In der Informationstechnologie ist ein Notfall definiert, als jede Art von Ereignis, welches das Netzwerk beeinträchtigt, Daten gefährdet oder den normalen Betrieb verlangsamt oder zum Stillstand bringt. Ein Notfallwiederherstellungsplan (Disaster Recovery Plan, DRP) wird erstellt, um die Risiken und Möglichkeiten dieser Art von Ereignissen anzugehen und die dadurch verursachten Schäden zu minimieren.
Zu den üblichen Notfällen, die in einem DRP enthalten sind, gehören:
Böswillige Aktivitäten / Cyberangriffe
Böswillige Akteure, Malware, Viren und Bedrohungen durch Insider können leicht teure Ausfallzeiten und Datenverluste verursachen. Da die Häufigkeit von Cyberangriffen von Monat zu Monat zunimmt, neigen DRPs dazu, diesem Risikobereich große Aufmerksamkeit zu schenken.
Stromausfälle
Der Betrieb muss auch bei Stromausfällen fortgesetzt werden können, insbesondere wenn diese langwierig und kompliziert sind, wie es nach vielen Naturkatastrophen der Fall ist.
Geräteausfall
Obwohl das IT-Team hart daran arbeitet, alles am Laufen zu halten, ist es wichtig, Ausweichpläne zu haben, falls etwas schief geht.
Ausnahmezustände
Vor 2021 hatten viele Organisationen in ihrer Katastrophenplanung keine Vorkehrungen für so etwas wie eine globale Pandemie getroffen. Das macht deutlich, warum es ratsam ist, nicht nur für die naheliegendsten, sondern auch für andere Szenarien zu planen.
Ihr Disaster Recovery Plan sollte recht umfassend sein und nicht nur Szenarien bedenken, die Sie für sehr wahrscheinlich halten.
In diesem Artikel werden wir diese und andere wichtige Fakten zur Planung der Wiederherstellungsfähigkeit im Katastrophenfall untersuchen.
In diesem Artikel wird Folgendes behandelt:
- Was ist ein Notfallwiederherstellungsplan?
- Vier Arten der IT-Notfallwiederherstellung
- Was sind die Schlüsselelemente eines DRP?
- Welche Schritte gehören zur Erstellung eines Disaster Recovery Plans?
Was ist ein Disaster Recovery Plan?
Ein IT-Notfallwiederherstellungsplan (Disaster-Recovery-Plan, DRP) ist ein formalisiertes Dokument, das ein Unternehmen erstellt, um die Richtlinien und Verfahren für die Reaktion auf eine Katastrophe festzulegen. Es konzentriert sich auf IT-relevante Bereiche, wie zum Beispiel die Aufrechterhaltung des Netzwerks und der VoIP-Telefonsysteme oder den Schutz sensibler Daten durch Backup-Richtlinien. Der DRP ist eine Komponente des Business Continuity Plans (BCP) des Unternehmens und muss ebenfalls regelmäßig getestet und aktualisiert werden, um sicherzustellen, dass das IT-Team unabhängig von der Art der Katastrophe die Wiederherstellungsmaßnahmen erfolgreich durchführen kann.
DRP werden als unverzichtbar angesehen, da sie das Risiko minimieren, Störungen verringern und die wirtschaftliche Stabilität gewährleisten. Ein gut ausgearbeiteter und solider Plan kann auch die Versicherungsprämien und die potenzielle Haftung reduzieren und sicherstellen, dass Ihr Unternehmen die gesetzlichen Vorschriften einhält. Die potenziellen Einsparungen können beträchtlich sein, wenn man feststellt, wie hoch das finanzielle Risiko ist, das man ohne einen Notfallplan eingeht.
Um festzustellen, wie viel eine Katastrophe Ihr Unternehmen kosten kann, müssen Sie nur die Kosten für Systemausfälle und verlorene Daten berücksichtigen. Wie viel Umsatz würden verloren gehen, wenn die Internetseite oder das Telefonsystem mehrere Tage lang ausfallen würde? Wie viele Arbeitsstunden würden verloren gehen, wenn die Dokumente einer Woche versehentlich gelöscht würden? Für jedes Unternehmen mit mehr als ein paar Mitarbeitern können diese Zahlen sehr schnell exponenziell ansteigen.
Vier Arten der von Disaster-Recovery
File Sharing von Dateien ist ein großartiges Instrument zur Steigerung der Produktivität, aber uns interessiert mehr der Sicherheitsaspekt. Damit landen wir im Feld von Daten-Backups, die uns in die Lage versetzen, unsere Dateien und Systeme wiederherzustellen.
1) Disaster-Recovery im Rechenzentrum
Bei dieser Art der Notfallwiederherstellung wird das gesamte Gebäude betrachtet, in dem das Computersystem untergebracht ist – das Rechenzentrum. Dazu gehören alle Funktionen und Gerätschaften innerhalb des Gebäudes, wie zum Beispiel physische Sicherheit, Hilfspersonal, Notstromversorgung, Heizanlagen, Versorgungseinrichtungen und Brandbekämpfung, die zuverlässig und funktionstüchtig sein müssen. Das kann auch redundante Systeme umfassen, die diese Primärsysteme bei einzelnen Ausfällen am Laufen halten. Die Planung für diese Art von DR kann sehr kostspielig sein, da sie so viele physische und standortbezogene Kosten und Instandhaltungsmaßnahmen umfasst.
2) Cloudbasierte Notfallwiederherstellung
Dadurch wird die gesamte Last der Einrichtung und Wartung des Standorts auf den Cloud-Anbieter verlagert, indem dessen Rechenzentrum über eine Lizenzvereinbarung oder einen Vertrag genutzt wird. Dies reduziert zwar die Komplexität und die Kosten für Endbenutzer:innen erheblich, ist jedoch mit größeren Einschränkungen verbunden, als der vollständige Eigenbesitz eines Rechenzentrums. In den meisten Fällen überwiegen die Kosteneinsparungen durch Cloud-Backup und ‑Wiederherstellung bei weitem die Freiheiten, die man durch den Verzicht auf ein eigenes Rechenzentrum einbüßt.
3) Notfallwiederherstellung durch Virtualisierung
Virtualisierung erfreut sich großer Beliebtheit, vor allem in einer Zeit, in der virtuelle Maschinen aufgrund von Veränderungen in der Arbeitswelt immer häufiger anzutreffen sind. Mit diesem Ansatz entfällt die Notwendigkeit, einen physischen Server im Katastrophenfall wiederherzustellen, und es ist viel einfacher, den angestrebten Zeitraum bis zur Wiederherstellung (Recovery Time Objectives, RTO) zu erreichen, indem ein virtueller Server auf Reservekapazität oder in die Cloud ausgelagert wird.
4) Notfallwiederherstellung als Dienstleistung
Disaster Recovery as a Service (DRaaS) ist eine ausgelagerte Methode zur Sicherstellung der IT-Wiederherstellungsfähigkeit im Katastrophenfall unter Verwendung einer Vielzahl unterschiedlicher Ansätze. DRaaS kann über die Cloud oder als Site-to-Site-Service an verschiedenen Standorten bereitgestellt werden. Anbieter können im Rahmen eines Server-Austauschservices Server neu aufbauen und an den Standort des Kunden liefern oder die Cloud für das Failover von Anwendungen, die Orchestrierung des Failbacks auf neu aufgebaute Server und die Wiederanbindung von Benutzern über VPN oder Remote Desktop Protocol nutzen.
Schlüsselelemente eines Disaster Recovery Plans
Nachfolgend sind einige wichtige Elemente aufgeführt, die in die Planung der Wiederherstellungsfähigkeit im Katastrophenfall einbezogen werden sollten.
-
Folgenabschätzung für Unternehmen
Vor der Erstellung eines DRP sollte eine Folgenabschätzung für das Unternehmen durchgeführt werden. Bei dieser umfassenden Bewertung werden die kritischen Systeme eines Unternehmens evaluiert und die Prioritäten für die Wiederherstellung dieser Systeme festgelegt.
-
Recovery Point Objective (RPO) und Recovery Time Objective (RTO)
Ein RPO bestimmt die akzeptable Menge an Daten, die ein Unternehmen verlieren kann, und wird zur Festlegung der Sicherungshäufigkeit verwendet. Die RTO beinhaltet Berechnungen und Zielvorgaben dazu, wie lange es dauern darf, ein System nach einer Katastrophe wiederherzustellen. Erfahren Sie mehr über den Unterschied zwischen RPO und RTO.
-
Speicherort außerhalb des Unternehmensstandorts
Backup-Server, Hardware und andere Materialien, die für den Wiederherstellungsprozess im Katastrophenfall erforderlich sind, sollten an einem vom Hauptsitz entfernten Ort gelagert werden. Wie weit entfernt oder an wie vielen verschiedenen Orten, hängt von den Katastrophenszenarien ab, für die Sie planen. Befindet sich der Hauptstandort beispielsweise in einem überschwemmungsgefährdeten Gebiet, muss der externe Standort möglicherweise Hunderte von Kilometern entfernt sein.
Lesen Sie unseren Backup-Guide für Unternehmen, um mehr über den Einsatz von cloudbasierten Datensicherungs- und Wiederherstellungslösungen zu erfahren, die diesen Bedarf decken.
-
Kommunikationsplan
Ein DRP sollte eine schnelle und einfache Kommunikation zwischen allen Mitarbeitern und Dienstleistern ermöglichen, die für den Wiederherstellungsprozess erforderlich sind. Außerdem sollten die Aufgaben und Zuständigkeiten aller Beteiligten im Katastrophenfall festgelegt und definiert werden.
-
Klare und direkte Anweisungen
Die besten DRP sind in Checklisten mit konkreten Aufgaben unterteilt, so dass die Benutzer:innen nicht Hunderte von Seiten durchlesen müssen, wenn sie auf eine unmittelbare Gefahr reagieren wollen.
Neun Schritte zur Erstellung eines Disaster-Recovery-Plans
Jedes Unternehmen braucht einen Disaster-Recovery-Plan, der so einzigartig ist wie seine Anforderungen an den Datenschutz. Um den besten Ansatz für Ihr Unternehmen zu definieren, müssen Sie den Wert Ihrer Daten, Systeme und Anwendungen gegen das Risiko abwägen, das Ihr Unternehmen untergehen könnte. Wenn Sie einen Notfallwiederherstellungsplan erstellen, sollten Sie unbedingt die folgenden Schritte berücksichtigen:
1) Einbindung des gesamten Unternehmens
Jeder im Unternehmen muss den Disaster-Recovery-Plan kennen und in der Lage sein, ihn zu finden und auszuführen. Eine ordnungsgemäße Planung beginnt an der Spitze, da die Geschäftsleitung selbst die Entwicklung des Planungsprozesses für die Wiederherstellung im Katastrophenfall unterstützen und daran beteiligt sein muss, um sicherzustellen, dass angemessene Ressourcen für diese Aufgabe bereitgestellt werden.
2) Einrichten eines Planungsausschusses
Es sollte eine Gruppe von Interessenvertretern gebildet werden, welche die Entwicklung und Umsetzung des Disaster-Recovery-Plans überwacht. Dem Planungsausschuss sollten Vertreter aus allen Funktionsbereichen des Unternehmens sowie wichtige Mitglieder aus relevanten Abteilungen wie IT und Betriebsmanagement angehören.
3) Durchführung einer Risikoanalyse und einer Analyse der Auswirkungen auf die Geschäftsfähigkeit
Der DRP-Ausschuss sollte sowohl eine Risikoanalyse als auch eine Analyse der Auswirkungen auf die Geschäftsfähigkeit erstellen, um eine Grundlage für die Planung zu schaffen. Diese Bewertungen sollten eine Reihe von Katastrophenszenarien umfassen, darunter natürliche, technische und menschliche Bedrohungen. Jeder Bereich innerhalb des Unternehmens sollte analysiert werden, um die potenzielle Bedrohung und die Auswirkungen wahrscheinlicher Katastrophenszenarien zu ermitteln.
Ein Problem, das sich aus dieser Funktion ergibt, ist, dass gängige Ransomware und destruktive Angriffe in der Regel die Dateien auf den Laufwerken der Opfer umbenennen und verschlüsseln. Dies geschieht absichtlich, um den Versionsverlauf und den Papierkorb zu umgehen, sodass es nicht einfach ist, die Dateien wiederherzustellen.
4) Vorgänge priorisieren
Die kritischen Bedürfnisse der einzelnen Abteilungen sollten in Bereichen wie Personal, Daten / Dokumentation, Richtlinien, Service und Verarbeitungssysteme bewertet werden.
Es ist wichtig, die maximale Zeitspanne zu bestimmen, die eine Abteilung ohne jedes als kritisch ermittelte System auskommen kann. Der Planungsausschuss sollte auch die kritischen Bedürfnisse der einzelnen Abteilungen ermitteln, um die Prioritäten für die Wiederherstellung und die Zuweisung von Notfallressourcen besser festlegen zu können. Alle Maßnahmen sollten diese, je nach ihrer Priorität, als unerlässlich, wichtig oder verzichtbar eingestuft werden.
5) Kodifizierung von Wiederherstellungsstrategien
Praktische Alternativen für verlorene oder ausgefallene IT-Ressourcen im Falle eines Desasters sollten ermittelt und bewertet werden. Es ist wichtig, bei der Auswahl dieser Ausfallsicherungen oder Redundanzen alle normalerweise ausgeführten Aspekte des Geschäftsbetriebs zu berücksichtigen.
Dieser Teil des Plans enthält in der Regel detaillierte Informationen über den Kauf und die Wartung von Notfallwerkzeugen und ‑ressourcen – z. B. Lösungen für die Datensicherung und ‑wiederherstellung – sowie über die Beschäftigten und andere Überlegungen, die erforderlich sind, um diese in Bereitschaft zu halten.
6) Datenerhebung durchführen
Wichtige Daten sollten erfasst und gespeichert werden. Die empfohlene Datenerfassung kann Folgendes umfassen:
Dokumentation zur Sicherung und Wiederherstellung
- Wichtige Telefonnummern
- Bestandsaufnahme der Kommunikationshardware
- Interne Dokumentation
- Protokolle des Asset-Managements
- Versicherungsverträge
- Inventar der Netzwerk-Hardware
- Master-Kontaktliste der Lieferanten
- Checkliste für Benachrichtigungen
- Inventar von externen Lagerorten
7) Organisation und Dokumentation eines schriftlichen Plans
Der Plan sollte alle detaillierten Verfahren enthalten, die vor, während und nach einem Desaster anzuwenden sind. Dazu gehört auch eine Richtlinie für die Pflege und Aktualisierung des Plans, um wesentliche Änderungen innerhalb des Unternehmens zu berücksichtigen, sowie ein regelmäßiger Überprüfungsprozess.
Um den Einsatz zu erleichtern, werden DRPs in der Regel in Teams strukturiert abgefasst und Zuständigkeiten delegiert. Das Managementteam ist besonders wichtig, weil es den Wiederherstellungsprozess koordiniert.
Es sollte Teams geben, die für die wichtigsten Funktionen zuständig sind, darunter:
- Administrative Funktionen
- Einrichtungen und Betrieb
- Lieferkette und Logistik
- Anwender-Support/Kundendienst
- Computer-Backup und IT
- Wiederherstellung von Services
8) Planprüfung
Alle Notfallpläne sollten in regelmäßigen Abständen gründlich getestet und bewertet werden. Die Verfahren zum Bestehen dieser Tests sollten genau dokumentiert werden. Ohne Tests ist es unmöglich zu wissen, ob alle Facetten eines Notfallszenarios vom DRP berücksichtigt wurden – bis es zu spät ist.
Ein erster Test gibt Rückmeldung darüber, ob weitere Schritte erforderlich sind, ob Verfahren geändert werden müssen, die sich als nicht wirksam erwiesen haben, und ob andere Anpassungen erforderlich sind, um die Wirksamkeit zu verbessern. Diese Tests können in Form von Checklisten, Simulationen oder tatsächlichen erzwungenen Stromausfällen durchgeführt werden. Natürlich ist es am besten, diese Tests außerhalb der Geschäftszeiten durchzuführen, um die Beeinträchtigung des Betriebs so gering wie möglich zu halten.
9) Genehmigung und Implementierung
Sobald der Disaster-Recovery-Plan erstellt und gründlich getestet wurde, sollte er von der Unternehmensleitung genehmigt werden.
Die Geschäftsführung ist verantwortlich für:
- Festlegung der Strategien, Verfahren und Zuständigkeiten für die Katastrophenplanung sowie die anfängliche Bildung des Ausschusses
- Jährliche Überprüfung und Genehmigung des Notfallplans sowie Dokumentation der Überprüfungen und Tests aus Gründen der Haftung und Einhaltung von Compliance-Vorschriften
- Sicherstellung der Kompatibilität des DRP mit allen Anbietern oder Dienstleistern
Fazit
Die Erstellung eines Disaster-Recovery-Plans ist für jedes Unternehmen, das auf den Einsatz von Informtionstechnologie angewiesen ist, überlebenswichtig. Erfolgreiche Planung bedeutet, dass Sie Lösungen für die Notfallwiederherstellung finden müssen, die Ihren individuellen IT-Anforderungen entsprechen und praktisch zu verwalten und zu testen sind.
Viele KMUs entscheiden sich für die Zusammenarbeit mit Managed Service Providern (MSPs), um die Herausforderung durch den Zugang zu spezifischem Fachwissen zu meistern, während andere direkt auf Tools wie NinjaOne zurückgreifen, die es ihnen ermöglichen, speziell entwickelte Disaster-Recovery-Technologien einzusetzen, die eine Verwaltung von des Backup- und Wiederherstellungsprozesses enorm vereinfacht. Solche Tools machen Schritte wie das Einrichten von Backups, das Testen von Failovers und das Hochfahren neuer Systeme nach einer Katastrophe extrem einfach.
Unabhängig davon, ob Ihr Unternehmen die IT-Administration im eigenen Haus behalten oder auslagern möchte, NinjaOne gibt Ihnen die Möglichkeit, die Geschäftskontinuität durch ein schnelles Sicherheitsbackup kritischer Informationen in unseren sicherheitszentrierten Rechenzentren zu gewährleisten. Im Katastrophenfall können Sie sich auf sofortige Datenverfügbarkeit und funktionsbereite Systeme verlassen – dank einer cloudbasierten Infrastruktur, die so stabil ist, dass Tausende von NinjaOne-Partnern und IT-Anbietern ihr Vertrauen in sie setzen.
Ungeachtet aller Unsicherheiten, die Ihnen begegnen könnten, wird NinjaOne Ihnen als wertvoller Teil Ihres Disaster-Recovery-Plans zur Seite stehen. Wenn Sie sich selbst von den Vorteilen überzeugen möchten, laden wir Sie ein, sich direkt für eine kostenlose Testversion zu registrieren.