Quantifizierung des Risikos von ERP-Ausfällen und das Streben nach betrieblicher Ausfallsicherheit

Wie definiert man Ausfallzeit? In der IT-Branche wird Ausfallzeit definiert als „Zeitraum, in dem eine Maschine, insbesondere ein Computer, außer Betrieb oder nicht nutzbar ist“.

In einer Zeitcloud vor SaaS lieferte diese Definition eine akzeptable Beschreibung der tatsächlichen Abläufe, und die Verantwortung für die „Behebung“ lag häufig bei internen Mitarbeitern oder bei Auftragnehmern, die unter Vertrag mit dem Unternehmen standen. Was die Ermittlung der Kosten von Ausfallzeiten betraf, war dies für die meisten Unternehmen eine recht einfache Angelegenheit. Daher konnte die Bewertung des Risikos und der potenziellen Auswirkungen von Änderungen auf die Verfügbarkeit anhand einer mathematischen Formel erfolgen, die die Entscheidungsfindung unterstützte.

Dann änderte sich alles. Es wurden Cloud eingeführt, Service Level Agreements (SLAs) von Drittanbietern gewannen enorm an Bedeutung, und die Kostenmodelle verlagerten sich von der CAPEX-Planung (Investitionsausgaben) hin zur OPEX-Planung (Betriebsausgaben). Ausfallzeiten sind nun Betriebsunterbrechungen, und die Kosten und Risiken sind viel schwerer zu berechnen. Daher sind einige Anwendungen, wie beispielsweise ERP-Technologien, aufgrund ihrer Bedeutung innerhalb des Unternehmens hinter anderen Anwendungen zurückgeblieben – man kann nicht riskieren, dass diese geschäftskritischen Anwendungen offline gehen.

Transformation, Wandel und Verfügbarkeit in Einklang bringen

cloud im ERP-Bereich entwickelt sich weiter. Da ERP-Technologien derzeit ihre eigene digitale und cloud durchlaufen, stellt der Umgang mit Veränderungen, Risiken, Ausfallzeiten und Systemausfällen alle CISOs und CIOs vor neue Herausforderungen, die es zu berücksichtigen gilt. Eines ist sicher: Unabhängig von der Strategie ist Veränderung eine Konstante, selbst in der Welt der ERP-Systeme, und mit jeder Veränderung gehen Sie das Risiko von Ausfallzeiten und/oder Systemausfällen ein.

Werden solche Änderungen übersehen, kann dies für die betroffenen Unternehmen finanziell verheerende Folgen haben oder sogar zu Rechtsstreitigkeiten führen. Ein im März 2020 im CIO Magazine veröffentlichter Artikel beschreibt 16 Fälle, in denen es zu ERP-Umstellungen kam, die aufgrund mangelhafter Planung zu Kosten in Millionenhöhe für die betroffenen Unternehmen führten.

Viele dieser Probleme bei der Umstellung sind auf Schwierigkeiten bei der Datenkonvertierung und -migration zurückzuführen. Die meisten Unternehmen verfügen über ausgereifte Change-Management-Prozesse – warum kommt es dann dennoch dazu? Die einfache Antwort lautet: Im Gegensatz zu den meisten anderen Anwendungen fehlen ERP-Systemen leistungsfähige Tools zur Auswirkungsanalyse, mit denen sich Ausfallzeiten vermeiden ließen.

Quantifizierung von ERP-Ausfallzeiten und -Risiken

Als Anbieter von ERP-Technologien und -Lösungen sehe ich einen Mehrwert darin, solche Ausfälle oder Betriebsunterbrechungen mit Kosten oder einer Bewertung zu versehen, damit die zahlreichen Unternehmen, die diese Systeme nutzen, daraus lernen und gegebenenfalls Anpassungen vornehmen können. Bei Onapsis haben wir unsere Arbeit damit begonnen, eine entscheidende Kennzahl für Veränderungen zu betrachten: das Schwachstellenmanagement und Cybersicherheitsrisiken. Mit zunehmendem Wissen über unsere Kunden und Branchen wächst auch unsere Fähigkeit, eine Bewertung auf der Grundlage weiterer Faktoren Ihrer ERP-Sicherheitslage abzugeben. Wir betrachten nun nicht mehr nur die Cybersicherheitsrisiken des Unternehmens, sondern haben unseren Fokus auf die Code-Entwicklung und das SAP-Änderungsmanagement ausgeweitet. 

Wir wollen uns genauer ansehen, was ein tatsächlicher Ausfall im geschäftlichen Kontext bedeutet. Sicherlich hat der vollständige Ausfall einer Anwendung drastische Auswirkungen auf ein Unternehmen. Realistisch betrachtet muss es jedoch nicht so extrem sein. Tatsache ist: Wenn eine Geschäftsfunktion auch nur von einem einzigen Programm innerhalb des ERP-Ökosystems abhängt, kostet es das Unternehmen Zeit und Geld, wenn dieses Programm ausfällt. Diese Situationen können durch eine Vielzahl von Faktoren verursacht werden. Bei unseren Untersuchungen betrachten wir mehrere davon, zum Beispiel:

• Importfehler beheben
• Ereignisse beim Downgrade von Anwendungen
• Ereignisse zur Herabstufung von Daten 
• Umrechnungen in Tabellenform 
• Anmeldung für Offline-Veranstaltungen

Vor kurzem hat Onapsis neue Angebote zusammengestellt, um diese Probleme zu beleuchten und Unternehmen dabei zu helfen, zu verstehen, wie sie Ausfallzeiten besser vermeiden können. Die „Operational Resiliency Assessment“ vermittelt Ihnen ein Verständnis dafür, wo Sie derzeit stehen und welche Änderungen Sie umsetzen können, um Service-Levels und stets verfügbare Anwendungen sicherzustellen.

Diese Bewertung ist kostenlos und wird aus der Ferne durchgeführt. Sie dauert weniger als zwei Stunden und erfordert weder die Installation von Software noch den Zugriff auf Produktionssysteme. Erfahren Sie hier mehr oder fordern Sie eine Bewertung Ihrer Umgebung an.

Wie oben erwähnt, wissen wir, dass Change Management und operative Ausfallsicherheit nur ein Aspekt beim Schutz Ihrer geschäftskritischen Anwendungen sind. Wir bieten auch Bewertungen zur Audit-Effizienz an, um Ihnen dabei zu helfen, ressourcenintensive manuelle Audit-Prozesse zu eliminieren, sowie zur Cyber-Risiko-Bewertung, um Schwachstellen und Fehlkonfigurationen in Ihren SAP- und Oracle EBS-Anwendungen zu reduzieren.