Da die Bedrohungslage und die IT-Komplexität steigen, ist es oft nur eine Frage der Zeit, wann ein IT-Ausfall passiert und folglich wie schnell Unternehmen wieder online sind. Laut dem Report unseres Security-Backup-Partners Veeam waren deutsche Unternehmen von durchschnittlich fünf ungeplanten Ausfällen im Jahr 2018 betroffen. Dabei waren die Systeme jeweils für durchschnittlich 92 Minuten außer Betrieb gesetzt. Die Folge: Kunden sitzen während der Ausfälle auf dem Trockenen oder kaufen woanders ein.
Nicht immer werden Unternehmen durch solche Ausfälle komplett vom Netz gekappt, doch auch wenn nur einzelne Dienste betroffen sind, so z. B. der Bestellprozess eines Onlineshops, hat das gravierende Folgen: geschieht so ein Ausfall während des Weihnachtsgeschäfts, kann das viel Geld kosten durch die verursachten Produktivitätsausfälle. Außerdem leidet der Ruf des Unternehmens - das Vertrauen der Kunden und Mitarbeiter sowie die Marke büßen enorm ein.
Ein Disaster-Recovery-Plan (DR) muss sein
Disaster Recovery oder Business Continuity ist nicht neu, aber viele Unternehmen setzen nach wie vor nicht auf eine organisierte und durchgängige Strategie. Im Schnitte sichert und repliziert nur eines von fünf Unternehmen kontinuierlich seine geschäftskritischen Anwendungen - demnach ist es für die meisten kaum möglich, eine Wiederherstellung der Rechenzentren nach einem Ausfall reibungslos abzuarbeiten.
Hinzu kommt, dass die manuellen Backup-Prozesse, die in vielen Unternehmen immer noch eingesetzt werden, bei den ständigen Veränderungen in der IT immer öfter an ihre Grenzen stoßen. Selbst wenn es einen DR-Plan gibt, ist er oft veraltet, regelmäßige Tests zu aufwändig. Aktuelle Gesetze, Normen und interne wie externe Richtlinien werden oft nicht beachtet. Unabhängig von der Branche, in der das Unternehmen tätig ist, muss die Compliance mit derartigen Regulierungen sichergestellt sein.
Der Weg ist das Ziel
Unternehmen müssen verstehen, was ihre Business Continuity beeinflusst, und entsprechende Abhängigkeiten für ihr Disaster Recovery (DR) definieren. Bei DR sind vier Dinge zu beachten: der Plan selbst, dessen Dokumentation, der Test und die zuverlässige Ausführung von Failover- und Failback-Mechanismen im Ernstfall.
Um den Bedarf korrekt einzuschätzen, braucht es eine Business Impact Analyse (BIA). Dabei werden wichtige Fragen geklärt: Welche Workloads verarbeiten kritische Daten? Wie sehen die Anforderungen aus den Fachbereichen aus? Eine DR-Strategie entsteht immer aus der Zusammenarbeit zwischen IT und den Fachabteilungen. Sicherheit entsteht aus dem Vorgehen, das die Sicherheits-Policies, SLAs und Geschäftsziele integriert. In diesem Austausch schafft das Unternehmen Transparenz und ein besseres Verständnis für seine Bedürfnisse.
Wie bei allen IT-Projekten ist eine Dokumentation essenziell. Alle Prozesse nach einem Ausfall, deren zeitliche Abfolge und die beteiligten Systeme sind zu definieren. Ein genaues Inventar der gesamten Infrastruktur, Hardware, Netzwerk bis zur Stromversorgung und Konfiguration ist unumgänglich. Von dieser Dokumentation sollte mindestens eine Kopie außerhalb des Unternehmens gesichert werden.
Testen und Lücken schließen
Mindestens jährliche Tests sind der einzige Weg, um die Ausfallsicherheit eines Unternehmens auf die Probe zu stellen.
Die Lösung sind automatische Tests, die eine Laborumgebung nutzen. Solche Testlösungen werden von Unternehmen noch selten eingesetzt – obwohl sie Dokumentation und Reporting übernehmen und in moderner Datensicherungs-Software in der Regel bereits enthalten sind. Eigentlich müsste kein Unternehmen mehr auf manuelle Prozesse setzen. Nur so werden Defizite aufgedeckt, die sonst unter Umständen gar nicht bemerkt worden wären.
Eine Herausforderung moderner IT-Umgebungen ist deren Komplexität. Infrastrukturen verändern sich oft und sind untereinander abhängig. Wichtig ist daher eine Orchestrierungs-Software, mit der Abläufe klar definiert, dokumentiert, getestet und automatisiert werden können. Bei einem Ausfall kann so sichergestellt werden, dass der Recovery-Prozess reibungslos funktioniert.
In der DR-Planung ist auch die Modernisierung von Rechenzentren von Bedeutung. Unternehmen wechseln zunehmend auf Cloud-Lösungen und hybride Mischformen. Eine Cloud-Infrastruktur kann für die Datensicherung und Failover genutzt werden – und mit leistungsfähigen DRaaS-Angeboten - Disaster-Recovery-as-a-Service - kann die Cloud optimal zur Datenrettung eingesetzt werden.
Alles ist IT
Der Einsatz moderner Technologie für alle Abteilungen ist relevant. Deswegen ist es auch essenziell, dass alle Mitarbeiter und Fachabteilungen in die DR-Planung und die Prävention eingebunden werden. Mitarbeiter werden zunehmend zum Ziel von Cyberkriminellen – darum sollen sie Teil der Lösung sein: Schulungen, konsequente Aufklärung und Notfallübungen sorgen dafür, dass die Mitarbeiter bei Sicherheitsvorfällen nicht ratlos vor dem Problem stehen, sondern verantwortungsvoll mit Daten umgehen und ihren Part des DR-Plans umsetzen können.
(Quelle: SecurityInsider)