Disaster Recovery: Warum Back-up nicht mehr ausreicht

Jan Stöver von BASYS erklärt, warum Disaster Recovery für Unternehmen unverzichtbar ist

Die Sicherheit der eigenen IT-Infrastruktur wird immer wichtiger für Unternehmen – und ist zunehmend in Gefahr. 2018 hat die Polizei in Deutschland 87.106 Fälle von Cyberkriminalität erfasst. Das ist der höchste Wert seit Beginn der Erfassung. Hacker und IT-Sicherheitsexperten liefern sich ein immer schnelleres IT-Wettrüsten um die fortschrittlichsten Angriffs- und Abwehrmaßnahmen. Zu den Bedrohungen durch Cyberkriminalität kommen Umweltkatastrophen, Brände, menschliche Fehlkonfigurationen oder Stromausfälle – auch die können die IT-Infrastruktur von Unternehmen (zer)stören. Ausfälle der IT-Infrastruktur können Produktionsstraßen, Logistik und den gesamten Finanzverkehr betreffen und sind damit echte Desaster. Eine schnelle Wiederherstellung des Normalzustands ist überlebenswichtig. Das kann ein Backup alleine nicht leisten – System Engineer Jan Stöver erzählt hier, warum.

"Wozu Disaster Recovery?" – Weil Datenverlust und Datendiebstahl nicht mehr die größte IT-Sorge für Unternehmen sein sollten

Von der IT-Infrastruktur hängt heute das Tagesgeschäft der meisten Unternehmen ab. Wenn jemand die Abhängigkeit des eigenen Unternehmens von einer funktionierenden IT-Infrastruktur unterschätzt, fragen Sie doch einmal:

Stellen Sie sich vor, das Internet wäre weg. Oder Ihr Firmennetzwerk ist für 24 Stunden platt. Wie gut könnten Sie damit arbeiten?

Die meisten merken dann: Die digitale Kommunikation zwischen Menschen und Maschinen ist unverzichtbar. Funktioniert diese Infrastruktur nicht mehr, sind ganze Abteilungen arbeitsunfähig. Die Folge: Umsatzausfälle und beschädigte Kundenbeziehungen. Was es kostet, wenn Hacker die IT-Strukturen eines Unternehmens angreifen, zeigt eine Statistik des Branchenverbandes Bitkom. Sie zeigt die Kosten in Relation zu anderen Schäden.

"Aber wir haben doch ein Back-up?" – Bei Disaster Recovery steht die Arbeitsfähigkeit im Fokus

Wenn ich heute als Dienstleister in ein neues Unternehmen komme, gibt es zumeist ein Back-up. Das war vor einigen Jahren noch anders. Back-ups sind zwar oft nicht optimal organisiert – aber zumindest gibt es sie inzwischen fast überall. Allerdings bedeutet Back-up eben „nur“ sichere Daten.

In jeder IT gibt es Abhängigkeiten, die ein Back-up nicht abbildet
Im Unterschied zum Back-up sichert Disaster Recovery nicht nur Daten, sondern ganze Datenbanken und Virtuelle Maschinen. Disaster Recovery stellt so sicher, dass das Unternehmen seine gesicherten Daten auch schnellstmöglich wieder systematisch nutzen kann. Verstehen Sie Disaster Recovery als IT-Katastrophenmanagement.

Stellen Sie sich vor, Ihr Rechenzentrum brennt ab. Ein USB-Stick mit Ihren Daten reicht dann nicht, um die Arbeit wieder aufzunehmen.

Eine reine Datensammlung kennt keine Abhängigkeiten zum Netzwerk und nicht alle Verknüpfungen Ihrer IT-Lösungen. Das ist ein wenig wie eine Software, die Sie auf Ihrem Computer installieren: Die können Sie auch nicht ohne Weiteres per Copy & Paste auf ein anderes Gerät kopieren – das ist der Unterschied zwischen einer Installation und einem Datenhaufen.

Disaster-Recovery-Plan: Disaster Recovery macht Notfälle planbar
Nach einem Desaster müssen User vielleicht vorübergehend durch einen VPN-Tunnel auf das Cloud-Back-up zugreifen. Vielleicht muss ich den Mailflow für den Kunden anpassen. Vielleicht haben Sie Ihre Unternehmenswebsite auch selbst gehostet und der Server ist defekt – was nun? Dieses „Was nun“ (und auch das Wie, Wer und Wann) organisiert ein Disaster-Recovery-Plan. Er legt fest, wer für welche Schritte verantwortlich ist und was passieren muss.

Mitarbeiter sollen auch nach einem Brand im Büro und Rechenzentrum schnellstmöglich so normal wie möglich arbeiten können.

Ganz konkret: Diese Probleme löst Disaster Recovery als Lösung "as a Service"

Die Arbeitsfähigkeit nach einem Desaster stellt ein Unternehmen sicher, wenn es auf eine Disaster-Recovery-Lösung "as a Service" zurückgreift. Das ist im Grunde eine Disaster-Recovery-Service-Flatrate. In dieser Flatrate stecken alle Services, mit denen ein Disaster-Recovery-System aktuell bleibt: die eigentliche Datensicherung, die Sicherung Ihrer replizierten IT-Infrastruktur, Monitoring, Failover-Tests und regelmäßige Updates des Disaster-Recovery-Plans zur Anpassung an neue Infrastrukturen im Unternehmen.

Schwellenwerte im Disaster Recovery: Darauf können Sie sich verlassen.

Disaster Recovery kennt vor allem zwei Schwellwerte. Über die muss ich mit Ihnen reden, wenn wir eine Disaster-Recovery-Lösung für Ihr Unternehmen erarbeiten.

Das Recovery Point Objective (RPO), etwa: Wiederherstellungszielpunkt
Für diesen Schwellwert müssen wir uns fragen: Wie viel Arbeit darf verloren gehen? Ein RPO von 24 Stunden würde bedeuten: Alle 24 Stunden zu einem festen Zeitpunkt aktualisieren wir die Disaster-Recovery-Daten. Im ungünstigsten Falle verlieren Sie also höchstens einen Tag Arbeit und Daten. 24 Stunden sind hier der Standard, meistens mit einem Wiederherstellungspunkt am Ende des Arbeitstages.

Das Recovery Time Objective (RTO), etwa: Wiederherstellungszeitziel
Hier ist die Frage: Wie lange dürfen die Systeme maximal ausfallen? Der RTO gibt also die Zeit an, die vergeht, bis nach einem Katastrophenfall die Systeme wieder laufen. Je kontinuierlicher die Wertschöpfung über IT-Systeme stattfindet oder je stärker das Geschäftsmodell auf die eigene IT-Infrastruktur aufbaut, desto niedriger sollte diese Zahl sein.