Partner.

Fazit

Backups sind in jedem Unternehmen unverzichtbar – besonders angesichts zunehmender Risiken für die Anlagenverfügbarkeit. Damit Backup & Recovery im Ernstfall zuverlässig funktionieren, braucht es ein passgenaues Konzept, das sich nahtlos in die übergreifende Sicherheitsstrategie einfügt. Um Ausfallzeiten und Datenverluste gezielt zu minimieren, müssen zuerst RTO und RPO klar definiert sein. Passende Vorgaben für Backup & Recovery sollten im Risiko- und Notfallmanagement entsprechend der individuellen Anforderungen entwickelt werden.

Neben der richtigen Definition der Daten, die gesichert werden müssen, spielen auch personelle und organisatorische Faktoren eine wichtige Rolle. Eine gute Dokumentation, Schulungen und regelmäßige Tests sind unerlässlich, um Systeme nach einem Ausfall schnell und zuverlässig wieder in Betrieb nehmen zu können.