Tests, Orchestrierung und Vorbereitung sind die wesentlichen Säulen der Datenresilienz

Cyberangriffe stellen Unternehmen weltweit vor große Probleme. Nicht nur, dass durch den Datenverlust selbst durchaus beträchtliche Kosten anfallen können, sondern es entstehen auch sehr hohe Kosten aufgrund von Ausfallzeiten. [...]

Vielen Unternehmen schenken ihren Sicherungs- und Wiederherstellungsaufgaben nicht die Aufmerksamkeit, die sie verdienen. (c) Unsplash
Vielen Unternehmen schenken ihren Sicherungs- und Wiederherstellungsaufgaben nicht die Aufmerksamkeit, die sie verdienen. (c) Unsplash

Gartner schätzt, dass Ausfallzeiten bis zu 5.600 US-Dollar pro Minute kosten können, und Statista stellt fest, dass im vierten Quartal 2021 die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff in den USA 20 Tage betrug. Die Kosten eines Angriffs gehen aber weit über den finanziellen Verlust hinaus, denn auch der Ruf des Unternehmens steht auf dem Spiel. Wenn Unternehmen nicht in der Lage sind, die Bedürfnisse ihrer Kunden zu erfüllen, wird die Marke beschädigt, und es kann schwierig sein, die Reputation wiederherzustellen.

Glücklicherweise haben Unternehmen aber verschiedene Möglichkeiten, sich zu schützen. Der effektivste Ansatz zur Minderung der Kosten eines Angriffs ist die Investition in eine orchestrierte Sicherungs- und Wiederherstellungsarchitektur, die die Ausfallsicherheit der Daten gewährleistet. Wenn Unternehmen über eine solche Architektur verfügen, sind sie auf jede potenzielle Katastrophe vorbereitet, nicht nur auf einen Cyberangriff, sondern auch auf eine Naturkatastrophe wie beispielsweise eine Überschwemmung. Mit einem gut definierten Plan und den erforderlichen Tools können Unternehmen die Auswirkungen minimieren und den Betrieb reibungslos aufrechterhalten.

Eine von Arcserve durchgeführte weltweite Umfrage zeigt, dass 77 Prozent der IT-Entscheidungsträger in orchestrierte Sicherungs- und Wiederherstellungsarchitekturen investieren, um die Ausfallsicherheit ihrer Daten zu gewährleisten. Diese Investition zahlt sich aus, denn Backup und Wiederherstellung sind von grundlegender Bedeutung für jeden Datensicherheitsplan. Sie geben Unternehmen die Möglichkeit, eine potenziell katastrophale Situation zu vermeiden.

Drei wichtige Elemente für die Datenresilienz

Bei einem Zwischenfall treten zahlreiche Variablen und Unbekannte auf. Solide Backup- und Disaster-Recovery-Richtlinien bereiten Unternehmen darauf aber nur dann wirkungsvoll vor, wenn sie ein regelmäßiges Testprogramm in ihre Richtlinien aufnehmen. Mit DR-Tests (Datenresilienz-Tests) können Organisationen die Verfahren ermitteln und dokumentieren, die für die Wiederherstellung des Geschäftsbetriebs und der Systeme im Falle eines Zwischenfalls erforderlich sind. Danach können sie diese Verfahren validieren und potenzielle Lücken in Bezug auf die Richtlinien und das Personal schließen. Nur durch angemessene Tests können diese kritischen Aspekte identifiziert und berücksichtigt werden.

Die Orchestrierung, d. h. die Automatisierung zur Beschleunigung der End-to-End-Wiederherstellung, ist der zweite Aspekt der Ausfallsicherheit. Im Wesentlichen bestimmt die Orchestrierung die optimale Reihenfolge für das Hochfahren verschiedener, miteinander verbundener Systeme während einer Wiederherstellung. Sie umreißt die optimale Reihenfolge, in der die Systeme wiederhergestellt werden sollten, identifiziert alle Zwischenschritte, die für die Validierung in jeder einzelnen Phase erforderlich sind, und gewährleistet eine reibungslose und geordnete Wiederherstellung.

Das letzte Element ist die Vorbereitung. Als Analogie dient hier eine Brandschutzübung in einem Bürogebäude. Während der Übung macht ein Alarm die Mitarbeiter auf die Bedrohung aufmerksam. Fluchtwegschilder weisen sie an, die Treppe statt des Aufzugs zu benutzen und sich an von der Organisation festgelegten sicheren Orten zu versammeln. Die Vorbereitung zur Datenresilienz funktioniert auf die gleiche Weise. Die Mitarbeiter führen regelmäßig Übungen durch, um sicherzustellen, dass jeder die notwendigen Maßnahmen und Abläufe kennt.

RPO, RTO und zulässige Ausfallzeiten

Vielen Unternehmen schenken ihren Sicherungs- und Wiederherstellungsaufgaben nicht die Aufmerksamkeit, die sie verdienen. Sie führen vielleicht DR-Tests durch, wenn sie neue Backup-Software oder Speicherserver einrichten, versäumen es aber, laufende Tests durchzuführen. Unternehmen müssen regelmäßige Backup-Tests durchführen, sei es vierteljährlich, jährlich oder zeitgleich mit wichtigen Ereignissen wie einer Fusion, der Einführung eines neuen IT-Systems oder der Erweiterung der Belegschaft. Best Practices schreiben vor, dass es wichtig ist, festzulegen, wann ein Disaster-Recovery-Test durchgeführt werden sollte, um ein Worst-Case-Szenario beim Eintritt einer Katastrophe zu vermeiden.

Idealerweise sollten Unternehmen eine umfassende Strategie für Backup-Tests entwickeln, und es gibt einige Schlüsselelemente, die sie dabei berücksichtigen sollten. Zwei primäre Strategieelemente sind das Wiederherstellungspunktziel (RPO) und das Wiederherstellungszeitziel (RTO). Ein Unternehmen kann sein RPO durch die Höhe des Datenverlustes bestimmen, den es im Falle eines Vorfalls maximal tolerieren kann – es geht um die Zeitspanne, die während eines Vorfalls vergehen kann, bevor die Menge der verlorenen Daten die vorab definierte Toleranzgrenze überschreitet. Aus dem RPO ergibt sich die Häufigkeit der Datensicherung, ob beispielsweise stündlich, einmal täglich oder alle sieben Tage.

Die RTO ist die Zeit, die für die Wiederherstellung eines voll funktionsfähigen Betriebs nach einem Vorfall zur Verfügung steht. Die Wiederherstellung ist der Unterbrechungszeitraum, der Auswirkungen auf das Neugeschäft, die Mitarbeiter und den täglichen Betrieb hat. Unternehmen sollten ihre Annahmen deshalb bezüglich der Auswirkungen von Unterbrechungen und der zulässigen Wiederherstellungszeit im Rahmen ihrer Teststrategie validieren.

In der Arcserve-Studie geben 83 Prozent der Befragten an, dass eine Ausfallzeit von 12 Stunden oder weniger für kritische Systeme akzeptabel ist, bevor es zu messbaren negativen Auswirkungen auf das Geschäft kommt. Dennoch sind nur 52 Prozent der Befragten in der Lage, einen schwerwiegenden Datenverlust innerhalb von 12 Stunden oder weniger zu beheben, während 29 Prozent der befragten Unternehmen angeben, dass sie ihre Daten nicht innerhalb eines Tages wiederherstellen könnten.

Diese Umfrageergebnisse zeigen eine Kluft zwischen den Erwartungen und den tatsächlichen Fähigkeiten. Unternehmen sollten sich darauf konzentrieren, ihre Datenwiederherstellungsfähigkeiten zu verbessern, um dieses Problem zu beheben und ihre akzeptablen Ausfallzeiten anzugleichen. Dies kann die Implementierung robusterer Sicherungs- und Wiederherstellungslösungen und die Verbesserung von Notfallwiederherstellungsplänen beinhalten. Dazu gehört auch, dass die Prozesse regelmäßig getestet und aktualisiert werden, um ihre Wirksamkeit zu gewährleisten. Indem sie diese Lücke schließen, können Unternehmen die negativen Auswirkungen von Datenverlusten besser abmildern und Ausfallzeiten minimieren und so ihren Betrieb und ihren Ruf schützen.

Fazit

Cyber-Bedrohungen sind heute allgegenwärtig. So stellt IBM in seinem Bericht „Cost of a Data Breach 2022“ fest, dass 83 Prozent der Unternehmen im vergangenen Jahr mehr als eine Datenschutzverletzung erlitten haben. Organisationen sollten also vorbereitet sein und handeln. Dies bedeutet, potenzielle Bedrohungen zu verstehen, Risiken zu mindern und Strategien für die Wiederherstellung zu entwickeln. Eine solche proaktive Haltung kann den entscheidenden Unterschied ausmachen, wenn es darum geht, dass ein Unternehmen eine Katastrophe möglichst unbeschadet übersteht.

Wie aus zahlreichen Ransomware-Vorfällen zu sehen ist, haben unvorbereitete Unternehmen oft mit schwerwiegenden Folgen zu kämpfen, die bis zum völligen Bankrott führen können. Auf der anderen Seite haben Unternehmen, die der Vorbereitung Priorität einräumen, bessere Chancen, Katastrophen zu überstehen und sich davon zu erholen. Die Vorbereitung ist ausschlaggebend dafür, ob ein Unternehmen nach einem Vorfall wieder auf die Beine kommt oder in den Ruin stürzt.

*René Claus ist EMEA MSP Sales Director bei Arcserve.


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*