Business Continuity ist für den Fortbestand Ihres Unternehmens von entscheidender Bedeutung. Unterbrechungen und Beschädigungen Ihres IT-Systems wie Störungen Ihrer Infrastruktur, Naturkatastrophen oder Cyberangriffe können echte Bedrohungen für die Sicherheit Ihres Business darstellen. Dem jüngsten Bericht von Veeam zufolge sind 2022 85 % der befragten Unternehmen mit einem Ransomware-Angriff konfrontiert gewesen. Von den unmittelbaren finanziellen Folgen abgesehen können Vor- oder Ausfälle die Daten Ihrer Kund:innen vorübergehend oder dauerhaft beschädigen. Solche Verluste schaden Ihrem Ruf enorm. Deshalb ist es wichtig, Ihrem eigenen Disaster Recovery Plan besondere Aufmerksamkeit zu schenken.

Um Ihr Unternehmen nicht in Gefahr zu bringen, werden Tools und Prozesse zum Eindämmen der negativen Folgen eines solchen Vorfalls benötigt. Mit derartigen Vorkehrungen können Sie die Risiken beschränken und potenziellem Schaden vorgreifen. Dies gelingt insbesondere durch:

•     Die Einrichtung von Backups
•     Die Implementierung eines Disaster Recovery Plan (DRP oder DRP)
•     Business-Continuity-Planung

Die kontinuierliche und exponentielle Zunahme der Daten stellt für Unternehmen eine große Herausforderung dar, denn sie müssen nicht nur ihr Geschäft und ihre Infrastruktur, sondern auch ihre eigenen Daten und die Daten ihrer Kund:innen schützen.

Mit einem Disaster Recovery Plan (DRP) können Sie sich nicht nur gegen geschäftlichen Stillstand wappnen, sondern auch von vielen Vorteilen profitieren. Datenbedingte Pannen können diverse Folgen haben. Neben dem finanziellen Aspekt kann ein solches Ereignis sich auf vielen weiteren Ebenen auf Ihr Unternehmen auswirken. Das zeigt zum Beispiel die folgende Grafik:

Die Resilienz von Daten und IT-Infrastrukturen wird immer wichtiger, um Business Continuity sicherzustellen. Dieses Konzept der Resilienz kann als Widerstandsfähigkeit gegen potenzielle Unterbrechungen und Ihre Fähigkeit zur kontinuierlichen Aufrechterhaltung des Betriebs verstanden werden. Und zwar trotz einer – wenn auch vorübergehenden – Nichtverfügbarkeit Ihrer Daten oder Ihrer ursprünglichen Infrastruktur. Diese hohe Verfügbarkeit sorgt zusammen mit dem Schutz der Daten durch regelmäßige Sicherungen und einen Disaster Recovery Plan dafür, dass Ihre Daten und die Daten Ihrer Kund:innen nicht vollständig verlorengehen. Sie stellen dadurch sicher, dass Sie bei einer Unterbrechung (Beschädigung der Festplatte, Hacking, menschliches Versagen, Naturkatastrophen usw.) den Betrieb wieder aufnehmen können.

Der DRP definiert die Prozesse, die erforderlich sind, um im Fall einer Störung oder Unterbrechung den Betrieb wieder aufzunehmen. Die wichtigsten Kennzahlen zum Bestimmen Ihrer Strategie sind:

• Das RPO (Recovery Point Objective): Dieser Begriff steht für die maximal zulässige Quote an Datenverlust. Sie wird über einen bestimmten Zeitraum gemessen und ist in der Regel wie folgt gestaffelt: keinerlei Verluste möglich, 1 Stunde, 4 Stunden oder 24 Stunden seit dem letzten Daten-Backup.
• Das RTO (Recovery Time Objective): Dieser Begriff steht für die maximal zulässige Dauer der Unterbrechung, d. h. wie lange eine Anwendung außer Betrieb bleiben kann, bevor sie neu gestartet wird. Das RTO ist ähnlich gestaffelt wie das RPO: keine Zeitspanne zulässig, 1 Stunde, 4 Stunden oder 24 Stunden vor der Wiederaufnahme des Betriebs.

Diese Kennzahlen müssen vorab je nach Bedeutung der Daten definiert werden, die von einer Störung betroffen sein können. Für eine bestimmte Art von Anwendung ist nicht unbedingt derselbe Disaster Recovery Plan erforderlich wie für eine andere. So kann beispielweise bei einer Anwendung, die Bankdaten nutzt, keinerlei Ausfallzeit oder Datenverlust geduldet werden. Im Gegensatz dazu ist eine institutionelle Anwendung zwar wichtig, aber nicht kritisch. Daher kann eine gewisse Unterbrechungszeit geduldet werden.

Bei OVHcloud haben wir uns dafür entschieden, unsere Kunden bei der Implementierung eines DRP mit den Lösungen unserer Technologiepartner zu unterstützen. Dank unserer Partner können wir Ihnen die gängigsten und bewährtesten Lösungen für Ihren Disaster Recovery Plan anbieten. Veeam und Zerto sind ein Paradebeispiel für die Bedeutung und den Mehrwert dieser technologischen Partnerschaften.

Mit einem DRP können Sie die Auswirkungen von Störungen auf Ihren Betrieb begrenzen und Datenverluste aufgrund einer zeitweiligen Dienstunterbrechung reduzieren. Bestimmte Arten von Unternehmen wie Banken oder IT-Dienstleister können sich jedoch keine Ausfallzeiten leisten. Sie benötigen jederzeit verfügbare Online-Dienste. Dazu muss eine resiliente Infrastruktur aufgebaut werden, die jederzeit funktionsfähig und verfügbar bleibt.

Der Aufbau widerstandsfähiger Infrastrukturen ist das Ziel, das es für die Sicherheit eines Unternehmens zu erreichen gilt. Die Implementierung eines effektiven Disaster Recovery Plan ist jedoch ein Prozess, der kontinuierlich angepasst werden muss. Der DRP muss regelmäßig getestet und aktualisiert werden. Ihr Bestand an IT-Lösungen und Ihre Infrastruktur verändern sich – und damit auch Ihre Sicherheitsanforderungen.

„[...] Resilienz muss als globaler Ansatz innerhalb des Unternehmens betrachtet werden. Keinesfalls sind hier nur die IT-Abteilung oder die Sicherheitsexperten in der Pflicht. Für das Unternehmen allgemein ist es wichtig, eine Kultur des IT-Risikomanagements aufzubauen. Alle Ebenen müssen einbezogen werden. In dieser umfassenden Strategie müssen alle ihre Rolle und Verantwortung kennen. Um einen Plan für IT-Resilienz umzusetzen, braucht es zunächst eine realistische Risikobewertung. Eine solche Bewertung muss regelmäßig durchgeführt werden. Im Allgemeinen empfehlen wir, die kritischen Punkte Ihres Systems alle 6 Monate einer solchen Bewertung zu unterziehen.“

Arnaud Wetzel, Mitgründer und CTO von KBRW, und Ronan Garet, Site Reliability Engineer

Mit einem Disaster Recovery Plan können Sie auf unvorhergesehene Ereignisse reagieren, die Ihrem Business schaden könnten. Um Business Continuity zu gewährleisten, müssen Sie möglichst frühzeitig planen, was vor, während und nach einer Störung zu tun ist. So können Sie Ihre Services am Laufen halten und für optimale Abläufe in Ihrem Unternehmen sorgen.

Die Planung basiert auf drei Elementen:

• Es gilt, eine transparente und zuversichtliche Kommunikation über die Ihnen zur Verfügung stehenden Kanäle sicherzustellen (z. B. E-Mails, soziale Netzwerke, Presse). Halten Sie Ihre Teams, Kunden und Partner über den Fortschritt der Problembehebung auf dem Laufenden und informieren Sie sie, sobald diese abgeschlossen ist.
• Erstellen Sie einen Aktionsplan für Ihre Teams, falls eine Störung auftritt. Sie müssen wissen, was zu tun ist und wen sie kontaktieren sollen. Informieren Sie sie regelmäßig über Planungsfortschritte und Änderungen der Sicherheitsstrategie.
• Ihre IT-Infrastruktur muss widerstandsfähig sein. Das ist die beste Möglichkeit, um die beständige Verfügbarkeit Ihrer Online-Dienste zu fördern. So vermeiden Sie Verluste oder Kosten aufgrund von Unterbrechungen.

Wenn Sie die nötigen Verfahren durchplanen, können Sie die meisten kritischen Situationen für Ihr Unternehmen meistern. Unsere Partner können Sie bei der Erstellung eines DRP oder bei der Business-Continuity-Planung beraten.

„[...] Der erste Schritt besteht darin, die Anforderungen in puncto Resilienz für den gehosteten Dienst zu ermitteln. Daher muss für jeden Dienst die Kritikalität und das Risiko im Falle eines Verfügbarkeitsproblems definiert werden. Nach der Bestandsaufnahme beginnt auf deren Grundlage die Konzeptionsphase. […] Wir unterscheiden drei wesentliche Aspekte der Infrastruktur, die ein Kunde zwecks Resilienz berücksichtigen muss:

Resilienz der Produktionsinfrastruktur
Implementierung von Backups
Implementierung des DRP

Diese Lösungen müssen natürlich abgesichert sein, um den Erhalt aller Kundendaten zu gewährleisten.“

Jean-Charles Ferrand, Geschäftsführer von Partitio

* Laut einer Studie der Softwarefirma CA Technologies.