NIS2 – Warum sich Outsourcing lohnt
NIS2 – Warum sich Outsourcing lohnt Um Cybersicherheit in einem Betrieb herzustellen, reicht es heute nicht mehr aus, eine gute
Ein Stromausfall legt Ihren kompletten Betrieb lahm, sämtliche IT-Systeme fallen aus und an die letzte Datensicherung können Sie sich schon gar nicht mehr erinnern? Die Daten sind verloren und die Wiederherstellung der Systeme und damit des gesamten Betriebsablaufs dauert eine Ewigkeit – ein absolutes Horrorszenario. Ein Disaster Recovery Plan schützt Sie vor genau diesem Szenario. Wie das funktioniert, erfahren Sie in diesem Artikel, in dem wir Ihnen alle Fragen rund ums Thema Disaster Recovery beantworten:
Disaster Recovery (dt. Notfall- oder Katastrophenwiederherstellung) beschreibt Maßnahmen zur Wiederherstellung der IT-Infrastruktur und von Daten nach einem Ausfall der IT-Komponenten durch einen Störungsfall. Ziel der Disaster Recovery ist die schnellstmögliche Wiederaufnahme des IT-Betriebs, um die Auswirkungen des Ausfalls für das Unternehmen möglichst gering zu halten.
Störungen können hierbei zum Beispiel durch Cyberangriffe oder Bedienungsfehler ausgelöst werden, aber auch von Naturkatastrophen, Strom- oder Hardwareausfällen. Bei einer Disaster Recovery werden Daten wiederhergestellt und die Infrastruktur von Servern über Netzwerke bis hin zur Telefonanlage wieder funktionsfähig gemacht.
Diese Maßnahmen werden in einem sogenannten Disaster Recovery Plan festgehalten, der im Katastrophenfall Step by Step abgearbeitet werden kann. Genaueres zum Disaster Recovery Plan erfahren Sie später noch oder springen Sie jetzt direkt zu weiteren Infos zum DRP >>
Die Begriffe Disaster Recovery und Business Continuity werden häufig synonym verwendet. Das ist jedoch nicht ganz korrekt, denn die Business Continuity bezeichnet umfassender die Aufrechterhaltung aller wichtigen und kritischen Geschäftsabläufe einer Organisation, um die allgemeine Geschäftstätigkeit des Unternehmens sicherzustellen, wohingegen sich Disaster Recovery auf die Wiederherstellung des IT-Betriebs fokussiert.
Wichtige Parameter der Disaster Recovery sind Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Diese beiden Messwerte sollten in einem Disaster Recovery Plan zwingend für die verschiedenen IT-Systeme definiert werden, da sie maßgeblich die Wiederherstellungsstrategie bestimmen. Im Ernstfall kommt mit der RTA noch eine weitere Kennzahl zum Tragen, die Recovery Time Actual.
Der Kennwert RTO beschreibt die maximal tolerierbare Länge des Ausfallszeitraums. Es handelt sich dabei um die Zeit zwischen dem Eintreten des Ausfalls und der Wiederherstellung der Services und Systeme. Je nach Unternehmensanforderungen kann diese maximale Ausfallzeit zwischen wenigen Sekunden und mehreren Tagen oder sogar Wochen liegen. Legt ein Unternehmen eine RTO von vier Stunden fest, dann darf die Wiederherstellung nach einem Störungsfall also maximal vier Stunden dauern.
Der RPO legt den maximalen Datenverlust fest, den ein Unternehmen im Störungsfall verkraften kann. Auch dieser Kennwert wird in Zeiteinheiten angegeben und nicht, wie vielleicht auf den ersten Blick erwartet, in Datenmengen, da der RPO bestimmt, wie viel Zeit zwischen zwei Datensicherungen und damit im Notfall zwischen der letzten Datensicherung und dem Ausfall liegen darf. Je niedriger der RPO-Wert ist, desto weniger Daten gehen bei einem Ausfall verloren. Kann ein Unternehmen keinerlei Datenverlust hinnehmen bei einer Störung, dann beträgt der RPO-Wert 0 Sekunden.
Die Recovery Time Actual bezeichnet die tatsächliche Wiederherstellungszeit. Sie kann daher nicht theoretisch berechnet werden, sondern nur in einem simulierten Störungsfall mit dem im Disaster Recovery Plan definierten Wiederherstellungsprozess ermittelt werden.
maximal tolerierbarer Ausfallzeitraum
maximal tolerierbarer Datenverlust
tatsächliche Wiederherstellungszeit
Der Disaster Recovery Plan ist die Grundlage für die Notfallwiederherstellung. In diesem Notfallplan werden alle Maßnahmen, Abläufe und Vorgaben beschrieben, die im Störungsfall zur Wiederherstellung des IT-Betriebs Schritt für Schritt von den Verantwortlichen im Unternehmen umgesetzt werden können.
Für Ihr Unternehmen kann ein Ausfall der IT-Systeme verheerende Auswirkungen haben, wenn keine adäquate Disaster Recovery Strategie existiert. Der durch die Störung verursachte Produktivitätsverlust kann nicht nur zu finanziellen Verlusten führen, sondern auch Ihre Reputation leidet enorm unter den Folgen des Ausfalls.
Stellen Sie sich das folgende Szenario vor: Ihr gesamtes Unternehmen ist auf funktionierende IT-Systeme angewiesen, von der Buchhaltung bis zur Produktion. Nun unterläuft einem Ihrer Mitarbeiter ein schwerwiegender Fehler, der im Rechenzentrum zum Ausfall sämtlicher Systeme führt und damit alles lahmlegt. Haben Sie einen strukturierten Disaster Recovery Plan vorliegen, können Sie diesem Step by Step folgen und so schnellstmöglich Ihren Betrieb wieder aufnehmen.
Fehlt Ihnen dieser Plan und die Strategie dahinter jedoch, geht nun ein chaotischer Prozess los, in dem Sie und Ihre IT-Verantwortlichen versuchen werden, bestmöglich spontan auf den Ausfall zu reagieren. Doch ganz gleich wie effizient Sie in diesem Moment daran arbeiten, geht durch die Überlegungen zu Maßnahmen & Co. wertvolle Zeit bei der Wiederherstellung verloren. Während dieser Ausfallzeit kommt es zum Stillstand der Geschäftsabläufe, die Anlagen stehen still und Ihre Mitarbeiter*innen sind ohne die Systeme zeitweise arbeitsunfähig. Dadurch entstehen nicht nur hohe Kosten durch mögliche Auftragsverluste, sondern auch Ihre Reputation leidet erheblich unter diesem Vorfall: Kein Kunde sieht gerne verzögerte Liefertermine oder verspätete Zahlungen.
Nun werden Sie vielleicht denken: “Das passiert uns doch nicht!” Doch die meisten der möglichen Katastrophen, die zu einem Ausfall Ihrer IT-Systeme führen können, sind nicht vorhersehbar. Vieles davon können Sie selbst auch gar nicht beeinflussen wie z.B. eine Naturkatastrophe, weshalb eine Disaster Recovery Strategie unerlässlich ist, um die Folgen solcher Ausfälle möglichst gering zu halten.
Mögliche Katastrophen sind:
Sie sehen: Die möglichen Katastrophenfälle sind so vielfältig wie die Auswirkungen auf Ihr Unternehmen. Wenn Ihnen die Entwicklung eines Disaster Recovery Plans möglicherweise zu aufwendig erscheint, sollten Sie sich die schwerwiegenden Folgen eines unerwartet langen Ausfalls noch einmal vor Augen führen. Wie lange kann Ihr Betrieb stillstehen, ehe der Ausfall langfristige Folgen nach sich zieht?
Der Disaster Recovery Plan ist nicht einfach irgendein Schriftstück, das, einmal erstellt, für immer in der Schublade landet. Wie wichtig der DRP ist, haben wir Ihnen bereits deutlich gemacht – dementsprechend viel Aufmerksamkeit sollten Sie der Entwicklung des Notfallplans auch schenken.
Bevor Sie direkt mit dem Verfassen des Disaster Recovery Plans beginnen, sollten Sie zwei Analysen durchführen: Die Business Impact Analysis (BIA) ist bei der Identifikation der Störereignisse hilfreich und damit unerlässlich für die Bestimmung von RTO und RPO. Eine Risikoanalyse hingegen dient der Identifikation von Schwachstellen und Bedrohungen für den Betrieb. Beide Analysen zusammengenommen stellen die Basis für die weitere Entwicklung des Disaster Recovery Plans dar.
Bei der Erstellung des Notfallplans können Sie sich an folgenden Schritten orientieren:
Für einen DRP gibt es nicht die eine allgemeingültige Vorlage, da sich die Inhalte je nach Branche, Unternehmensanforderungen und Vorschriften unterscheiden. Im DRP sollten aber im Wesentlichen folgende Inhalte festgehalten werden:
Ein Disaster Recovery Plan ist nur ein wichtiger Baustein einer sorgfältig aufgesetzten Datensicherung. Mit unserer exklusiven Checkliste können Sie alle Bausteine der Datensicherung in Ihrem Unternehmen Schritt für Schritt prüfen.
Die regelmäßige Durchführung von Brandschutzübungen ist für die meisten Unternehmen eine absolute Selbstverständlichkeit. Leider gilt das nicht für die Durchführung von Disaster Recovery Tests, obwohl der Disaster Recovery Plan sehr bedeutsam für die Business Continuity ist. Und zu einem guten DRP gehören regelmäßige Tests zur Überprüfung der festgelegten Handlungsschritte. Nur so können Sie potenzielle Lücken oder Mängel im Plan aufdecken, um diese vor einer real eintretenden Katastrophe zu beheben.
Wir kennen natürlich die häufigsten Argumente gegen die regelmäßige Disaster Recovery Testung: Das Budget ist knapp, genauso die Ressourcen und Zeitkapazitäten der Mitarbeiter*innen. Bedenken Sie vor diesem Hintergrund jedoch die hohen Kosten, die entstehen können, wenn Sie im Ernstfall nicht vorbereitet sind – diese überwiegen die Aufwände der Erstellung und Testung eines Disaster Recovery Plans eindeutig.
Sie können Ihren DRP unterschiedlich tiefgehend prüfen, auch abhängig von den verfügbaren Ressourcen. Bei der Festlegung der Testfrequenz gilt es, das richtige Mittelmaß zu finden zwischen einer Überbelastung Ihrer Mitarbeiter*innen durch zu häufiges Testen und zu seltenen Tests, die die Funktionsfähigkeit Ihres Disaster Recovery Plans nicht mehr garantieren können.
Test, bei dem das Notfallteam (zumeist bestehend aus Geschäftsführung, IT und Kommunikation) Schritt für Schritt sämtliche Aktivitäten im Ablauf des Plans durchgeht, um die Prozesse zu überprüfen
Testung der Sicherungssysteme und Wiederherstellungsverfahren ohne tatsächliches Failover
Reeller Probelauf im Katastrophenmodus für einen definierten Zeitraum, indem Sie bspw. für eine Woche Ihre Systeme am Wiederherstellungsstandort laufen lassen, bevor Sie den normalen Betrieb wiederherstellen.
Disaster Recovery Tests sind nicht sonderlich beliebt, da sie Zeit und Budget verbrauchen. Doch sind sie essenziell, um nicht nur die Funktion des Plans zu überprüfen, sondern auch die RTA realistisch einschätzen zu können. Diese ist ausschlaggebend für die Aufrechterhaltung Ihres Betriebs im Katastrophenfall. Mit einem Probelauf im Katastrophenmodus kann die Leistung Ihres Disaster Recovery Plans am besten überprüft werden – es handelt sich dabei aber auch um das aufwendigste Test-Szenario.
Besonders kleine und mittelständische Unternehmen verfügen häufig nicht über die nötigen personellen Kapazitäten und das Know-how zur Umsetzung einer Disaster Recovery Strategie. Dann kann Disaster Recovery as a Service die ideale Lösung sein: Hierbei wird Ihnen von einem Cloud Computing-Anbieter eine Cloud-basierte Lösung zur Disaster Recovery bereitgestellt. So sparen Sie sich als Kunde nicht nur die Aufwände für die Planung der Disaster Recovery, sondern auch die Kosten des Infrastruktur- und Hardwarebetriebs im eigenen Unternehmen.
Ihre Anforderungen an die Disaster Recovery wie z.B. die Kennwerte RTO und RPO halten Sie in einem Service Level Agreement mit Ihrem Dienstleister fest. Verwalten können Sie die Services meistens über Webportale, die Ihnen zusätzliche Flexibilität verschaffen. Im Störungsfall werden Ihnen dann vom Anbieter virtuelle Server und IT-Umgebungen, Cloud-Speicher sowie Backup-Leistungen aus der Cloud zur Verfügung gestellt. Die Abrechnung dieser Leistungen erfolgt je nach Vertrag pauschal oder auf Basis der tatsächlichen Nutzung (Pay-per-use-Modell).
Die oben aufgezeigten Nachteile lassen sich alle reduzieren oder verhindern mit der Wahl des richtigen Anbieters von DRaaS. Besonders wichtig ist eine gute Vertrauensbasis für die Zusammenarbeit. Um sicherzugehen, dass Sie mit Profis arbeiten, sollten Sie den potenziellen Anbieter gut prüfen.
Dafür haben wir Ihnen hier einige Fragen aufgelistet, die Ihnen bei der Auswahl des passenden Anbieters für Disaster Recovery as a Service helfen können:
Wir freuen uns auf Ihren Anruf.
Telefon: 0421 2400 0
Viele Unternehmen haben Disaster Recovery nicht im Blick – das kann verheerende Folgen haben, wenn durch eine Störung oder im Katastrophenfall die IT-Systeme ausfallen, der Betrieb stillsteht und die unternehmenskritischen Daten und Systeme nicht innerhalb kürzester Zeit wiederhergestellt werden können. Mit einem Disaster Recovery Plan reduzieren Sie die Ausfallzeiten und sind bestens für den Krisenfall gerüstet. Disaster Recovery und die umfassendere Business Continuity sollten daher zu den Eckpfeilern Ihrer Unternehmensprozesse gehören.
Die Aufwände für die Entwicklung, Implementierung und regelmäßige Testung des Disaster Recovery Plans mögen Ihnen aktuell noch zu hoch erscheinen für den Nutzen. Das ist aber auch nur so lange der Fall, bis der Katastrophenfall eintritt – und wie Sie lesen konnten, sind diese Katastrophen vielfältig und häufiger, als es auf den ersten Blick scheint. Lassen Sie einen einfachen Anwenderfehler nicht Ihren gesamten Betrieb lahmlegen und sorgen Sie rechtzeitig vor mit einem Disaster Recovery Plan.
Moderne Lösungen wie Disaster Recovery as a Service bieten auch kleineren Unternehmen, die nicht über die notwendigen personellen Kapazitäten und Kompetenzen im IT-Bereich verfügen, die Möglichkeit, sich mit einem professionellen Disaster Recovery Plan abzusichern. Besonders wichtig ist hierbei die Auswahl des passenden Anbieters, mit dem Sie eine gute Vertrauensbasis verbinden sollte – schließlich vertrauen Sie ihm einen wichtigen Teil Ihrer IT-Sicherheit an.
Gerne unterstützen wir Sie mit unserer Expertise im Bereich Datensicherung. Gerade kleinen und mittelständischen Unternehmen fehlen häufig die Ressourcen für die umfassende Beschäftigung mit komplexen IT-Themen wie der Datensicherung.
Hier setzen wir mit unserer Beratung an: Wir planen, erstellen und implementieren eine auf Sie und Ihre Anforderungen individuell zugeschnittene Backup-Lösung für Ihr Unternehmen. Dabei können Sie sich auf unsere langjährige Erfahrung in der Zusammenarbeit vor allem mit KMU und auf unsere Expertise im IT-Sicherheits-Sektor verlassen. Nehmen Sie gerne unkompliziert über unser Kontaktformular den Kontakt zu uns auf – wir melden uns schnellstmöglich bei Ihnen zurück, um unverbindlich über die Möglichkeiten zur Datensicherung in Ihrem Unternehmen zu sprechen.
NIS2 – Warum sich Outsourcing lohnt Um Cybersicherheit in einem Betrieb herzustellen, reicht es heute nicht mehr aus, eine gute
Die NIS2-Richtlinie soll die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Cyberangriffe verbessern und wichtige Grundlagen dafür schaffen, dass Organisationen angemessene
Jetzt Management-Information zusenden lassen Die von der Europäischen Union eingeführte NIS2-Richtlinie markiert einen signifikanten Fortschritt in der Gesetzgebung zur Cybersicherheit
Jetzt Management-Information zusenden lassen Unter die NIS2-Richtlinie fallen im Gegensatz zur vorausgehenden NIS1 nun auch Hersteller und Produzenten. Betroffene Unternehmen
Vielen Dank für Ihre Anfrage.