Disaster Recovery Plan

Disaster Recovery Plan BREKOM Headerbild

Unerlässlicher Notfallplan zur Datenrettung für Unternehmen

Ein Stromausfall legt Ihren kompletten Betrieb lahm, sämtliche IT-Systeme fallen aus und an die letzte Datensicherung können Sie sich schon gar nicht mehr erinnern? Die Daten sind verloren und die Wiederherstellung der Systeme und damit des gesamten Betriebsablaufs dauert eine Ewigkeit – ein absolutes Horrorszenario. Ein Disaster Recovery Plan schützt Sie vor genau diesem Szenario. Wie das funktioniert, erfahren Sie in diesem Artikel, in dem wir Ihnen alle Fragen rund ums Thema Disaster Recovery beantworten:

Was ist Disaster Recovery?

Disaster Recovery (dt. Notfall- oder Katastrophenwiederherstellung) beschreibt Maßnahmen zur Wiederherstellung der IT-Infrastruktur und von Daten nach einem Ausfall der IT-Komponenten durch einen Störungsfall. Ziel der Disaster Recovery ist die schnellstmögliche Wiederaufnahme des IT-Betriebs, um die Auswirkungen des Ausfalls für das Unternehmen möglichst gering zu halten. Störungen können hierbei zum Beispiel durch Cyberangriffe oder Bedienungsfehler ausgelöst werden, aber auch von Naturkatastrophen, Strom- oder Hardwareausfällen. Bei einer Disaster Recovery werden Daten wiederhergestellt und die Infrastruktur von Servern über Netzwerke bis hin zur Telefonanlage wieder funktionsfähig gemacht.

Diese Maßnahmen werden in einem sogenannten Disaster Recovery Plan festgehalten, der im Katastrophenfall Step by Step abgearbeitet werden kann. Genaueres zum Disaster Recovery Plan erfahren Sie später noch oder springen Sie jetzt direkt zu weiteren Infos zum DRP >>

Disaster Recovery vs. Business Continuity

Die Begriffe Disaster Recovery und Business Continuity werden häufig synonym verwendet. Das ist jedoch nicht ganz korrekt, denn die Business Continuity bezeichnet umfassender die Aufrechterhaltung aller wichtigen und kritischen Geschäftsabläufe einer Organisation, um die allgemeine Geschäftstätigkeit des Unternehmens sicherzustellen, wohingegen sich Disaster Recovery auf die Wiederherstellung des IT-Betriebs fokussiert.

Kennwerte der Disaster Recovery: RTO, RPO und RTA

Wichtige Parameter der Disaster Recovery sind Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Diese beiden Messwerte sollten in einem Disaster Recovery Plan zwingend für die verschiedenen IT-Systeme definiert werden, da sie maßgeblich die Wiederherstellungsstrategie bestimmen. Im Ernstfall kommt mit der RTA noch eine weitere Kennzahl zum Tragen, die Recovery Time Actual.

Recovery Time Objective (RTO)

Der Kennwert RTO beschreibt die maximal tolerierbare Länge des Ausfallszeitraums. Es handelt sich dabei um die Zeit zwischen dem Eintreten des Ausfalls und der Wiederherstellung der Services und Systeme. Je nach Unternehmensanforderungen kann diese maximale Ausfallzeit zwischen wenigen Sekunden und mehreren Tagen oder sogar Wochen liegen. Legt ein Unternehmen eine RTO von vier Stunden fest, dann darf die Wiederherstellung nach einem Störungsfall also maximal vier Stunden dauern.

Recovery Point Objective (RPO)

Der RPO legt den maximalen Datenverlust fest, den ein Unternehmen im Störungsfall verkraften kann. Auch dieser Kennwert wird in Zeiteinheiten angegeben und nicht, wie vielleicht auf den ersten Blick erwartet, in Datenmengen, da der RPO bestimmt, wie viel Zeit zwischen zwei Datensicherungen und damit im Notfall zwischen der letzten Datensicherung und dem Ausfall liegen darf. Je niedriger der RPO-Wert ist, desto weniger Daten gehen bei einem Ausfall verloren. Kann ein Unternehmen keinerlei Datenverlust hinnehmen bei einer Störung, dann beträgt der RPO-Wert 0 Sekunden.

Recovery Time Actual (RTA)

Die Recovery Time Actual bezeichnet die tatsächliche Wiederherstellungszeit. Sie kann daher nicht theoretisch berechnet werden, sondern nur in einem simulierten Störungsfall mit dem im Disaster Recovery Plan definierten Wiederherstellungsprozess ermittelt werden.

Kennwerte auf einen Blick

RTO

maximal tolerierbarer Ausfallzeitraum

RPO

maximal tolerierbarer Datenverlust

RTA

tatsächliche Wiederherstellungszeit

Was ist ein Disaster Recovery Plan?

Der Disaster Recovery Plan ist die Grundlage für die Notfallwiederherstellung. In diesem Notfallplan werden alle Maßnahmen, Abläufe und Vorgaben beschrieben, die im Störungsfall zur Wiederherstellung des IT-Betriebs Schritt für Schritt von den Verantwortlichen im Unternehmen umgesetzt werden können.

Warum jedes Unternehmen einen Disaster Recovery Plan braucht

Für Ihr Unternehmen kann ein Ausfall der IT-Systeme verheerende Auswirkungen haben, wenn keine adäquate Disaster Recovery Strategie existiert. Der durch die Störung verursachte Produktivitätsverlust kann nicht nur zu finanziellen Verlusten führen, sondern auch Ihre Reputation leidet enorm unter den Folgen des Ausfalls.

Zeit-, Geld- und Reputationsverlust – ein Worst Case Szenario

Stellen Sie sich das folgende Szenario vor: Ihr gesamtes Unternehmen ist auf funktionierende IT-Systeme angewiesen, von der Buchhaltung bis zur Produktion. Nun unterläuft einem Ihrer Mitarbeiter ein schwerwiegender Fehler, der im Rechenzentrum zum Ausfall sämtlicher Systeme führt und damit alles lahmlegt. Haben Sie einen strukturierten Disaster Recovery Plan vorliegen, können Sie diesem Step by Step folgen und so schnellstmöglich Ihren Betrieb wieder aufnehmen.

Datenverlust im Rechenzentrum

Fehlt Ihnen dieser Plan und die Strategie dahinter jedoch, geht nun ein chaotischer Prozess los, in dem Sie und Ihre IT-Verantwortlichen versuchen werden, bestmöglich spontan auf den Ausfall zu reagieren. Doch ganz gleich wie effizient Sie in diesem Moment daran arbeiten, geht durch die Überlegungen zu Maßnahmen & Co. wertvolle Zeit bei der Wiederherstellung verloren. Während dieser Ausfallzeit kommt es zum Stillstand der Geschäftsabläufe, die Anlagen stehen still und Ihre Mitarbeiter*innen sind ohne die Systeme zeitweise arbeitsunfähig. Dadurch entstehen nicht nur hohe Kosten durch mögliche Auftragsverluste, sondern auch Ihre Reputation leidet erheblich unter diesem Vorfall: Kein Kunde sieht gerne verzögerte Liefertermine oder verspätete Zahlungen.

Vor diesen Folgen kann ein Disaster Recovery Plan Sie bewahren:

  • Datenverlust
  • Reputationsverlust (z.B. durch verspätete Lieferungen oder Zahlungen)
  • Umsatzverlust (bspw. durch Produktionsausfälle)

Mögliche Katastrophenfälle

Nun werden Sie vielleicht denken: “Das passiert uns doch nicht!” Doch die meisten der möglichen Katastrophen, die zu einem Ausfall Ihrer IT-Systeme führen können, sind nicht vorhersehbar. Vieles davon können Sie selbst auch gar nicht beeinflussen wie z.B. eine Naturkatastrophe, weshalb eine Disaster Recovery Strategie unerlässlich ist, um die Folgen solcher Ausfälle möglichst gering zu halten.

Mögliche Katastrophen sind:

  • Naturkatastrophen wie Überschwemmungen, Erdbeben oder Tsunamis
  • Stromausfälle
  • Softwarefehler (Anwendungen, Betriebssysteme)
  • Hardwarefehler (Server, Netzwerk)
  • Katastrophen im Rechenzentrum, z.B. durch Brand
  • Cyberangriffe
  • Kommunikationsfehler
  • Menschliches Versagen/Anwenderfehler

Sie sehen: Die möglichen Katastrophenfälle sind so vielfältig wie die Auswirkungen auf Ihr Unternehmen. Wenn Ihnen die Entwicklung eines Disaster Recovery Plans möglicherweise zu aufwendig erscheint, sollten Sie sich die schwerwiegenden Folgen eines unerwartet langen Ausfalls noch einmal vor Augen führen. Wie lange kann Ihr Betrieb stillstehen, ehe der Ausfall langfristige Folgen nach sich zieht?

Wie entwickeln Sie den passenden DRP für Ihr Unternehmen?

Der Disaster Recovery Plan ist nicht einfach irgendein Schriftstück, das, einmal erstellt, für immer in der Schublade landet. Wie wichtig der DRP ist, haben wir Ihnen bereits deutlich gemacht – dementsprechend viel Aufmerksamkeit sollten Sie der Entwicklung des Notfallplans auch schenken.

Vorab-Analysen

Bevor Sie direkt mit dem Verfassen des Disaster Recovery Plans beginnen, sollten Sie zwei Analysen durchführen: Die Business Impact Analysis (BIA) ist bei der Identifikation der Störereignisse hilfreich und damit unerlässlich für die Bestimmung von RTO und RPO. Eine Risikoanalyse hingegen dient der Identifikation von Schwachstellen und Bedrohungen für den Betrieb. Beide Analysen zusammengenommen stellen die Basis für die weitere Entwicklung des Disaster Recovery Plans dar.

Erstellungsprozess des Disaster Recovery Plans

Bei der Erstellung des Notfallplans können Sie sich an folgenden Schritten orientieren:

  1. Aktivitätsumfang definieren
  2. relevante Dokumente zur Netzwerkinfrastruktur sammeln
  3. Bedrohungen und Schwachstellen identifizieren
  4. Überprüfung: Gab es in der Unternehmensgeschichte ungeplante Ausfälle und wie wurde darauf reagiert?
  5. aktuelle DR-Strategien identifizieren
  6. Notfallteam festlegen
  7. DRP vom Management überprüfen und genehmigen lassen
  8. DRP regelmäßig testen
  9. Plan regelmäßig aktualisieren
  10. DRP-Audits implementieren

Inhalte eines Disaster Recovery Plans

Für einen DRP gibt es nicht die eine allgemeingültige Vorlage, da sich die Inhalte je nach Branche, Unternehmensanforderungen und Vorschriften unterscheiden. Im DRP sollten aber im Wesentlichen folgende Inhalte festgehalten werden:

  • Richtlinienerklärung und Zieldefinierung des Plans
  • Kontaktliste der Verantwortlichen bzw. des Notfallteams inkl. Vertretungsregelung
  • Schwachstellen und Bedrohungen
  • Kritische IT-Systeme und Netzwerke, inkl. Diagramm des Netzwerks und Wiederherstellungsstandorts
  • RTO und RPO
  • Maßnahmen im Katastrophenfall, mit Zuständigkeiten
    • Startpunkt des Aktionsplans
    • Detaillierte Beschreibung der einzelnen Handlungsschritte zur Wiederherstellung des Betriebs inkl. dafür verwendeter Software/Systeme
  • Tipps zum Umgang mit Medien sowie rechtlichen und finanziellen Fragen im Katastrophenfall
  • Versicherungsbedingungen

Disaster Recovery Test – die Katastrophenübung

Die regelmäßige Durchführung von Brandschutzübungen ist für die meisten Unternehmen eine absolute Selbstverständlichkeit. Leider gilt das nicht für die Durchführung von Disaster Recovery Tests, obwohl der Disaster Recovery Plan sehr bedeutsam für die Business Continuity ist. Und zu einem guten DRP gehören regelmäßige Tests zur Überprüfung der festgelegten Handlungsschritte. Nur so können Sie potenzielle Lücken oder Mängel im Plan aufdecken, um diese vor einer real eintretenden Katastrophe zu beheben.

Keine Zeit ist keine Ausrede

Wir kennen natürlich die häufigsten Argumente gegen die regelmäßige Disaster Recovery Testung: Das Budget ist knapp, genauso die Ressourcen und Zeitkapazitäten der Mitarbeiter*innen. Bedenken Sie vor diesem Hintergrund jedoch die hohen Kosten, die entstehen können, wenn Sie im Ernstfall nicht vorbereitet sind – diese überwiegen die Aufwände der Erstellung und Testung eines Disaster Recovery Plans eindeutig.

Disaster Recovery Test-Szenarien

Sie können Ihren DRP unterschiedlich tiefgehend prüfen, auch abhängig von den verfügbaren Ressourcen. Bei der Festlegung der Testfrequenz gilt es, das richtige Mittelmaß zu finden zwischen einer Überbelastung Ihrer Mitarbeiter*innen durch zu häufiges Testen und zu seltenen Tests, die die Funktionsfähigkeit Ihres Disaster Recovery Plans nicht mehr garantieren können.

Test-Szenarien auf einen Blick

Tabletop-Testing

Test, bei dem das Notfallteam (zumeist bestehend aus Geschäftsführung, IT und Kommunikation) Schritt für Schritt sämtliche Aktivitäten im Ablauf des Plans durchgeht, um die Prozesse zu überprüfen

Simulationstest

Testung der Sicherungssysteme und Wiederherstellungsverfahren ohne tatsächliches Failover

Katastrophenmodus

Reeller Probelauf im Katastrophenmodus für einen definierten Zeitraum, indem Sie bspw. für eine Woche Ihre Systeme am Wiederherstellungsstandort laufen lassen, bevor Sie den normalen Betrieb wiederherstellen.

Disaster Recovery Tests sind nicht sonderlich beliebt, da sie Zeit und Budget verbrauchen. Doch sind sie essenziell, um nicht nur die Funktion des Plans zu überprüfen, sondern auch die RTA realistisch einschätzen zu können. Diese ist ausschlaggebend für die Aufrechterhaltung Ihres Betriebs im Katastrophenfall. Mit einem Probelauf im Katastrophenmodus kann die Leistung Ihres Disaster Recovery Plans am besten überprüft werden – es handelt sich dabei aber auch um das aufwendigste Test-Szenario.

Disaster Recovery as a Service (DRaaS)

Besonders kleine und mittelständische Unternehmen verfügen häufig nicht über die nötigen personellen Kapazitäten und das Know-how zur Umsetzung einer Disaster Recovery Strategie. Dann kann Disaster Recovery as a Service die ideale Lösung sein: Hierbei wird Ihnen von einem Cloud Computing-Anbieter eine Cloud-basierte Lösung zur Disaster Recovery bereitgestellt. So sparen Sie sich als Kunde nicht nur die Aufwände für die Planung der Disaster Recovery, sondern auch die Kosten des Infrastruktur- und Hardwarebetriebs im eigenen Unternehmen.

So funktioniert DRaaS

Ihre Anforderungen an die Disaster Recovery wie z.B. die Kennwerte RTO und RPO halten Sie in einem Service Level Agreement mit Ihrem Dienstleister fest. Verwalten können Sie die Services meistens über Webportale, die Ihnen zusätzliche Flexibilität verschaffen. Im Störungsfall werden Ihnen dann vom Anbieter virtuelle Server und IT-Umgebungen, Cloud-Speicher sowie Backup-Leistungen aus der Cloud zur Verfügung gestellt. Die Abrechnung dieser Leistungen erfolgt je nach Vertrag pauschal oder auf Basis der tatsächlichen Nutzung (Pay-per-use-Modell).

Vor- und Nachteile von DRaaS

Vorteile

  • Risikominimierung bei Ausfällen
  • Professionelle DR-Pläne sorgen für kurze Ausfallzeiten und schnelle Wiederherstellung des Geschäftsbetriebs
  • Kostenersparnis und -transparenz
  • Flexibilität und Skalierbarkeit der Services
  • Einfache Verwaltung über Webportale
  • Hochverfügbarkeit der Disaster-Recovery-Services ohne interne Aufwände für Testung & Co.

Nachteile

  • Kosten können je nach Anbieter variieren
  • Wenig eigene Kontrolle über den Prozess
  • Nach großen Katastrophen sind Cloud-basierte DR-Dienste ggf. nicht verfügbar, wenn der Server des Anbieters keine ausreichenden Kapazitäten mehr für die Anwendungen aller Kunden bereitstellen kann
  • Erhöhter Bandbreitenbedarf durch Cloud-basierte Disaster Recovery

Den richtigen Anbieter für DRaaS finden

Die oben aufgezeigten Nachteile lassen sich alle reduzieren oder verhindern mit der Wahl des richtigen Anbieters von DRaaS. Besonders wichtig ist eine gute Vertrauensbasis für die Zusammenarbeit. Um sicherzugehen, dass Sie mit Profis arbeiten, sollten Sie den potenziellen Anbieter gut prüfen.

Dafür haben wir Ihnen hier einige Fragen aufgelistet, die Ihnen bei der Auswahl des passenden Anbieters für Disaster Recovery as a Service helfen können:

  • Wie funktioniert die DRaaS des Anbieters?
  • Wie lässt sich die DRaaS in Ihre bestehende Infrastruktur integrieren?
  • Wie greifen Benutzer*innen auf unternehmensinterne Anwendungen zu?
  • Wie sieht der Prozess im Störungsfall aus?
  • Wie lange können Sie als Kunde die virtuelle Umgebung aus dem Rechenzentrum des Anbieters nutzen?
  • Wie läuft das Failback-Verfahren?
  • Was passiert, wenn der Anbieter den DR-Service zeitweise nicht zur Verfügung stellen kann?
  • Was passiert, wenn bei einer regionalen Katastrophe mehrere Kunden gleichzeitig unterstützt werden müssen?
  • Wie ist das Testverfahren der Disaster Recovery-Prozesse?
  • Wie skalierbar sind die Leistungen des Anbieters?
  • Wie erfolgt die Abrechnung der DRaaS?

Fazit: Disaster Recovery Plan – Must-Have für jedes Unternehmen

Viele Unternehmen haben Disaster Recovery nicht im Blick – das kann verheerende Folgen haben, wenn durch eine Störung oder im Katastrophenfall die IT-Systeme ausfallen, der Betrieb stillsteht und die unternehmenskritischen Daten und Systeme nicht innerhalb kürzester Zeit wiederhergestellt werden können. Mit einem Disaster Recovery Plan reduzieren Sie die Ausfallzeiten und sind bestens für den Krisenfall gerüstet. Disaster Recovery und die umfassendere Business Continuity sollten daher zu den Eckpfeilern Ihrer Unternehmensprozesse gehören.

Die Aufwände für die Entwicklung, Implementierung und regelmäßige Testung des Disaster Recovery Plans mögen Ihnen aktuell noch zu hoch erscheinen für den Nutzen. Das ist aber auch nur so lange der Fall, bis der Katastrophenfall eintritt – und wie Sie lesen konnten, sind diese Katastrophen vielfältig und häufiger, als es auf den ersten Blick scheint. Lassen Sie einen einfachen Anwenderfehler nicht Ihren gesamten Betrieb lahmlegen und sorgen Sie rechtzeitig vor mit einem Disaster Recovery Plan.

Keine Kapazitäten frei? Nutzen Sie DRaaS von professionellen Anbietern!

Moderne Lösungen wie Disaster Recovery as a Service bieten auch kleineren Unternehmen, die nicht über die notwendigen personellen Kapazitäten und Kompetenzen im IT-Bereich verfügen, die Möglichkeit, sich mit einem professionellen Disaster Recovery Plan abzusichern. Besonders wichtig ist hierbei die Auswahl des passenden Anbieters, mit dem Sie eine gute Vertrauensbasis verbinden sollte – schließlich vertrauen Sie ihm einen wichtigen Teil Ihrer IT-Sicherheit an.

BREKOM-Expertise: Backup-Konzepte für den Mittelstand

Gerne unterstützen wir Sie mit unserer Expertise im Bereich Datensicherung. Gerade kleinen und mittelständischen Unternehmen fehlen häufig die Ressourcen für die umfassende Beschäftigung mit komplexen IT-Themen wie der Datensicherung.

Hier setzen wir mit unserer Beratung an: Wir planen, erstellen und implementieren eine auf Sie und Ihre Anforderungen individuell zugeschnittene Backup-Lösung für Ihr Unternehmen. Dabei können Sie sich auf unsere langjährige Erfahrung in der Zusammenarbeit vor allem mit KMU und auf unsere Expertise im IT-Sicherheits-Sektor verlassen. Nehmen Sie gerne unkompliziert über unser Kontaktformular den Kontakt zu uns auf – wir melden uns schnellstmöglich bei Ihnen zurück, um unverbindlich über die Möglichkeiten zur Datensicherung in Ihrem Unternehmen zu sprechen.

BREKOM Kontaktbild

Beratung vom IT-Experten

Jedes Business ist individuell. Deshalb setzen wir auf persönliche Beratung und freuen uns darauf, Sie und Ihre individuellen Anforderungen kennenzulernen, die die Basis für Ihr ideales Konzept zur Datensicherung darstellen.

Telefon: 0421 2400 1499

Das könnte Sie auch interessieren:

Datensicherung Ratgeber BREKOM VorschaubildBildmaske oktagon

Datensicherung im Unternehmen: Sicherungsarten, Speichermedien und die richtige Backup-Strategie

Datensicherung >>

Datensicherungskonzept BREKOM Ratgeber VorschaubildBildmaske oktagon

Backup-Konzept: Pflicht für Unternehmen nach DSGVO! Wie Sie das Konzept erstellen, was rein muss

Datensicherungskonzept für Unternehmen >>

Phishing Mails Ratgeber BREKOM VorschaubildBildmaske oktagon

Was es ist, wie Sie Phishing Mails erkennen und sich davor schützen.

Phishing Mails >>