custom background image

 

 

 

Bestens vorbereitet, vom Backup bis hin zur Business Continuity

Business Continuity ist für den Fortbestand Ihres Unternehmens von entscheidender Bedeutung. Unterbrechungen und Beschädigungen Ihres IT-Systems wie Störungen Ihrer Infrastruktur, Naturkatastrophen oder Cyberangriffe können echte Bedrohungen für die Sicherheit Ihres Business darstellen. Dem jüngsten Bericht von Veeam zufolge sind 2022 85 % der befragten Unternehmen mit einem Ransomware-Angriff konfrontiert gewesen. Von den unmittelbaren finanziellen Folgen abgesehen können Vor- oder Ausfälle die Daten Ihrer Kund:innen vorübergehend oder dauerhaft beschädigen. Solche Verluste schaden Ihrem Ruf enorm. Deshalb ist es wichtig, Ihrem eigenen Disaster Recovery Plan besondere Aufmerksamkeit zu schenken.

Um Ihr Unternehmen nicht in Gefahr zu bringen, werden Tools und Prozesse zum Eindämmen der negativen Folgen eines solchen Vorfalls benötigt. Mit derartigen Vorkehrungen können Sie die Risiken beschränken und potenziellem Schaden vorgreifen. Dies gelingt insbesondere durch:

  •     Die Einrichtung von Backups
  •     Die Implementierung eines Disaster Recovery Plan (DRP oder DRP)
  •     Business-Continuity-Planung

Hintergrund und Marktsituation

Die kontinuierliche und exponentielle Zunahme der Daten stellt für Unternehmen eine große Herausforderung dar, denn sie müssen nicht nur ihr Geschäft und ihre Infrastruktur, sondern auch ihre eigenen Daten und die Daten ihrer Kund:innen schützen.

Mit einem Disaster Recovery Plan (DRP) können Sie sich nicht nur gegen geschäftlichen Stillstand wappnen, sondern auch von vielen Vorteilen profitieren. Datenbedingte Pannen können diverse Folgen haben. Neben dem finanziellen Aspekt kann ein solches Ereignis sich auf vielen weiteren Ebenen auf Ihr Unternehmen auswirken. Das zeigt zum Beispiel die folgende Grafik:

 

data disruption

Sie können verschiedene Maßnahmen ergreifen, um die negativen Auswirkungen eines möglichen Angriffs auf Ihr Informationssystem so gering wie möglich zu halten.

  • Führen Sie regelmäßige und wiederherstellbare Backups Ihrer Daten aus.
  •  Implementieren Sie eine realistische und effiziente DRP-Strategie für Ihr Business.

Backups und Datenreplikation

Die Resilienz von Daten und IT-Infrastrukturen wird immer wichtiger, um Business Continuity sicherzustellen. Dieses Konzept der Resilienz kann als Widerstandsfähigkeit gegen potenzielle Unterbrechungen und Ihre Fähigkeit zur kontinuierlichen Aufrechterhaltung des Betriebs verstanden werden. Und zwar trotz einer – wenn auch vorübergehenden – Nichtverfügbarkeit Ihrer Daten oder Ihrer ursprünglichen Infrastruktur. Diese hohe Verfügbarkeit sorgt zusammen mit dem Schutz der Daten durch regelmäßige Sicherungen und einen Disaster Recovery Plan dafür, dass Ihre Daten und die Daten Ihrer Kund:innen nicht vollständig verlorengehen. Sie stellen dadurch sicher, dass Sie bei einer Unterbrechung (Beschädigung der Festplatte, Hacking, menschliches Versagen, Naturkatastrophen usw.) den Betrieb wieder aufnehmen können.

Was macht ein gutes Backup aus?

Ein effektives Backup ist eine Kopie Ihrer Daten, die Sie im Falle einer Störung schnell und einfach abrufen können. Die Wiederherstellung dieser Backups ist dabei am wichtigsten.

Die „3-2-1-1-0“-Regel: die optimale Backup-Strategie für Business Continuity

  • Sie haben 3 Kopien Ihrer Daten.

  • Diese Kopien befinden sich auf 2 verschiedenen Datenträgern, um vor Verlust, Manipulation oder Hacking geschützt zu sein.

  • 1 Kopie ist an einem anderen geografischen Ort gespeichert.

  • 1 Kopie ist vom Netzwerk isoliert oder per Air Gap separiert.

  • Nach Ihren Tests sind 0 nicht mehr nutzbare Daten vorhanden.

3-2-1 Backup

Mit dieser Strategie können Sie sich gegen viele Szenarien wappnen, in denen es zu Datenverlusten kommt. Sie gilt sowohl für Ihre kritischen Daten als auch für Daten, die Sie aus Sicherheitsgründen und Aufgrund der Anforderungen Ihres Unternehmens schützen möchten.

Um Ihnen diese Backup-Strategie besser zu verdeutlichen, nehmen wir das Beispiel von Unternehmen X. Es handelt sich um eine medizinische Software-as-a-Service-Plattform (SaaS), die Ihren Teams eine kostenlose und vertrauliche Betreuung on demand ermöglicht. Die Plattform generiert, nutzt und speichert kritische, persönliche und vertrauliche Kundendaten. Um den Schutz dieser Daten zu gewährleisten, hat sich das Unternehmen für Folgendes entschieden:

•    Ein Backup seiner Daten auf einem Server in Gravelines
•    Ein Backup seiner Daten auf einer externen Festplatte
•    Ein weiteres Backup seiner Daten auf einem Remote-Server in Roubaix

Im Falle einer Störung am Standort Gravelines stehen die Daten auf dem Server in Roubaix zur Verfügung. In dem seltenen Fall, dass beide Server ausfallen, können die Daten von der externen Festplatte auf einem neuen Gerät wiederhergestellt werden. Mit dieser Lösung reduzieren Sie das Risiko eines kompletten Datenverlusts, der eintreten könnte, wenn die Daten an zentraler Stelle an nur einem Standort und auf dem gleichen Datenträger gespeichert wären.

Dank dieser Methode verfügen Sie über ein umfassendes Backup-System für Ihre Cloud-Architektur. Im Falle einer Störung wird die Wiederaufnahme des Betriebs durch die verschiedenen Kopien Ihrer Daten erleichtert, die auf den für diesen Zweck genutzten Servern gehostet werden. Die Implementierung eines Systems mit wöchentlichen, täglichen oder regelmäßigen Backups erlaubt es Ihnen, Ihre Strategie auf die Bedeutung der zu schützenden Daten abzustimmen.

Datenreplikation für eine schnellere Wiederaufnahme des Betriebs

Die Datenreplikation ist ebenfalls eine effektive Backup-Strategie. Sie kann in Echtzeit durchgeführt werden und ermöglicht die Erstellung von Kopien Ihrer Daten in verschiedenen Rechenzentren. Bei einer Störung in einem der Rechenzentren sind die Informationen weiterhin aktiv und in den anderen Rechenzentren verfügbar, zu denen dann gewechselt wird. So ist die Business Continuity gewährleistet. Um Ihnen diese Strategie besser zu verdeutlichen, nehmen wir Unternehmen Y als Beispiel.

ForePaaS

Die Daten seiner Cloud-Management-Plattform werden in Echtzeit in drei Rechenzentren repliziert. Eines ist in Nordamerika, die beiden anderen befinden sich in zwei verschiedenen Städten in Europa. Sollte es an einem der Standorte zu einem größeren Vorfall kommen, könnte das Unternehmen seine Daten von einem anderen Standort abrufen. So könnte der Betrieb sofort wieder aufgenommen werden.

Ein Backup-System ist aber nur eine Möglichkeit, um Sie vor Datenverlust zu schützen. Auch wenn es die Grundlage für Business Continuity bildet, liegt es in Ihrer Verantwortung, die notwendigen Maßnahmen dafür vorwegzunehmen, um einen schnellen Neustart Ihrer Dienste im Falle einer Unterbrechung zu ermöglichen.

Der Disaster Recovery Plan

Der DRP definiert die Prozesse, die erforderlich sind, um im Fall einer Störung oder Unterbrechung den Betrieb wieder aufzunehmen. Die wichtigsten Kennzahlen zum Bestimmen Ihrer Strategie sind:

RPO_RTO
  • Das RPO (Recovery Point Objective): Dieser Begriff steht für die maximal zulässige Quote an Datenverlust. Sie wird über einen bestimmten Zeitraum gemessen und ist in der Regel wie folgt gestaffelt: keinerlei Verluste möglich, 1 Stunde, 4 Stunden oder 24 Stunden seit dem letzten Daten-Backup.
  • Das RTO (Recovery Time Objective): Dieser Begriff steht für die maximal zulässige Dauer der Unterbrechung, d. h. wie lange eine Anwendung außer Betrieb bleiben kann, bevor sie neu gestartet wird. Das RTO ist ähnlich gestaffelt wie das RPO: keine Zeitspanne zulässig, 1 Stunde, 4 Stunden oder 24 Stunden vor der Wiederaufnahme des Betriebs.

Diese Kennzahlen müssen vorab je nach Bedeutung der Daten definiert werden, die von einer Störung betroffen sein können. Für eine bestimmte Art von Anwendung ist nicht unbedingt derselbe Disaster Recovery Plan erforderlich wie für eine andere. So kann beispielweise bei einer Anwendung, die Bankdaten nutzt, keinerlei Ausfallzeit oder Datenverlust geduldet werden. Im Gegensatz dazu ist eine institutionelle Anwendung zwar wichtig, aber nicht kritisch. Daher kann eine gewisse Unterbrechungszeit geduldet werden.

 

On Prem backaup

Nicht kritische Anwendung RPO > 24 Stunden | RTO > 48 Stunden

Das Unternehmen kann länger als einen Tag ohne diese Anwendung arbeiten.

Die Anwendung läuft:

  • In einem Rechenzentrum.
  • Die Backups der Daten befinden sich in einem zweiten Rechenzentrum.

Das Unternehmen stellt die Anwendung also mit den Backup-Daten im zweiten Rechenzentrum wieder her, wenn das erste Rechenzentrum ausfällt.

Primary Secondary Backup

Wesentliche Anwendung RPO > 1 Stunden | RTO > 4 Stunden

Das Unternehmen kann ohne diese Anwendungen arbeiten, aber nicht länger als eine Stunde.

Die Anwendung läuft:

  • In einem Hauptrechenzentrum.
  • Die Daten werden an einen zweiten Standort repliziert, der über 100 km entfernt ist.
  • Am zweiten Standort stehen Ressourcen zur Vorbereitung der Recovery bereit.
  • Die Backups werden gemäß der 3-2-1-1-0-Regel in einem Drittrechenzentrum gespeichert.
Load Balancing

Kritische Anwendung RPO ~ 0 | RTO < Minuten

Ohne diese Anwendungen kann das Unternehmen nicht arbeiten.

Die Anwendung läuft:

  • In einem Hauptrechenzentrum.
  • Die Daten werden an einen zweiten Standort repliziert, der über 100 km entfernt ist.
  • Am zweiten Standort stehen Ressourcen zur Vorbereitung der Recovery bereit.
  • Die Backups werden gemäß der 3-2-1-1-0-Regel in einem Drittrechenzentrum gespeichert.

 

Load Balancing

Sehr kritische Anwendung RPO ~ 0 | RTO ~ 0

Ohne diese Anwendungen kann das Unternehmen nicht arbeiten.

Die Anwendung läuft:

  • In 2 Rechenzentren, die mehrere Kilometer voneinander entfernt sind (über 100 km).
  • Die Daten werden zwischen den beiden Standorten synchronisiert.
  • Die Backups werden gemäß der 3-2-1-1-0-Regel in einem Drittrechenzentrum gespeichert.

 

Bei OVHcloud haben wir uns dafür entschieden, unsere Kunden bei der Implementierung eines DRP mit den Lösungen unserer Technologiepartner zu unterstützen. Dank unserer Partner können wir Ihnen die gängigsten und bewährtesten Lösungen für Ihren Disaster Recovery Plan anbieten. Veeam und Zerto sind ein Paradebeispiel für die Bedeutung und den Mehrwert dieser technologischen Partnerschaften.

Mit einem DRP können Sie die Auswirkungen von Störungen auf Ihren Betrieb begrenzen und Datenverluste aufgrund einer zeitweiligen Dienstunterbrechung reduzieren. Bestimmte Arten von Unternehmen wie Banken oder IT-Dienstleister können sich jedoch keine Ausfallzeiten leisten. Sie benötigen jederzeit verfügbare Online-Dienste. Dazu muss eine resiliente Infrastruktur aufgebaut werden, die jederzeit funktionsfähig und verfügbar bleibt.

Der Aufbau widerstandsfähiger Infrastrukturen ist das Ziel, das es für die Sicherheit eines Unternehmens zu erreichen gilt. Die Implementierung eines effektiven Disaster Recovery Plan ist jedoch ein Prozess, der kontinuierlich angepasst werden muss. Der DRP muss regelmäßig getestet und aktualisiert werden. Ihr Bestand an IT-Lösungen und Ihre Infrastruktur verändern sich – und damit auch Ihre Sicherheitsanforderungen.

„[...] Resilienz muss als globaler Ansatz innerhalb des Unternehmens betrachtet werden. Keinesfalls sind hier nur die IT-Abteilung oder die Sicherheitsexperten in der Pflicht. Für das Unternehmen allgemein ist es wichtig, eine Kultur des IT-Risikomanagements aufzubauen. Alle Ebenen müssen einbezogen werden. In dieser umfassenden Strategie müssen alle ihre Rolle und Verantwortung kennen. Um einen Plan für IT-Resilienz umzusetzen, braucht es zunächst eine realistische Risikobewertung. Eine solche Bewertung muss regelmäßig durchgeführt werden. Im Allgemeinen empfehlen wir, die kritischen Punkte Ihres Systems alle 6 Monate einer solchen Bewertung zu unterziehen.“

Arnaud Wetzel, Mitgründer und CTO von KBRW, und Ronan Garet, Site Reliability Engineer

Business Continuity für Ihr Unternehmen

Mit einem Disaster Recovery Plan können Sie auf unvorhergesehene Ereignisse reagieren, die Ihrem Business schaden könnten. Um Business Continuity zu gewährleisten, müssen Sie möglichst frühzeitig planen, was vor, während und nach einer Störung zu tun ist. So können Sie Ihre Services am Laufen halten und für optimale Abläufe in Ihrem Unternehmen sorgen.

Die Planung basiert auf drei Elementen:

  • Es gilt, eine transparente und zuversichtliche Kommunikation über die Ihnen zur Verfügung stehenden Kanäle sicherzustellen (z. B. E-Mails, soziale Netzwerke, Presse). Halten Sie Ihre Teams, Kunden und Partner über den Fortschritt der Problembehebung auf dem Laufenden und informieren Sie sie, sobald diese abgeschlossen ist.
  • Erstellen Sie einen Aktionsplan für Ihre Teams, falls eine Störung auftritt. Sie müssen wissen, was zu tun ist und wen sie kontaktieren sollen. Informieren Sie sie regelmäßig über Planungsfortschritte und Änderungen der Sicherheitsstrategie.
  • Ihre IT-Infrastruktur muss widerstandsfähig sein. Das ist die beste Möglichkeit, um die beständige Verfügbarkeit Ihrer Online-Dienste zu fördern. So vermeiden Sie Verluste oder Kosten aufgrund von Unterbrechungen.

Wenn Sie die nötigen Verfahren durchplanen, können Sie die meisten kritischen Situationen für Ihr Unternehmen meistern. Unsere Partner können Sie bei der Erstellung eines DRP oder bei der Business-Continuity-Planung beraten.

„[...] Der erste Schritt besteht darin, die Anforderungen in puncto Resilienz für den gehosteten Dienst zu ermitteln. Daher muss für jeden Dienst die Kritikalität und das Risiko im Falle eines Verfügbarkeitsproblems definiert werden. Nach der Bestandsaufnahme beginnt auf deren Grundlage die Konzeptionsphase. […] Wir unterscheiden drei wesentliche Aspekte der Infrastruktur, die ein Kunde zwecks Resilienz berücksichtigen muss:

Resilienz der Produktionsinfrastruktur
Implementierung von Backups
Implementierung des DRP

Diese Lösungen müssen natürlich abgesichert sein, um den Erhalt aller Kundendaten zu gewährleisten.“

Jean-Charles Ferrand, Geschäftsführer von Partitio

* Laut einer Studie der Softwarefirma CA Technologies.