Praktisch jedes Unternehmen und jede Organisation ist heutzutage auf das problemlose Funktionieren der IT angewiesen. Alle gehen heutzutage wie selbstverständlich davon aus, dass das Telefon und der Internetanschluss funktionieren und die digitalen Daten wie gewohnt zur Verfügung stehen. Doch was genau tun Sie, wenn das nicht der Fall ist und wenn Sie vor einem IT-Desaster stehen, weil nichts mehr läuft? Wie viel Zeit vergeht, bis der Strom oder die Daten wiederhergestellt sind und die Produktions- oder die Geschäftsprozesse insgesamt wieder laufen? Haben Sie aktuelle Daten in einer Datensicherung verfügbar, auf die Sie im Ernstfall zugreifen können? Mit genau diesen und weiteren Fragen und Planungen beschäftigt sich die sogenannte Disaster Recovery.
Was ist Disaster Recovery?
Disaster Recovery bezeichnet den Prozess, der dafür sorgen soll, dass die IT-Infrastruktur einer Organisation nach einem schwerwiegenden Ausfall oder einer Katastrophe wie beispielsweise einem Stromausfall, einem Cyberangriff mit Erpressertrojaner, einem Brand oder einer Überschwemmung wiederhergestellt wird. Disaster Recovery steht daher etwas freier übersetzt für die Datenrettung bzw. die Datenwiederherstellung.
Das Disaster Recovery umfasst in der Regel die Erstellung und Umsetzung eines Disaster Recovery Plans zur Datenwiederherstellung, zur Notstromversorgung, zur Sicherung von Backups sowie zur Wiederherstellung von Anwendungen und Systemen. Zum Disaster Recovery gehört selbstverständlich auch ein entsprechender Test für die Überprüfung des Disaster Recovery Plans.
Disaster Recovery Plan / Notfallwiederherstellungsplan
Ein Disaster Recovery Plan ist ein umfassender IT-Notfallplan, der von bzw. in Unternehmen und Organisationen erstellt wird, um sich auf den Umgang mit schwerwiegenden Vorfällen und Notfällen (Datenverlust, Unterbrechung von Geschäftsprozessen, etc.) vorzubereiten. Der Disaster Recovery Plan soll sicherstellen, dass die Organisation im Katastrophenfall schnell die wichtigsten Geschäftsprozesse wiederherstellen bzw. aufrechterhalten kann. Der Disaster Recovery Plan steht in der Regel auch im engen Zusammenhang mit einem Business-Continuity-Plan, der als Plan die Aufrechterhaltung sämtlicher wichtigen und kritischen Geschäftsprozesse einer Organisation umfasst. Beide Pläne sind äußerst wichtig, um im Ernstfall den Daten-, Zeit-, Geld- und Reputationsverlust in Grenzen zu halten.
Es gibt verschiedene Kennwerte im Bereich Disaster Recovery. Hierzu gehören der Kennwert RTO – Recovery Time Objective, der die maximal tolerierbare Länge des Ausfallszeitraums beschreibt. Der Kennwert RPO – Recovery Point Objective beschreibt den maximalen Datenverlust, den eine Organisation im Störfall verkraften kann. Der Kennwert RTA – Recovery Time Actual beschreibt die tatsächliche Wiederherstellungszeit.
Bevor ein Disaster Recovery Plan erstellt wird, sollten zunächst eine Risikoanalyse zur Identifikation von Schwachstellen und Bedrohungen sowie eine Identifikation der Störereignisse erfolgen. Diese bilden die Grundlage für die Erarbeitung des Plans. Prüfen Sie dabei auch, ob es bereits ungeplante Ausfälle gegeben hat und dokumentieren Sie, wie darauf reagiert wurde. Stellen Sie relevante Dokumente zur Netzwerkinfrastruktur zusammen.
Was gehört in einen Disaster Recovery Plan?
Ein Notfallplan hängt selbstverständlich immer von den jeweiligen Gegebenheiten der Organisation ab. Anforderungen und Vorschriften können sich je nach Unternehmen und Branche stark unterscheiden. Daher gibt es nicht den einen allgemeingültigen Plan für alle. Generell sollte der Plan darauf ausgelegt sein, dass das Unternehmen so schnell wie möglich wieder den Normalbetrieb aufnehmen kann.
Wichtige Inhalte des Disaster Recovery Plans:
Zielfestlegung
Legen Sie Ziele dafür fest, wie lange die Wiederherstellung der Systeme dauern darf, in welchem Umfang Daten wiederhergestellt sein müssen, welche Inkonsistenzen bei den Daten Sie tolerieren können usw. 
Beschreibung des IST-Zustands
Im Plan sollte sich eine aktuelle Beschreibung des IST-Zustandes einschließlich aller kritischen IT-Systeme und Netzwerke befinden. Die Beschreibung sollte zudem den Wiederherstellungsstandort und die Standorte und Arten der Datensicherungen umfassen.
Priorisierung von Anwendungen
Nicht jeder Geschäftsprozess und jedes IT-System ist gleich wichtig für Ihre Organisation. Klassifizieren Sie Ihre Anwendungen und Systeme. Legen Sie die Anwendungen fest, die geschäftskritisch und somit unentbehrlich sind. Unterscheiden Sie weiterhin in Anwendungen, die zwar wichtig sind, aber auf die Sie in einem gewissen Zeitraum verzichten können und solche Anwendungen, die Sie gegebenenfalls auch manuell ausführen können oder auf die Sie längerfristiger verzichten können.
Kommunikationsstrategien inkl. Tipps zum Umgang mit Medien
Legen Sie Kommunikationsstrategien für den Notfall fest. Berücksichtigen Sie dabei, falls notwendig, auch den Umgang mit Medien. - Verfahren und Maßnahmen zur Wiederherstellung inkl. Zuständigkeiten und Ansprechpartner
Der Plan sollte eine möglichst detaillierte Aufstellung und Beschreibung der einzelnen Schritte umfassen, die bei einem Vorfall ausgeführt werden sollen. In diesem Beschreibungsumfang sollten auch die hierfür notwendigen Hinweise auf die Verwendung von technischen Geräten bzw. Software und Systeme vorhanden sein. Führen Sie im Plan auch die jeweiligen Zuständigkeiten und Ansprechpartner auf und benennen Sie auch Vertreter.
Schulungen, Trainings
Versichern Sie sich, dass alle Mitarbeiter über den Notfallplan informiert sind und wissen, wie sie sich verhalten sollen. Schulen Sie Mitarbeiter regelmäßig.
Tests, Überprüfungen, Aktualisierungen
Der Plan sollte in regelmäßigen Abständen getestet und aktualisiert werden. So kann sichergestellt werden, dass der Plan im Ernstfall auch funktioniert und erfolgreich umgesetzt werden kann.
Disaster Recovery as a Service (DRaaS)
Disaster Recovery kann sowohl lokal verwaltet werden als auch als Disaster Recovery as a Service (DRaaS) genutzt werden. Für das DRaaS vereinbaren Sie mit dem Anbieter in einer Service-Level-Vereinbarung (SLA) die RTOs und RPOs für die maximalen Ausfallzeiten und die Erwartungen an den Grad der Wiederherstellung der Anwendungen.
In der Regel bieten DRaaS Anbieter cloudbasierte Failover-Umgebungen an. Der Anbieter übernimmt die Verantwortung für die entsprechende Konfiguration und Wartung der Failover Umgebung. Sie zahlen eine Gebühr für die Aufrechterhaltung der Failover-Funktionen sowie die Ressourcennutzungskosten im eingetretenen Notfall.
Die Angebote der Dienstleistungen können von Anbieter zu Anbieter unterschiedlich ausfallen. Manche bieten einen Rund-um-Service, andere einzelne Services wie beispielsweise die Wiederherstellung von bestimmten Anwendungen. Manche Anbieter inkludieren Planung und Tests in ihre Gebühr, andere verlangen für die Angebote eine zusätzliche Gebühr.
Achten Sie darauf, dass der Anbieter alle in Ihrer Organisation eingesetzten Softwareanwendungen unterstützt. Stellen Sie sicher, dass die Anwendungsleistung in der Failover-Umgebung ausreichend ist und die Failover- und Failback-Verfahren ebenfalls ausreichend getestet werden.
Notiz zu Kosten
So verschieden wie die Bedrohungen und der Umfang des Disaster Recovery Plans können die Kosten für das Disaster Recovery ausfallen. Analyse und Planung müssen ebenso berücksichtigt werden, wie beispielsweise die notwendigen Kosten für die Technologie und die Personalkosten bzw. die Schulungskosten. Insgesamt können daher die Kosten für Disaster Recovery Dienstleistungen von einigen tausend Euro bis hin zu mehreren hunderttausend Euro reichen. Im Vergleich zu einem entstandenen Schaden und unter Umständen dem kompletten Ausfall der Produktion, komplett verlorener Daten sowie dem Imageverlust sind diese Kosten eher gering.
