Disaster Recovery Plan – Warum jedes Unternehmen einen Katastrophenplan braucht

Naturkatastrophen, Cyberattacken, Feuer: Die Gefahren, dass Ihre IT-Dienste oder Daten gestört oder gar zerstört werden, sind vielfältig. Daher ist es essentiell, dass Sie und Ihr Unternehmen einen Plan zur Disaster Recovery haben. Aber was gehört zu einem Disaster-Recovery-Plan dazu, welche Szenarien müssen Sie berücksichtigen und was ist DRaaS?

Was ist Disaster Recovery?

Unter Disaster Recovery (DR) versteht man unterschiedliche Maßnahmen, mit denen sich Unternehmen von einem Katastrophenfall wieder erholen und ihre Daten, kritischen Systeme und IT-Infrastruktur wiederherstellen oder retten können. Im Deutschen wird auch oft von Notfall- oder Katastrophenwiederherstellung gesprochen. Ziel von Disaster Recovery ist die schnellstmögliche Wiederherstellung der Betriebsfähigkeit nach einem unvorhersehbaren Vorfall.

Ein Disaster-Recovery-Plan ist nicht mit Business Continuity Planning (BCP) gleichzusetzen. Zwar haben beide das Ziel, im Katastrophenfall Geschäftsabläufe schnell wiederherzustellen. BCP ist jedoch umfassender als DR. Während bei Disaster Recovery vor allem die Wiederherstellung von IT-Lösungen im Mittelpunkt steht, beschäftigt sich Business Continuity mit der Aufrechterhaltung kritischer Geschäftsabläufe. Dort legen Sie technischen Maßnahmen fest wie Bereitstellung von Ersatzhardware – zum Beispiel Server – oder Datensicherung.

Was ist ein Disaster-Recovery-Plan?

Welche Maßnahmen Sie im Falle eines Strukturausfalls ergreifen müssen, legen Sie in einem Disaster-Recovery-Plan (DRP) fest – er ist Ihr IT-Notfallplan. Das Dokument enthält konkrete Handlungsanweisen, um gelöschte oder verlorene Daten wiederherzustellen, Kontaktinformationen, Zuständigkeiten und Lizenzinformationen. Der DRP gibt Ihnen eine Schritt-für-Schritt-Anleitung, wie Sie in einem Störfall richtig reagieren und die Ausfallzeiten für Ihr Unternehmen auf ein Minimum beschränken.

Wichtig ist, dass solch ein IT-Notfallplan auch beinhaltet, wen Sie wann bei einem Vorfall über die Störung informieren, welche Eskalationsstufen Ihnen zur Verfügung stehen und bei wem die Verantwortlichkeiten im Falle einer Katastrophe liegen.

Folgende Punkte muss Ihr DRP enthalten:

  • Richtlinienerklärung und Ziel des Plans
  • Kontaktinformationen von Verantwortlichen und eines Notfallteams samt Vertretung
  • Mögliche Schwachstellen und Bedrohungen
  • Informationen, welche Systeme und Netzwerke kritisch sind
  • Wiederherstellungsstandort
  • Recovery Point Objective und Recovery Time Objective
  • Zu ergreifende Maßnahmen mit Startzeitpunkt und detaillierte Beschreibung sämtlicher Schritte
  • Informationen über den Umgang mit den Medien und Klärung von juristischen und finanziellen Fragen im Katastrophenfall
  • Versicherungsbedingungen

Da Naturkatastrophen oder Cyberangriffe jedes Unternehmen oder Rechenzentrum treffen können, ist ein guter Disaster-Recovery-Plan für jedes Unternehmen ein wichtiger Bestandsteil. Existiert solch ein Notfallplan nicht und können geschäftskritische IT-Systeme nach einem Vorfall nicht schnell wiederhergestellt werden, drohen finanzielle Schäden und ein Rufverlust.

Welche Szenarien sollten Sie in einem DRP berücksichtigen?

Ihr Disaster Recovery Plan sollten alle möglichen Katastrophenfälle für Unternehmen und Rechenzentrum abdecken, die potentiell eintreten können – ganz gleich, für wie unwahrscheinlich Sie ein bestimmtes Szenario halten. Hier gilt das Motto: Better safe than sorry. Neben Software- und Hardware-Fehler sollte Ihr DRP Cyberangriffe, Anwender- sowie Kommunikationsfehler, Stromausfälle und Feuer umfassen. Vergessen Sie auch nicht, Naturkatastrophen zu berücksichtigen. Dazu zählen Überschwemmungen, Erdbeben, Vulkanausbrüche, Tsunamis, Tornados und Stürme, die Ihre geschäftskritische Infrastruktur und Ihr Netzwerk gefährden können.

Wie wird ein DRP erstellt?

Aufgrund seiner großen Bedeutung für Unternehmen muss ein Disaster Recovery Plan gründlich erstellt werden und stets griffbereit sein, damit im Störungsfall schnell reagiert werden kann. Beginnen Sie mit einer Vorabanalyse, um kritische Dienste und Systeme sowie sämtliche Ausfallszenarien zu identifizieren. Definieren Sie auch die Hauptziele des Plans – wie die schnelle Wiederaufnahme des Betriebs oder Wiederherstellung kritischer Daten. Dafür bestimmen Sie das Recovery Point Objective (RPO), das Recovery Time Objective (RTO), die Working Recovery Time (WRT), die Maximum Tolerable Downtime (MTD) und die Recovery Time Actual (RTA).

Das RPO umfasst, einfach gesagt, die Zeit zwischen zwei Backups und wie viel Datenverlust für ein Unternehmen noch akzeptabel ist. Je kritischer die Daten für den reibungslosen Betriebsablauf sind, desto geringer sollte die Zeit zwischen zwei Backups liegen. CRM-Daten beispielsweise sollten bei Geschäftstransaktionen mindestens stündlich gesichert werden.

Teilkritische Bereiche benötigen nur alle vier Stunden ein neues Backup. Bereiche, die mit weniger wichtigen Daten arbeiten, kommen mit einem maximal 24-stündigen Backup aus. Im Disaster Recovery Plan legen Sie fest, welche Geschäftsbereiche kritisch, teilkritisch und nicht kritisch sind.

In Kombination mit dem RPO ist das RTO von großer Bedeutung. In diesem legen Sie fest, wie lange die Ausfallzeit von Systemen und Diensten betragen darf. Es ist also die Zeit zwischen Ausfall und vollständiger Wiederherstellung von geschäftskritischen Prozesse. Definieren Sie auch für das RTO kritische, teilkritische sowie nicht kritische Bereiche und die maximale Ausfallzeit.

Mit der WRT legen Sie die maximal tolerierbare Zeitspanne für die Überprüfung der System- und Datenintegrität fest – sozusagen die Wiederherstellungszeit. Während dieser Zeit überprüfen Anwendungs- und Datenbankadministratoren, ob geschäftskritische Anwendungen und Dienste wieder problemlos funktionieren. Anschließend kann der Betrieb Ihrer Server und Geschäftsabläufe wieder aufgenommen werden.

Die MTD ist die Summe aus RTO sowie WRT und gibt die Gesamtzeit an, wie lange ein Geschäftsprozess unterbrochen sein kann, ohne gravierende Folgen nach sich zu ziehen. CTO, CIO oder IT-Manager legen fest, wie lange die MTD betragen darf.

Wie hoch die Wiederherstellungszeit der Prozesse wirklich ist, gibt die RTA an und dient als Messgröße für Tests Ihrer Disaster Recovery. Anhand des Wertes können Sie beurteilen, ob die Wiederherstellungszeit ein Erfolg oder ein Misserfolg war. Im Idealfall ist die RTA identisch mit der RTO.

Damit bei einem Katastrophenfall RPO, RTO, WRT, MTD und RTA eingehalten werden, müssen Sie in Ihrem Disaster-Recovery-Plan Anwendungen und Systeme priorisieren, damit sich Ihre Mitarbeiter zunächst den wichtigsten Prozessen widmen können. Dafür muss der Plan auch klar definieren, wer die Verantwortung im Ernstfall trägt, die Entscheidungen trifft und für Fragen bereitsteht. Legen Sie ein Notfallteam inklusive Vertretung fest und schreiben Sie die Kontaktinformationen in den Plan. Vergessen Sie auch nicht, einen Ansprechpartner für Medien und Behörden festzulegen, damit eine klare und schnelle Kommunikation im Störungsfall möglich ist.

Identifizieren und implementieren Sie anschließend die Strategie für Ihre Disaster Recovery und führen Sie regelmäßige Tests Ihrer Infrastruktur durch, damit im Ernstfall jeder weiß, was er zu tun hat. Überprüfen Sie Ihren DRP auch regelmäßig, ob dieser noch aktuell ist und Ihr Netzwerk sowie Ihre Ressourcen ausreichend vor ungeplanten Ereignissen schützen kann. Passen Sie ihn an, wenn es nötig ist.

Was beinhaltet der DRP?

Aus Ihrem Disaster-Recovery-Plan muss klar ersichtlich sein, welche Ziele Sie damit verfolgen und nach welchen Richtlinien bei einem Störungsfall gehandelt werden muss. Wie bereits beschrieben, muss Ihr DRP auch die Kontakte sowie deren Rolle im Notfall enthalten. Dies beginnt damit, wer sofort über den Ausfall bei einem unvorhergesehenen Ereignis informiert werden muss und welcher Benachrichtungsprozess in Gang gesetzt wird – beispielsweise wann werden welchen Teams benachrichtigt, wann müssen Behörden und Medien informiert werden.

Damit die Notfallteams schnell die Arbeit aufnehmen können, benötigen Sie alle relevanten Zugänge und Dokumente. Schreiben Sie in den Plan, wo diese Daten liegen, wie die Teams auf sie zugreifen können oder an wen Sie sich für dafür wenden können. Außerdem muss schnell aus dem Plan ersichtlich sein, welche Maßnahmen bei welchen Szenarien ergriffen werden müssen – mögliche Schwachstellen und Bedrohungen müssen genauso im Plan festgehalten werden wie eine detaillierte Anleitung, welche Maßnahmen vorgenommen werden sollen und welche Systeme Priorität haben. Führen Sie auch Prozesse auf, um eine Datensicherung zu ermöglichen und Auswirkungen eines Datenverlustes zu reduzieren.

Gerade ein Datenverlust kann zu schwerwiegenden Störungen von Geschäftsprozessen führen. Aus diesem Grund muss Ihr DRP den Standort von Backups enthalten, damit eine Notfallwiederherstellung schnellstmöglich in Gang gesetzt werden kann. Vergessen Sie auch nicht, die Versicherungsbedingungen im Disaster Recovery Plan aufzunehmen, um eine schnelle Schadensabwicklung zu ermöglichen.

Disaster Recovery as a Service (DRaaS)

Während große Konzerne selbst Disaster Recovery durchführen können, ist für kleine und mittelständische Unternehmen der Prozess personell wie finanziell häufig nicht zu stemmen. Abhilfe schafft Disaster Recovery as a Service. Der Dienst basiert dabei auf Cloud-basierte Lösungen wie IBM Cloud Backup. Sie erhalten damit ein voll ausgestattetes, automatisiertes, agentenbasiertes System für Sicherung und Wiederherstellung, das über das Cloud-Backup WebCC-Browserdienstprogramm verwaltet wird. Dabei sparen Sie sich die Kosten einer eigenen Infrastruktur für Ihre kritischen IT-Systeme und mindern zugleich das Risiko von Ausfallzeiten und steigern den Schutz von sensiblen Daten.

Mit dem IBM Cloud Backup können Sie die Sicherung Ihrer Daten oder ganzer Systeme individuell planen und in mehreren Einrichtungen speichern. Im Ernstfall stellen Sie Backups von einer virtuellen Serverinstanz, von einem PC oder von einem Bare-Metal-Image wieder her. Dies geschieht immer mit einer Front-End-Verschlüsselung mit NIST 256-Bit Advanced Encryption Standard und einer Verschlüsselung von Daten während der Übertragung mit SSL-Authentifizierung und Verschlüsselung ruhender Daten in ISO-zertifizierten, mit SSAE 16 konformen Rechenzentrum.

 

Sie wollen ein Disaster Recovery System als Wettbewerbsvorteil für Ihr Unternehmen nutzen oder haben noch Fragen zu unseren Produkten? Dann wenden Sie sich für eine umfassende Beratung an einen unserer Experten. Wir freuen uns auf Sie.

Jetzt Termin buchen & Experten fragen