10 Tipps für Disaster Recovery

1. Analyse der Geschäftsprozesse
In einem ersten Schritt sollte der Geltungsbereich des Notfallmanagements festgelegt werden. Hier sind zunächst alle Geschäftsprozesse zu identifizieren, die für das Unternehmen von essentieller Bedeutung sind. Bei den dabei zugrundeliegenden IT-Systemen hat das Unternehmen einen klaren Vorteil, wenn nach einem Schadensereignis sämtliche Daten inklusive Betriebssystem, Applikationen und Anwenderdaten in möglichst kurzer Zeit wieder komplett herstellbar sind.

2. Risikoanalyse und Berechnung der finanziellen Auswirkungen
Für jeden Geschäftsprozess, der als unternehmenskritisch identifiziert wurde, kann sich eine Risikoanalyse als sinnvoll erweisen. Das heißt, es muss zum einen bestimmt werden, welche „Gefahren“ und „Bedrohungen“ vorhanden sind. Zum anderen sollten nach Möglichkeit und erforderlicher Detailtiefe die Kosten quantifiziert werden, die Ausfallzeiten nach sich ziehen. Auf dieser Basis kann entschieden werden, welche Gegenmaßnahmen in welchem Umfang zu treffen sind.

3. Definition von Verantwortlichkeiten
Auch auf der organisatorischen Ebene gilt es, erforderliche Maßnahmen für ein effizientes Disaster Recovery zu treffen. Dabei werden alle Verantwortlichkeiten und Prozesse definiert, die eine effiziente Steuerung und Überwachung des Notfallmanagements sicherstellen. So kann in vielen Unternehmen eine Regelung über die Erreichbarkeit und Verfügbarkeit von Mitarbeitern Sinn machen, die mit dem Notfallplan vertraut sind und im Ernstfall notwendige Schritte einleiten können. Auch Überlegungen für regelmäßige Schulungen können je nach Anforderungen im Unternehmen sinnvoll sein.

4. Integration der Mitarbeiter
Eine Grundvoraussetzung für ein erfolgreiches Notfallmanagement ist die Integration der relevanten Mitarbeiter. Sie sollten über Maßnahmen und Zielsetzungen des Notfallmanagements informiert sein.

5. Integration in bestehende Risikomanagementsysteme
In einigen Unternehmen existiert bereits ein übergreifendes Risiko- und Sicherheitsmanagement-System. In einem solchen Fall müssen die Prozesse des Notfallmanagements mit allen bereits etablierten Abläufen in diesen Systemen abgeglichen werden, um eine unternehmensweit konsistente Basis für die Aufrechterhaltung der Geschäftskontinuität zu erhalten.

6. Bestimmung von RPO und RTO
Die Kenngrößen RTO (Recovery Time Objective) und RPO (Recovery Point Objective) sind wichtige Parameter für eine Notfallplanung. Bei der Recovery Time Objective handelt es sich um die für die Wiederherstellung der Daten vorgegebene Zeit, das heißt die Zeit, die vom Eintritt des Schadens bis zur vollständigen Wiederherstellung des Systems höchstens vergehen darf. Wenn beispielsweise der Web-, E-Mail- oder Hauptdatenbank-Server ausfällt, ist es für jedes Unternehmen unerlässlich, dass das System innerhalb von Minuten wieder läuft. Bei der Recovery Point Objective geht es um die Frage, wie hoch der maximal hinnehmbare Datenverlust im Zweifel sein darf, der zwischen einer Sicherung und dem Ausfall des Systems entsteht. Von der unternehmensinternen Bestimmung dieser Kenngrößen hängt auch die Wahl einer adäquaten Disaster-Recovery-Lösung maßgeblich ab.

7. Wahl der richtigen Disaster-Recovery-Lösung
Eine zukunftsweisende Disaster-Recovery-Lösung sollte auf jeden Fall heterogene Umgebungen unterstützen. Da sich ein hoher Prozentsatz der Unternehmensdaten heute auf mobilen Geräten befindet, sollten Desktops, Workstations und Remote-Systeme in die Planung der Sicherung einbezogen werden.

8. Entwicklung eines Leitfadens
Als äußerst hilfreich wird sich ein Leitfaden erweisen, der die Ergebnisse und Richtlinien der genannten Punkte in einem dokumentiert und zusammenfasst – am besten in gedruckter Form. Das Dokument sollte im Idealfall an einem sicheren Ort aufbewahrt werden und allen am Notfallprozess Beteiligten zugänglich sein.

9. Regelmäßige Überprüfung und Tests
Eine Überprüfung der Effizienz des Notfallmanagements in regelmäßigen Abständen ist empfehlenswert und schafft Gewissheit. Hierzu sollten Tests und Übungen durchgeführt werden, beispielsweise die Simulation des Ausfalls eines zentralen Servers. Abhängig von den Testergebnissen kann so an einer kontinuierlichen Optimierung des implementierten Notfallmanagements gearbeitet werden.

10. Pragmatischer Tipp
Eine Software-Lösung, die neben Disaster-Recovery zur Wiederherstellung gesamter Systeme auch eine integrierte, auf die einzelnen Daten fokussierte Data-Protection-Komponente aufweist, kann von Vorteil sein. Gerade für zahlreiche Schadensfälle, insbesondere wenn sie unterhalb der „Disaster-Schwelle“ liegen, ist eine solche Lösung ideal geeignet. Sie ermöglicht eine selektive Sicherung und Wiederherstellung auf Datei- oder Objektebene. Die Sicherung kann in kürzeren Zeitabständen erfolgen und dementsprechend lässt sich ein gezieltes Recovery für ganz bestimmte Daten schnell durchführen.

Zusammenfassend ist festzuhalten, dass eine professionelle Disaster-Recovery-Planung für die Unternehmens-IT heute eine zentrale Aufgabe ist. Die IT muss nicht nur sicherstellen, dass die Daten und Systeme nach versehentlichem Löschen, Störfällen wie Hardware-Ausfällen, Brand oder unbefugten Eingriffen Dritter weiter zur Verfügung stehen. Die Einbindung der wichtigen Stellen und Personen sowie die Verankerung der Notfallplanung an allen wichtigen Unternehmensstellen werden im Ernstfall Zeit und Ressourcen schonen.