09 Okt. Business Continuity & Disaster Recovery – ein Leitfaden

In der Pharmaindustrie sind computergestützte Systeme wie ERP, MES, LIMS und EQMS entscheidend für Produktion, Qualitätskontrolle und Compliance. Der Ausfall solcher Systeme kann schwerwiegende Folgen haben – von Produktionsunterbrechungen bis hin zu regulatorischen Verstößen. Um dies zu verhindern, sind Business Continuity, Disaster Recovery und Backup & Restore essenziell. Doch was steckt hinter diesen einzelnen Begriffen und wie hängen sie zusammen?

1. Business Continuity (BC)

BC beschreibt Verfahren, die die Organisationen dabei unterstützen, bei Störungen zu reagieren, um den Betrieb wieder aufzunehmen und auf ein definiertes (Mindest-) Betriebsniveau während des Systemausfalls und der Wiederherstellung des Systems zurückzukehren. Katastrophenszenarien und BC-Vorkehrungen sollten sich nicht nur auf den Ausfall von Computersystemen beschränken. Zu den Überlegungen gehören z.B. auch der Verlust der IT Infrastruktur oder Cyberangriffe [GAMP5 Second Edition].

BC sichert die Fortführung kritischer Geschäftsprozesse, wenn und solange ein computergestütztes System ausgefallen ist, bzw. noch nicht vollständig wiederhergestellt wurde. In der Pharmaindustrie bedeutet das, dass Vorkehrungen getroffen werden sollen, um die fortlaufende Unterstützung kritischer Geschäftsprozesse sicherzustellen (z.B. durch manuelle Prozesse oder ein alternatives System) [EU GMP Annex 11, 16].

2. Disaster Recovery (DR)

DR ist der Plan und Prozess, der auf die Wiederherstellung von IT-Systemen nach einem schwerwiegenden Vorfall, wie einem Serverausfall oder einer Naturkatastrophe, abzielt.

Ein Disaster Recovery Plan für computergestützte Systeme definiert die notwendigen Schritte, um den Betrieb der Systeme wiederherzustellen und sollte darauf ausgerichtet sein, den Schaden durch eine Katastrophe, z.B. durch schnelles Einleiten bestimmter Maßnahmen, möglichst gering zu halten [GAMP5 Second Edition].

• Recovery Time Objective (RTO): Die maximale Zeitspanne, die ein System ausfallen darf, bevor es wieder einsatzbereit sein muss.
• Recovery Point Objective (RPO): Das maximale Datenvolumen, das zwischen dem letzten Backup und einem Systemausfall verloren gehen darf.

Für die Pharmaindustrie ist es entscheidend, dass alle Systeme, die Einfluss auf die Produktqualität und -sicherheit haben, eine möglichst geringe RTO und RPO aufweisen. Dies kann durch Cloud-basierte Lösungen, häufige und schnelle Replikationen und Redundanzen sichergestellt werden.

3. Backup & Restore

Backup & Restore ist der technische Prozess zur Sicherung und Wiederherstellung von Daten, die in den computergestützten Systemen verwendet werden. In der Pharmaindustrie sind Backups von Produktionsdaten und regulatorischen Aufzeichnungen entscheidend, da der Verlust solcher Daten schwerwiegende rechtliche und sicherheitsrelevante Folgen haben kann.

Ein Backup-System für computergestützte Systeme in der Pharmaindustrie sollte sicherstellen, dass:

• regelmäßige und automatisierte Backups aller maßgeblichen Daten erstellt werden [EU GMP Annex 11, 16]
• Datenintegrität und Sicherheit gewährleistet sind, um zu verhindern, dass kritische GxP-Daten verloren gehen oder verändert werden.
• Backups getrennt vom primären Daten-Aufbewahrungsstandort gesichert werden (z.B. Cloud-basierte Backups oder externe Rechenzentren), um auch im Katastrophenfall auf Daten für die Wiederherstellung zurückgreifen zu können [GAMP5 Second Edition].

Neben dem  Backup- sollte insbesondere auch der Restore-Prozess klar definiert sein, während der Validierung geprüft und regelmäßig überwacht werden [EU GMP Annex 11, 16], um sicherzustellen, dass er im Ernstfall schnell und effizient abläuft. Besonders in der Pharmaindustrie, wo Datenintegrität ein wesentliches regulatorisches Erfordernis ist, muss das Wiederherstellen von Daten auditierbar und rückverfolgbar sein.

Wie hängen Business Continuity, Disaster Recovery und Backup & Restore zusammen?

Diese drei Elemente sind untrennbar miteinander verbunden, um kritische Prozesse aufrecht zu erhalten sowie die Verfügbarkeit und Integrität computergestützter Systeme in der Pharmaindustrie zu gewährleisten:

Business Continuity ist der übergeordnete Plan, der festlegt, wie der Betrieb der Systeme bei einem Ausfall weitergeführt und wiederhergestellt werden kann. Disaster Recovery und Backup & Restore sind spezifische Komponenten dieses Plans. DR beschäftigt sich mit der Wiederherstellung von Computersystemen zu einem bekannten Punkt (RPO) innerhalb einer vereinbarten Zeit (RTO). Backup & Restore stellt sicher, dass die maßgeblichen Daten im Falle eines Verlusts oder einer Beschädigung gesichert und wiederhergestellt werden können. Diese Backups sind die Grundlage für den Disaster Recovery-Prozess.

Gemeinsam sorgen Business Continuity, Disaster Recovery und Backup & Restore dafür, dass computergestützte Systeme auch in Krisenzeiten sicher, verfügbar und „compliant“ bleiben. Insbesondere in der Pharmaindustrie ist das kontinuierliche Zusammenwirken dieser Prozesse von entscheidender Bedeutung für die Einhaltung regulatorischer Anforderungen wie Datenintegrität, die Aufrechterhaltung des Produktionsprozesses und damit die Sicherstellung der Patientenversorgung, sowie letztendlich der Patientensicherheit.

Autorin: Dr. Anna Sternberg