Kritische Anwendungen

Als kritische Anwendungen gelten alle Systeme, deren Ausfall den Geschäftsbetrieb unmittelbar lahmlegt oder spürbar beeinträchtigt. Dazu zählen je nach Branche das ERP-System, die Warenwirtschaft, die Buchhaltung, ein Online-Shop, das CRM, die Produktionssteuerung oder auch die Telefonie. Entscheidend ist nicht, wie teuer oder modern eine Software ist, sondern welche Folgen ihr Stillstand hat: Bleiben Aufträge liegen, können Mitarbeiter nicht arbeiten, oder kommt die Lieferkette ins Stocken?

Die Einstufung als kritisch ist immer unternehmensspezifisch. Für einen Handwerksbetrieb kann die Terminplanung das Herzstück sein, für einen Online-Händler die Bestellabwicklung, für eine Kanzlei das Dokumentenmanagement. Häufig stellt sich erst bei genauerem Hinsehen heraus, dass auch unscheinbare Dienste – etwa der Verzeichnisdienst Active Directory oder die Anbindung an die Cloud – kritisch sind, weil zahlreiche andere Systeme von ihnen abhängen.

Sinnvoll ist deshalb eine Klassifizierung in Stufen, etwa von „geschäftskritisch“ über „wichtig“ bis „unkritisch“. Diese Einteilung schafft die Grundlage für alles Weitere, denn sie entscheidet, wie viel Schutz und welches Budget eine Anwendung rechtfertigt. Wer alles gleich hoch absichert, verschwendet Mittel; wer keine Prioritäten setzt, schützt im Ernstfall womöglich das Falsche zuerst.

Der Schutz kritischer Anwendungen beginnt mit einer ehrlichen Bestandsaufnahme: Welche Systeme gibt es, wer nutzt sie, und was hängt voneinander ab? Aus dieser Analyse leiten sich zwei zentrale Kennzahlen ab. Die Wiederherstellungszeit (RTO) beschreibt, wie schnell ein System nach einem Ausfall wieder laufen muss, der Wiederherstellungspunkt (RPO), wie viel Datenverlust maximal tolerierbar ist. Je kürzer beide ausfallen sollen, desto höher der technische und finanzielle Aufwand.

Aus diesen Vorgaben ergeben sich konkrete Maßnahmen. Durchdachte Backup-Strategien nach der 3-2-1-Regel sorgen dafür, dass Daten auch nach einem Hardwaredefekt oder einem Ransomware-Angriff wiederherstellbar bleiben. Redundante Komponenten, Cluster und eine geplante Ausfallsicherheit verhindern, dass ein einzelner Defekt den ganzen Betrieb stoppt. Eine robuste Netzanbindung, häufig ergänzt durch Fallback-Konzepte über Mobilfunk, hält cloudbasierte Anwendungen auch bei einem Leitungsausfall erreichbar. Hinzu kommen Schutzmaßnahmen wie eine Firewall, eine saubere Verschlüsselung und klar geregelte Zugriffsrechte.

Wer kritische Anwendungen an einen Dienstleister oder in die Cloud auslagert, sollte die zugesagte Verfügbarkeit vertraglich fixieren. Ein Service-Level-Agreement mit garantierter Verfügbarkeit definiert messbare Werte wie 99,9 Prozent Erreichbarkeit und feste Reaktionszeiten im Störfall. Solche Zusagen sind nur so viel wert, wie sie zum tatsächlichen Risiko passen – eine reine Prozentzahl ohne Bezug zu RTO und RPO bleibt Theorie.

Ergänzend gehören kritische Anwendungen in übergreifende Notfallkonzepte und in die Planung der Business Continuity. Dort wird festgehalten, wer im Ernstfall was tut, welche Systeme zuerst wiederanlaufen und wie lange Notbetrieb-Lösungen tragen. Regelmäßige Tests dieser Abläufe sind wichtig, denn ein Backup, das nie zurückgespielt wurde, gibt nur trügerische Sicherheit. Auch geschulte Mitarbeiter sind Teil der Vorsorge, etwa zur Abwehr von Phishing-Angriffen, die häufig der Einstieg für größere Schäden sind.

Wer kritische Anwendungen in der Cloud betreibt, sollte zudem die Datenhoheit und den Standort der Rechenzentren im Blick behalten. Eine DSGVO-konforme Verarbeitung, klare Regelungen zum Datenexport und ein realistischer Plan für den Anbieterwechsel verhindern, dass aus einer scheinbar bequemen Auslagerung später eine Abhängigkeit wird, die im Krisenfall die Handlungsfähigkeit einschränkt.

Gerade mittelständische Unternehmen unterschätzen oft, wie stark sie von wenigen Systemen abhängen. Anders als Großkonzerne haben sie selten eine eigene Abteilung, die sich ausschließlich um Verfügbarkeit und Notfallvorsorge kümmert. Fällt ein zentrales System aus, kann das nicht nur Umsatz kosten, sondern auch das Vertrauen von Kunden und Partnern beschädigen. Der Schutz kritischer Anwendungen ist damit weniger eine IT-Frage als eine unternehmerische Entscheidung.

Zugleich gilt es, Augenmaß zu wahren: Nicht jedes System braucht die höchste Schutzstufe, und überzogene Redundanz bindet unnötig Budget. Eine TCO-Analyse hilft, Schutzniveau und Kosten in ein vernünftiges Verhältnis zu bringen. Wer Wartungskosten, mögliche Ausfallschäden und Investitionen gegenüberstellt, trifft Entscheidungen auf einer belastbaren Grundlage statt aus dem Bauch heraus.

Bei ITTK in Düsseldorf erleben wir regelmäßig, dass die Liste der wirklich kritischen Anwendungen vom ersten Bauchgefühl der Geschäftsführung abweicht. Als herstellerneutrale Berater starten wir deshalb mit einem nüchternen IT-Audit, machen Abhängigkeiten sichtbar und priorisieren gemeinsam mit dem Kunden – ohne ein bestimmtes Produkt verkaufen zu müssen. So entsteht ein Schutzkonzept, das zum tatsächlichen Risiko und zum Budget passt.

Für Unternehmen im Rheinland und in ganz NRW ist es ein Vorteil, einen Ansprechpartner vor Ort zu haben, der Cloud-Optionen, lokale Provider und Carrier-Angebote vergleichen kann. Wir verstehen uns dabei als Übersetzer zwischen Geschäftsanforderung und Technik und stimmen Maßnahmen mit allen Beteiligten ab – ehrlich auch dann, wenn die wirtschaftlichste Lösung schlicht heißt, ein bestehendes System gezielt abzusichern statt es zu ersetzen.