So entwickeln Sie eine erfolgreiche Disaster-Recovery-Strategie

19. Januar 2024

Lesedauer: 6 Minuten

Ob Ihre Branche nun mit Herausforderungen durch geopolitische Konflikte, den Folgen einer globalen Pandemie oder zunehmender Aggression im Bereich der Cybersicherheit konfrontiert ist – die Bedrohungsvektoren für moderne Unternehmen sind zweifellos sehr stark. Disaster-Recovery-Strategien bieten das Framework für Teammitglieder, um ein Unternehmen nach einem ungeplanten Ereignis wieder zum Laufen zu bringen.

Weltweit nimmt die Beliebtheit von Disaster Recovery-Strategien verständlicherweise zu. Im vergangenen Jahr gaben Unternehmen 219 Milliarden USD für Cybersicherheit und Sicherheitslösungen aus, was einem aktuellen Bericht der International Data Corporation (IDC) (Link befindet sich außerhalb von ibm.com) zufolge einem Anstieg von 12 % gegenüber 2022 entspricht.

Eine Disaster-Recovery-Strategie legt fest, wie Ihr Unternehmen auf eine Reihe ungeplanter Vorfälle reagieren wird. Starke Disaster-Recovery-Strategien bestehen aus Plänen zur Notfallwiederherstellung (Disaster Recovery Plans, DR-Pläne), Geschäftskontinuitätsplänen (Business Continuity Plans, BCPs) und Notfallplänen (Incident Response Plans, IRPs). Zusammen tragen diese Dokumente dazu bei, dass Unternehmen auf eine Vielzahl von Bedrohungen vorbereitet sind, darunter Stromausfälle, Ransomware- und Malware -Angriffe, Naturkatastrophen und vieles mehr.

Was ist ein Notfallwiederherstellungsplan?

Disaster-Recovery-Pläne (DRPs) sind detaillierte Dokumente, die beschreiben, wie Unternehmen auf verschiedene Arten von Katastrophen reagieren. In der Regel bauen Unternehmen DRPs entweder selbst auf oder lagern ihren Disaster-Recovery-Prozess an einen externen DRP-Anbieter aus. Neben Plänen zur Aufrechterhaltung der Geschäftskontinuität (Business Continuity Plans, BCPs) und Notfallplänen (Incident Response Plans, IRPs) spielen DRPs eine entscheidende Rolle für die Wirksamkeit der Strategie zur Wiederherstellung nach einem Katastrophenfall.

Was sind Geschäftskontinuitätspläne und Notfallpläne?

Wie DRPs sind auch BCPs und IRPs Teile einer umfassenderen Disaster-Recovery-Strategie, auf die sich ein Unternehmen verlassen kann, um im Katastrophenfall den normalen Betrieb wiederherzustellen. BCPs werfen in der Regel einen breiteren Blick auf Bedrohungen und Lösungsoptionen als DRPs und konzentrieren sich auf das, was ein Unternehmen zur Wiederherstellung der Konnektivität benötigt. IRPs sind eine Art von DRP, die sich ausschließlich auf Cyberangriffe und Bedrohungen von IT-Systemen konzentrieren. IRPs beschreiben klar und deutlich die Echtzeit-Notfallreaktion eines Unternehmens von dem Moment an, in dem eine Bedrohung entdeckt wird, bis hin zu deren Eindämmung und Lösung. 

Warum es wichtig ist, eine Disaster-Recovery-Strategie zu haben

Katastrophen können sich auf unterschiedliche Weise auf Unternehmen auswirken und alle Arten von komplexen Problemen verursachen. Von einem Erdbeben, das die physische Infrastruktur und die Sicherheit der Mitarbeiter beeinträchtigt, bis hin zu einem Ausfall von Cloud-Services, der den Zugriff auf sensible Datenspeicher und Kundenservices blockiert – eine solide Strategie zur Notfallwiederherstellung hilft Unternehmen, sich schnell zu erholen. Hier sind einige der größten Vorteile des Aufbaus einer starken Disaster-Recovery-Strategie:

  • Aufrechterhaltung der Geschäftskontinuität: Geschäftskontinuität und Business Continuity Disaster Recovery (BCDR) sorgen dafür, dass Unternehmen nach einem ungeplanten Ereignis zum normalen Betrieb zurückkehren, und bieten Datenschutz, Datensicherung und andere kritische Services.
  • Senkung der Kosten: Laut IBMs aktuellem Bericht „Cost of Data Breach“ beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2023 auf 4,45 Millionen USD – ein Anstieg von 15 % in den letzten drei Jahren. Unternehmen, die keine Strategien zur Notfallwiederherstellung haben, riskieren Kosten und Strafen, die die Einsparungen durch den Verzicht auf Investitionen in eine solche Lösung bei Weitem übersteigen könnten.
  • Weniger Ausfallzeiten: Moderne Unternehmen sind auf komplexe Technologien wie cloudbasierte Infrastrukturlösungen und Mobilfunknetze angewiesen. Wenn ein ungeplanter Vorfall den Geschäftsbetrieb stört, kann dies Millionen kosten. Darüber hinaus können die hohe Aufmerksamkeit, die Cyberangriffen zuteil wird, lange Ausfallzeiten oder durch menschliches Versagen verursachte Unterbrechungen dazu führen, dass Kunden und Investoren das Weite suchen.
  • Aufrechterhaltung der Compliance: Unternehmen, die in stark regulierten Sektoren wie dem Gesundheitswesen und der Finanzbranche tätig sind, müssen aufgrund der kritischen Natur der von ihnen verwalteten Daten mit hohen Geldbußen und Strafen für Datenschutzverletzungen rechnen. Eine starke Strategie zur Notfallwiederherstellung hilft dabei, die Reaktions- und Wiederherstellungsprozesse nach einem ungeplanten Vorfall zu verkürzen, was in Sektoren, in denen die Höhe der Geldstrafe oft an die Dauer des Verstoßes gekoppelt ist, von entscheidender Bedeutung ist.

Funktionsweise von Strategien zur Notfallwiederherstellung

Die stärksten Notfallwiederherstellungsstrategien bereiten Unternehmen auf eine Vielzahl von Bedrohungen vor. Ein solides Konzept für die Wiederherstellung des Normalbetriebs kann dazu beitragen, das Vertrauen von Investoren und Kunden zu stärken und die Wahrscheinlichkeit zu erhöhen, dass Sie sich von allen Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, erholen. Bevor wir uns mit den eigentlichen Komponenten von Strategien zur Notfallwiederherstellung befassen, wollen wir uns einige Schlüsselbegriffe ansehen.

  • Failover/Failback: Failover ist ein weit verbreitetes Verfahren in der IT-Notfallwiederherstellung, bei dem Vorgänge auf ein sekundäres System verlagert werden, wenn ein primäres System aufgrund eines Stromausfalls, eines Cyberangriffs oder einer anderen Bedrohung ausfällt. Failback ist der Prozess der Rückkehr zum ursprünglichen System, sobald die normalen Prozesse wiederhergestellt sind. Beispielsweise könnte ein Unternehmen ein Failover von seinem Rechenzentrum auf einen sekundären Standort durchführen, wo sofort ein redundantes System einspringt. Bei ordnungsgemäßer Ausführung kann Failover/Failback ein nahtloses Erlebnis schaffen, bei dem ein Benutzer/Kunde nicht einmal bemerkt, dass er auf ein sekundäres System umgeleitet wird.
  • Recovery Time Objective (RTO): RTO bezeichnet die Zeit, die benötigt wird, um Geschäftsprozesse nach einem ungeplanten Vorfall wiederherzustellen. Die Einrichtung einer angemessenen RTO ist eine der ersten Maßnahmen, die Unternehmen ergreifen müssen, wenn sie eine Disaster-Recovery-Strategie entwickeln.
  • Recovery Point Objective (RPO): Das RPO Ihres Unternehmens ist die Datenmenge, die im Falle eines Notfalls verloren gehen darf, damit eine Wiederherstellung noch möglich ist Einige Unternehmen kopieren ständig Daten in ein Remote-Rechenzentrum, um die Kontinuität zu gewährleisten. Andere legen eine tolerierbare RPO von wenigen Minuten (oder sogar Stunden) fest und wissen, dass sie alles, was in dieser Zeit verloren gegangen ist, wiederherstellen können.
  • Disaster Recovery-as-a-Service (DRaaS): DRaaS ist ein Ansatz zur Notfallwiederherstellung, der aufgrund des wachsenden Bewusstseins für die Bedeutung der Datensicherheit immer beliebter wird. Unternehmen, die einen DRaaS-Ansatz für die Notfallwiederherstellung verfolgen, lagern ihre Notfallwiederherstellungspläne (Disaster Recovery Plans, DRPs) im Wesentlichen an einen Drittanbieter aus. Diese Drittpartei hostet und verwaltet die für die Wiederherstellung erforderliche Infrastruktur, erstellt und verwaltet dann Reaktionspläne und sorgt für eine rasche Wiederaufnahme geschäftskritischer Abläufe. Laut einem aktuellen Bericht von Global Market Insights (GMI) (Link befindet sich außerhalb von ibm.com) belief sich die Marktgröße für DRaaS im Jahr 2022 auf 11,5 Milliarden USD und sollte in den kommenden Jahren um 22 % wachsen.

Fünf Schritte zur Entwicklung einer starken Disaster-Recovery-Strategie

Die Planung der Notfallwiederherstellung (Disaster Recovery Planning, DRP) beginnt mit einer gründlichen Analyse Ihrer wichtigsten Geschäftsprozesse — bekannt als Business Impact Analysis (BIA) und Risk Assessment (RA). Obwohl jedes Unternehmen anders ist und individuelle Anforderungen hat, gibt es mehrere Schritte, die Sie unabhängig von Ihrer Größe oder Branche ergreifen können, um eine effektive Notfallwiederherstellungsplanung sicherzustellen.

Schritt 1: Durchführung einer Analyse der Auswirkungen auf das Geschäft

Eine Business-Impact-Analyse (BIA) ist eine sorgfältige Bewertung aller Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, sowie der möglichen Folgen. Eine starke BIA untersucht, wie sich Bedrohungen auf den täglichen Betrieb, die Kommunikationskanäle, die Sicherheit der Mitarbeiter und andere kritische Bereiche Ihres Unternehmens auswirken könnten. Zu den Beispielen für einige Faktoren, die bei der Durchführung einer BIA zu berücksichtigen sind, gehören Einnahmeverluste, Dauer und Kosten von Ausfallzeiten, Kosten für die Wiederherstellung des guten Rufs (Öffentlichkeitsarbeit), kurz- und langfristiger Verlust des Kunden- oder Investorenvertrauens sowie etwaige Strafen, die aufgrund von Compliance-Verstößen, die durch eine Unterbrechung verursacht wurden, verhängt werden könnten.

Schritt 2: Durchführung einer Risikoanalyse

Die Bedrohungen variieren stark je nach Branche und Art Ihres Unternehmens. Die Durchführung einer soliden Risikoanalyse (RA) ist ein entscheidender Schritt bei der Ausarbeitung Ihrer Strategie. Sie können jede potenzielle Bedrohung einzeln bewerten, indem Sie zwei Dinge berücksichtigen: die Wahrscheinlichkeit ihres Eintretens und ihre potenziellen Auswirkungen auf den Geschäftsbetrieb. Hierfür gibt es zwei weit verbreitete Methoden: die qualitative und die quantitative Risikoanalyse. Die qualitative Risikoanalyse basiert auf dem wahrgenommenen Risiko und die quantitative Analyse wird mit überprüfbaren Daten durchgeführt.

Schritt 3: Erstellen Ihres Asset-Bestands

Für die Notfallwiederherstellung ist ein vollständiger Überblick über sämtliche Assets Ihres Unternehmens erforderlich. Hierzu zählen Hardware, Software, IT-Infrastruktur, Daten und alles andere, was für Ihren Geschäftsbetrieb von entscheidender Bedeutung ist. Im Folgenden finden Sie drei gängige Kennzeichnungen zur Kategorisierung von Assets:

  • Kritisch: Kennzeichnen Sie nur solche Assets als kritisch, die für den normalen Geschäftsbetrieb erforderlich sind.
  • Wichtig: Weisen Sie diese Kennzeichnung den Assets zu, die Ihr Unternehmen mindestens einmal täglich verwendet und deren Ausfall Auswirkungen auf den Geschäftsbetrieb hätte (ohne diesen jedoch vollständig lahmzulegen).
  • Unwichtig: Hierbei handelt es sich um Assets, die Ihr Unternehmen nur selten verwendet und die für den normalen Geschäftsbetrieb nicht unbedingt erforderlich sind.

Schritt 4: Zuweisung von Rollen und Zuständigkeiten 

Die klare Zuweisung von Rollen und Zuständigkeiten ist wohl der wichtigste Teil einer Strategie zur Wiederherstellung nach einer Katastrophe. Ohne sie weiß niemand, was im Katastrophenfall zu tun ist. Auch wenn die tatsächlichen Rollen und Verantwortlichkeiten je nach Unternehmensgröße, Branche und Art des Unternehmens stark variieren, gibt es einige Rollen und Verantwortlichkeiten, die jede Sanierungsstrategie enthalten sollte:

  • Vorfallsberichterstatter (Incident Reporter): Eine Person, die für die Kommunikation mit Stakeholdern und zuständigen Behörden bei Störfällen verantwortlich ist und die Kontaktinformationen aller relevanten Parteien auf dem neuesten Stand hält.
  • Disaster Recovery Plan Manager: Ihr DRP-Manager stellt sicher, dass die Mitglieder des Disaster Recovery Teams die ihnen zugewiesenen Aufgaben ausführen und dass die von Ihnen festgelegte Strategie reibungslos funktioniert. 
  • Asset-Manager: Sie sollten jemanden damit beauftragen, kritische Vermögenswerte im Katastrophenfall zu sichern und zu schützen und während des gesamten Vorfalls über deren Status zu berichten.

Schritt 5: Testen und verfeinern

Um sicherzustellen, dass Ihre Strategie zur Wiederherstellung nach einem Notfall solide ist, müssen Sie sie ständig üben und sie regelmäßig an alle bedeutenden Änderungen anpassen. Wenn Ihr Unternehmen beispielsweise nach der Erstellung Ihrer DRP-Strategie neue Assets erwirbt, müssen diese in Ihren Plan aufgenommen werden, um sicherzustellen, dass sie in Zukunft geschützt sind. Das Testen und Verfeinern Ihrer Disaster-Recovery-Strategie lässt sich in drei einfache Schritte unterteilen:

  1. Erstellen Sie eine genaue Simulation: Wenn Sie Ihren DRP proben, versuchen Sie, eine Umgebung zu schaffen, die dem tatsächlichen Szenario Ihres Unternehmens so nahe wie möglich kommt, ohne jemanden physisch in Gefahr zu bringen.
  2. Identifizieren Sie Probleme: Verwenden Sie den DRP-Testprozess, um Fehler und Inkonsistenzen mit Ihrem Plan zu identifizieren, Prozesse zu vereinfachen und alle Probleme mit Ihren Backup-Verfahren zu lösen.
  3. Testen Sie Ihre Disaster-Recovery-Verfahren: Es ist wichtig zu sehen, wie Sie auf einen Vorfall reagieren, aber es ist genauso wichtig, die Verfahren zu testen, die Sie für die Wiederherstellung kritischer Systeme nach dem Vorfall eingerichtet haben. Testen Sie, wie Sie Netzwerke wieder einschalten, verlorene Daten wiederherstellen und den normalen Geschäftsbetrieb wieder aufnehmen. 

Disaster Recovery-Lösungen

Moderne Unternehmen verlassen sich mehr denn je auf Technologie, um ihre Kunden zu bedienen. Selbst geringfügige Ausfälle können zu kritischen Ausfallzeiten führen und das Vertrauen von Kunden und Investoren beeinträchtigen. Die IBM FlashSystem Cyber Recovery Guarantee richtet sich an all diejenigen, die ein neues FlashSystem Array mit IBM Storage Expert Care und IBM Storage Insights Pro erwerben.

Autor

Mesh Flinders

Author, IBM Think