Zuverlässige Präventionsmaßnahmen zur Datensicherheit

Absolutes Muss: ein vollständiger Disaster-Recovery-Plan

| Autor / Redakteur: Florian Malecki / Dr. Jürgen Ehneß

Naturkatastrophen wie der Hurrikan Harvey stellen auch für Unternehmen eine ernstzunehmende Bedrohung dar.
Naturkatastrophen wie der Hurrikan Harvey stellen auch für Unternehmen eine ernstzunehmende Bedrohung dar. (Bild: ©RobertCoy - stock.adobe.com)

Seit neun Jahren gibt es den „World Backup Day“, der Unternehmen und IT-Verantwortliche daran erinnern soll, sich für Notfälle zu rüsten. Doch leider wird die Notwendigkeit eines Disaster-Recovery-Plans nach wie vor von vielen ignoriert. Auch wenn ein zuverlässiges Backup durchaus kein Hexenwerk ist, beschäftigen sich die Unternehmen lieber mit ihrer strategischen Ausrichtung, anstatt Notfallkonzepte zu etablieren.

Diese Ignoranz kann Unternehmen teuer zu stehen kommen. In Zeiten des Klimawandels sollten sich die Verantwortlichen darüber im Klaren sein, dass auch ihr Unternehmen jederzeit von einer Naturkatastrophe betroffen sein kann. Böse Überraschungen wie etwa Stürme, Überschwemmungen oder Großfeuer haben stark zugenommen und werden immer unkalkulierbarer.

In einem Interview hat Russel Honoré, leitender Kommandant während des Einsatzes beim Wirbelsturm Katrina in den USA im Jahr 2005, eine ernüchternde Statistik zitiert. Demnach würden nach wie vor 40 Prozent der kleinen Unternehmen eine vergleichbare Katastrophe nicht überstehen, und zwar weil sie keine entsprechenden Präventionsmaßnahmen ergreifen und es an Bewusstsein für die Notwendigkeit der Vorsorge mangelt.

Dabei sind die Bedrohungen durch Naturkatastrophen laut einem UNO-Bericht gestiegen.

  • 2017 entfesselte der Hurrikan Harvey seine volle Wucht über Houston, und nur wenige Tage später suchte der Hurrikan Irma die Golfküste Floridas heim. Der Schaden, der durch diese beiden Stürme verursacht wurde, wird auf über 100 Milliarden US-Dollar geschätzt.
  • Der Hurrikan Maria verwüstete 2017 in Puerto Rico die zentrale Infrastruktur der Insel, sodass Millionen Menschen monatelang ohne Strom und Trinkwasser waren. Prognostizierter Schaden: zwischen 45 und 95 Milliarden US-Dollar.
  • Auch das Feuerinferno 2018 in Kalifornien hatte dramatische Folgen und verursachte neben den zerstörten Wäldern, Häusern und verlorenen Leben Kosten von über sechs Milliarden US-Dollar.

Dagegen wirken die Hochwasserkatastrophe 2013 in Deutschland und die Erdbeben 2018 in Italien zwar verhältnismäßig unspektakulär, aber nichtsdestotrotz sind es genau diese Ereignisse, die nicht nur Menschen, sondern auch Unternehmen ins Unglück stürzen. In den vergangenen 20 Jahren gehörte Deutschland sogar zu den Ländern mit sehr hohen Schadensbilanzen.

Angesichts dieser ernüchternden Fakten sollten Unternehmen Disaster Recovery und Business Continuity unbedingt als Eckpfeiler ihres Business betrachten. Es ist unerlässlich, dafür zu sorgen, dass ein Unternehmen für eine Krise gerüstet ist, damit es nach einer Attacke oder Naturkatastrophe schnellstmöglich wieder in Gang kommt. Deshalb muss sichergestellt sein, dass im Krisenfall alle unternehmenskritischen Daten und Systeme so schnell wie möglich wiederhergestellt werden können.

Was ist ein Disaster-Recovery-Plan, und was versteht man unter Disaster Recovery as a Service?

Ein Disaster-Recovery-Plan (DR-Plan) beschreibt die Technologie, den Prozess und das Verfahren zur Wiederherstellung kritischer IT-Geschäftsdaten. Ziel eines DR-Plans ist es, Ausfallzeiten von IT-Systemen im Notfall zu minimieren, damit ein Unternehmen so schnell wie möglich wieder geschäftsbereit ist.

Unternehmen sollten mit ihrem IT- oder Managed-Service-Provider-Team zusammenarbeiten, um einen DR-Plan zu erstellen, der die notwendigen Schritte zur Wiederherstellung von Netzwerken, Servern, Laptops/Desktops, Daten und Konnektivität auflistet.

  • Datenschutz: Kleine Unternehmen sollten gemeinsam mit ihrer IT-Abteilung oder ihrem Lösungsanbieter sicherstellen, dass Offsite-Backups erfolgreich ausgeführt werden – einschließlich Überwachungsdiensten und der Möglichkeit, eine VM (virtuelle Maschine) so schnell wie möglich aus der Cloud zu starten. Daher sollte der DR-Plan die Server mit den wertvollsten Daten identifizieren, denn deren Backup hat höchste Priorität.
  • Colocation von Servern: Colocation ist eine Möglichkeit, ein Backup der Server zu gewährleisten. Damit kann ein Unternehmen einen Serverplatz und andere Hardware an einem externen Ort mieten. Das ist besonders hilfreich für Unternehmen, deren Daten oder Anwendungen eng mit der Hardware verbunden sind. Der DR-Plan sollte den Standort und die Kontakte des Colocation-Anbieters aufzeigen und über Vorkehrungen für den Datenzugriff in Not- oder Krisenzeiten verfügen.
  • Robuste VPN-Lösung: Viele Naturkatastrophen machen es Mitarbeitern unmöglich, ihr Büro zu erreichen. In solchen Fällen können die Mitarbeiter jedoch von zu Hause aus mit einer zuverlässigen VPN-Verbindung weiterarbeiten. Daher gehört eine robuste VPN-Lösung zu den wichtigsten Diensten, die ein kleines Unternehmen unbedingt haben sollte. Bei der Erstellung eines DR-Plans muss deshalb festgehalten werden, wer im Notfall auf das VPN zugreifen darf.

Katastrophenschutzübungen

Während das Durchführen von Brandschutzübungen für viele Unternehmen selbstverständlich ist, beschäftigen sie sich nur selten mit der Umsetzbarkeit eines DR-Plans. Dabei ist ein DR-Plan von größter Bedeutung – einschließlich der Überprüfung der Wirksamkeit von Disaster- und Business-Recovery-Plänen.

Diese drei Schritte sollten deshalb in jedem Disaster-Recovery-Plan enthalten sein:

  • Überprüfung der Data-Disaster-Recovery-/Business-Continuity-Pläne: Ein guter erster Schritt ist die Durchführung einer sogenannten „Tabletop-Übung“ mit Vertretern der IT-Abteilung, des Lösungsanbieters, Abteilungsleitern und Kommunikationsteams. Hier geht es darum, Pläne, Prozesse und Verfahren zu überprüfen.
  • Testen der IT-Systeme & Infrastrukturen: Umsetzung eines Probelaufs zur Überprüfung der Leistung der wichtigsten Elemente der DR-Pläne. Es muss sichergestellt sein, dass alle Unternehmensdaten in regelmäßigen Abständen gesichert werden, damit nach einer Krise geschäftskritische Informationen verfügbar sind. Klassische Listen von Geräten, Anwendungen und anderen kritischen Systemen sind hilfreich, weil diese im Krisenfall voraussichtlich nicht funktionieren.
  • Upgrade/Fix Equipment/Anwendungen und mehr: Während einer Testsimulation lässt sich feststellen, welche Systeme nicht mit voller Kapazität arbeiten oder Abweichungen aufweisen. Es müssen effektive Mittel gefunden werden, die im Notfall einen Zugriff auf kritische Systeme ermöglichen. Dabei sollten das IT-Team und der Lösungsanbieter eng zusammenarbeiten, um die bestehende IT-Infrastruktur ausfallsicher zu gestalten.

Von der Notfallwiederherstellung bis zur Business Continuity

Ein Business-Continuity-Plan (BC-Plan) kann Teil eines DR-Plans sein. Es handelt sich aber eigentlich um eine Ergänzung des DR-Plans, denn er umfasst die Wiederherstellung des gesamten Betriebs und nicht nur der IT-Systeme.

Ein solider BC-Plan beinhaltet zudem eine Reihe von Grundsätzen für das Risikomanagement. Das bedeutet, dass alle möglichen Bedrohungen hinsichtlich des Wertes und der Erträge eines Unternehmens identifiziert werden müssen, damit im nächsten Schritt die Risiken minimiert werden können. Dazu zählen beispielsweise:

  • Namen der Notfallteams und Kontaktinformationen,
  • Listen mit geschäftskritischen Geräten,
  • Listen der Lieferanten,
  • Listen mit wichtigen Dokumenten und kritischen Geschäftsdokumenten,
  • Listen mit minimalen betrieblichen Anforderungen für die Wiederaufnahme des Geschäftsbetriebs,
  • Kommunikationspläne für wichtige Interessengruppen des Unternehmens, einschließlich Mitarbeiter, Vorstand, Kunden und mehr.

Florian Malecki.
Florian Malecki. (Bild: StorageCraft)

Man weiß nie, wie und wann eine Katastrophe eintritt, aber es ist unverzichtbar, im Vorfeld die größten Risiken einzuschätzen und sich auf das Schlimmste vorzubereiten.

Über den Autor

Florian Malecki, International Product Marketing Senior Director bei StorageCraft.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45989251 / Disaster-Recovery-Planung)