Die nächste IT-Katastrophe kommt bestimmt

Andreas Schmiedler, Software Account Manager, Data Protection, bei Quest Software, beschreibt den „ultimativen Disaster Recovery Plan“.

Lange galt Deutschland als Gebiet, das von Wetteranomalien größtenteils verschont bleibt, doch das diesjährige Hochwasser hat wieder gezeigt, wie unvorbereitet die Bundesrepublik gegenüber Naturkatastrophen ist. Besonders dann, wenn plötzlich kritische Infrastrukturen ausfallen wie Strom oder das Internet. Und die Situation wird sich nicht verbessern. Laut einer aktuellen Studie der europäischen Zentralbank gehören Überschwemmungen in den nächsten zwei Jahrzehnten zu den größten klimabedingten Risiken für Unternehmen. Auch Waldbrände, Hitzestress und Wasserknappheit können für bestimmte Regionen zum Problem werden. Daher ist es für Unternehmen zunehmend wichtig, ein Sicherheitsprogramm für den Ernstfall einzuführen, das auch klima- und wetterbedingte Extremereignisse berücksichtigt. Eine langfristige Planung muss also her, um auch auf diese Eventualitäten vorbereitet zu sein.

Standort ist entscheidend

Der Standort der Datensicherung sollte gut gewählt sein. Idealerweise sichert ein Unternehmen seine Daten an wenigstens zwei voneinander entfernten Standorten. So steht dem Unternehmen auch bei größeren Schäden eine redundante Struktur zur Verfügung. Haben Experten sich früher für einen Mindestabstand von 40 Kilometern ausgesprochen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mittlerweile eine Distanz von 200 Kilometern. Dabei sollte natürlich darauf geachtet werden, dass sich beide Standorte nicht in einem Risikogebiet befinden.

Der IT-Notfallplan gibt dem Unternehmen Strategien vor, wie es auf ungeplante Vorfälle wie Naturkatastrophen, Stromausfälle, Cyberangriffe und weiteres reagieren soll. Ein schlechter oder fehlender Plan führt zu längerer Ausfallzeit, Umsatzeinbußen, Markenschäden und unzufriedenen Kunden. Ein vorhandenes DR-Protokoll hingegen ermöglicht eine schnelle Wiederherstellung der relevanten Systeme, unabhängig von der Störungsquelle, und hält die Ausfallzeit auf ein Minimum. Für eine schnellere Reaktionslaufzeit empfiehlt es sich, den Recovery-Plan so simpel wie möglich zu halten, etwa indem bei vergleichbaren Anwendungen und Daten ein einheitliches Vorgehen eingehalten wird. So wird sichergestellt, dass im Ernstfall alle Verantwortlichen im Unternehmen an einem Strang ziehen.

Eine gute Vorbereitung spart Zeit und Mühe

Andreas Schmiedler, Software Account Manager, Data Protection bei Quest Software, rät dazu, besser jetzt zu investieren.

Der optimale Disaster-Recovery-Plan (DRP) beschäftigt sich zu Beginn mit der Erfassung der zurzeit genutzten Systeme. Dabei sollten Verantwortliche darauf achten, diese nach Wichtigkeit zu kategorisieren, sodass im Notfall eine Reihenfolge vorhanden ist, welche Systeme Priorität haben. In diesem Schritt ist es auch wichtig zu klären, wie viel Budget für die benötigten Schutzmaßnahmen zur Verfügung steht. Hier muss die Devise „je mehr, desto besser“ nicht gelten. Ein maximaler Schutz, der für den sicheren Betrieb des Unternehmens gar nicht notwendig ist, kann das Budget übermäßig belasten, während ein zu niedriges Budget wichtige Funktionen gefährden kann. Daher sollten beide Faktoren – Schutzanforderungen und Budgetvorgaben – sorgfältig aufeinander abgestimmt werden.

Ein guter Plan sollte zudem noch zwei Fragen klären:

Recovery Time Objective (RTO)

Wie lange dauert die vollständige Wiederherstellung der Geschäftsprozesse nach dem ersten Auftreten eines Schadens? Dieser Kennwert gibt Auskunft, wie lange ein System oder Service ausfallen darf, ohne das Unternehmen langfristig zu schädigen.

Recovery Point Objective (RPO)

Der RPO befasst sich mit der Frage, wie viel Datenverlust ein Unternehmen verkraften kann. Als Antwort ergibt sich der Zeitraum, der zwischen zwei Datenspeicherungen liegen darf. Liegt der RPO etwa bei vier Stunden, dann ist eine Sicherung kritischer Daten alle vier Stunden notwendig.

Alle Mann an Bord

Damit ein Disaster-Recovery-Plan auch unternehmensweit funktionieren kann, ist es wichtig, alle Abteilungen mit einzubeziehen. Zusätzlich sollten alle Verantwortlichen für das Thema sensibilisiert werden. Eine gute Maßnahme besteht beispielsweise darin, dass die Geschäftsführung eine verantwortliche Person benennt, die die Umsetzung und Planung fachlich leitet. So wird sichergestellt, dass jeder im Unternehmen seine Aufgaben kennt und der ausgearbeitete Plan im Ernstfall umgesetzt werden kann.

Selbst bei einer guten Planung und Vorbereitung ist die Arbeit noch nicht getan: Ein Disaster-Recovery-Plan wird im Ernstfall nur erfolgreich sein, wenn er regelmäßig auf den neuesten Stand gebracht wird. Denn Systeme in Unternehmen verändern sich ständig und dementsprechend müssen auch die Pläne aktualisiert werden. Vorbereitung auf ein IT-Desaster ist kein abgeschlossenes Projekt, sondern ein permanenter Prozess.

Weitere Informationen unter:
https://www.quest.com/de-de/