Disaster Recovery Plan

Read in English (Auf Englisch lessen)

Unvorhergesehene Katastrophen können einem Unternehmen irreparablen Schaden zufügen. Ob Naturkatastrophen, Datenschutzverletzungen oder technische Fehlfunktionen - sie alle treten unerwartet und ohne Vorwarnung auf.

Deshalb stellen sich Unternehmer nach einem unerwarteten Ereignis oft die beunruhigende Frage: Kann mein Unternehmen wieder auf die Beine kommen und sich von den Auswirkungen erholen?

Beispielsweise gehen 60 % aller Kleinunternehmen innerhalb von 6 Monaten nach einer Cyberattacke pleite [1] . Die Vorbereitung auf den Katastrophenfall ist eine Möglichkeit, um sicherzustellen, dass Ihr Unternehmen auch unter schwierigen Umständen weiterarbeiten kann. Das ist der Zweck eines Disaster Recovery Plans. Lesen Sie weiter und erfahren Sie mehr über die Feinheiten einer unternehmensorientierten Notfallplanung.

Was ist ein Disaster Recovery Plan?

Ein Disaster Recovery Plan (DRP) beschreibt einen systematischen und dokumentierten Ansatz, wie ein Unternehmen seinen Betrieb nach einem unerwarteten Ausfall schnell wiederherstellen kann. Als wesentlicher Aspekt des Business Continuity Plan (BCP) eines Unternehmens ist ein DRP darauf ausgerichtet, die von der IT-Infrastruktur abhängigen Eigenschaften eines Unternehmens wiederherzustellen. 

Das Hauptziel eines DRP besteht darin, Datenverluste zu minimieren und den Systembetrieb wiederherzustellen, sodass ein Unternehmen nach einem Störungsereignis weiterarbeiten kann, wenn auch nur auf einer grundlegenden Ebene.

Arten von Disaster Recovery Plans

Disaster Recovery Plans unterscheiden sich von Organisation zu Organisation, mit Optionen zur Planung von Netzwerkkatastrophen und anderen. In der folgenden Liste finden Sie einige Standardpläne für die Wiederherstellung im Katastrophenfall und die ihnen zugrunde liegende Methodik:

1. Virtueller Disaster Recovery Plan

Ein virtueller Disaster Recovery Plan umfasst Strategien zum Klonen von Workloads, in der Regel in eine andere Cloud oder an einen anderen physischen Standort. Um sicherzustellen, dass die Backup-Instanzen der virtuellen Maschinen nach einer Katastrophe wie geplant funktionieren, müssen Sie die Anwendungen innerhalb der Grenzen des Wiederherstellungspuntes (RPO) und der Wiederherstellungszeit (RTO) testen. RPO und RTO definieren, wie viel Datenverlust und Ausfallzeit ein Unternehmen tolerieren kann. 

2. Notfallplan für das Netzwerk

Ein Netzwerkwiederherstellungsplan zielt darauf ab, die Netzwerkinfrastruktur einer Organisation wiederherzustellen, wenn ein Ereignis eintritt, das den Dienst unterbricht oder Systemausfälle verursacht. Bei diesem Aspekt der Notfallplanung geht es darum, sicherzustellen, dass Sicherungsdaten und alternative Standorte verfügbar sind, und eine Strategie zur Wiederherstellung der Kontrolle über die Netzwerkdienste zu entwickeln.

 3. Cloud-Disaster-Recovery-Plan

Ein Cloud-DRP nutzt Cloud-Lösungen zur Replikation und zum Hosting der virtuellen und physischen Server eines Unternehmens. Die Notfallwiederherstellung in der Cloud kann zwar in Bezug auf Platz, Zeit und Kosten effizienter sein, erfordert jedoch eine sorgfältige Verwaltung, um ihre Wirksamkeit zu gewährleisten.

4. Disaster Recovery Plan für Rechenzentren 

 Ein DRP für Rechenzentren konzentriert sich in erster Linie auf die Einrichtungen und die Infrastruktur von Rechenzentren. Ein Schlüsselelement dieser Art von Plan ist eine Bewertung des Betriebsrisikos, bei der kritische Komponenten wie der Standort des Bürogebäudes, die Stromversorgungssysteme und die Sicherheit bewertet werden. Die Wiederherstellungsstrategie umfasst die Aufrechterhaltung eines Backup-Standorts an einem sekundären Standort, um die betriebliche Kontinuität während einer Katastrophe zu gewährleisten. 

Welche Branchen sollten einen Disaster Recovery Plan haben?

Unabhängig von Größe und Branche müssen alle Branchen über einen Notfallplan verfügen, um auf unvorhergesehene Katastrophen vorbereitet zu sein und darauf reagieren zu können. Von Wirbelstürmen und Überschwemmungen bis hin zu Cyberangriffen und menschlichem Versagen - Katastrophen gibt es in allen Formen und Ausprägungen.

Branchen, die mit sensiblen Informationen umgehen, wie das Gesundheitswesen, das Finanzwesen und die öffentliche Verwaltung, sind besonders anfällig für Cyberangriffe und sollten über einen umfassenden Notfallplan verfügen. 

Eine weitere Branche, die von einem DRP profitiert, ist das verarbeitende Gewerbe, das eine Vielzahl von Sektoren umfasst, darunter die Elektronik-, Automobil-, Textil- und Luftfahrtindustrie. Kleine Unternehmen, die oft nur über begrenzte Ressourcen verfügen, sollten ebenfalls einen Disaster Recovery Plan haben, um die Auswirkungen von Unterbrechungen zu mildern.

Vorteile eines Disaster Recovery Plans

Ein Disaster Recovery Plan bringt den unmittelbaren Vorteil mit sich, dass er die Kontinuität des Unternehmens auch bei widrigen Umständen sicherstellt. Einige weitere bemerkenswerte Vorteile der Erstellung eines DRP sind:

• Kostenoptimierung: Der Einsatz von Cloud-basiertem Datenmanagement als Teil eines Disaster Recovery Plans hilft, die hohen Kosten für Backup und Wiederherstellung zu senken. 

• Einhaltung von Vorschriften: DRPs helfen Unternehmen, Branchenvorschriften besser einzuhalten. 

• Bessere Kundenbindung: Die Verhinderung von Datenverlusten und Ausfallzeiten während und nach einer Katastrophe erhöht die Loyalität gegenüber einem Unternehmen. 

Wer erstellt Disaster-Recovery-Pläne?

In der Regel ist die IT-Abteilung oder ein bestimmtes Disaster-Recovery-Team innerhalb des Unternehmens für die Erstellung eines Disaster Recovery Plans verantwortlich. Beispiele für wichtige Akteure sind Krisenmanagement-Koordinatoren, Business-Continuity-Experten, Folgenabschätzungs- und Wiederherstellungsteams und andere.

Wie man einen Disaster Recovery Plan erstellt

Alles beginnt mit einer Risikobewertung, um Schwachstellen zu ermitteln. Danach können die folgenden Schritte als Leitfaden für die Entwicklung eines DRP dienen:

1. Risikobewertung durchführen

Die Analyse der geschäftlichen Auswirkungen , die die organisatorischen und finanziellen Folgen von Geschäftsunterbrechungen vorhersagen, ist der erste Schritt zur Erstellung eines Disaster Recovery Plans. Achten Sie darauf, dass Sie die Infrastruktur und geografische Risikofaktoren in Ihre Analyse einbeziehen. Berücksichtigen Sie zum Beispiel die Möglichkeit, dass Mitarbeiter bei Naturkatastrophen Zugang zum Rechenzentrum haben. Ihre Risikoanalyse sollte unabhängig von der vorhandenen Cloud-Sicherung und den verfügbaren Unternehmensstandorten und der Infrastruktur sein.

2. Prüfen Sie die wichtigsten Notwendigkeiten 

Im Anschluss an die Risikobewertung sollten Sie die kritischen Bedürfnisse der einzelnen Abteilungen Ihres Unternehmens ermitteln. Anhand dieser Informationen können Sie alternative Lösungen entwickeln, die im Katastrophenfall Ausfallzeiten vermeiden helfen. Eine schriftliche Vereinbarung über die gewählten Alternativen ist von Vorteil. Darin können Sie u. a. spezifische Details zu Sicherheitsverfahren, Verfügbarkeit und Kosten festlegen.

3. Legen Sie Ziele für den Disaster Recovery Plan fest 

Bestimmen Sie das Ziel für die Wiederherstellungszeit (RTO) und den Wiederherstellungspunkt (RPO) auf der Grundlage der Kosten der Ausfallzeit und der Datenmenge, die Ihr Unternehmen sich leisten kann, zu verlieren. Beurteilen Sie außerdem alle getroffenen Service Level Agreements (SLAs). Ein SLA beschreibt die Dienstleistungen, die Ihr Unternehmen seinen Kunden anbietet, und legt die Servicestandards fest, die Sie einhalten wollen.

Erstellen Sie dementsprechend einen Plan, der kritische Kontaktinformationen, Versicherungspolicen, Inventare, Sicherungs- und Aufbewahrungspläne, temporäre Notfallwiederherstellungsstandorte und Verfahren zur Systemwiederherstellung und -wiederherstellung enthält.

4. Testen Sie den Plan

Der letzte Schritt führt alles zusammen. Testen Sie Ihren DRP, indem Sie einen ersten Probelauf durchführen. Sie können den Test auch außerhalb der regulären Betriebszeiten Ihres Unternehmens durchführen. 

Verbessern Sie schließlich den Disaster Recovery Plan, indem Sie zusätzliche Tests durchführen, z. B. eine vollständige Unterbrechung und parallele Tests.

Nächste Schritte 

Ein DRP ist für Unternehmen und Organisationen jeder Größe unerlässlich. Das Hauptziel der Notfallwiederherstellung besteht darin, Anwendungen nach einem Ausfall schnell wieder online zu bringen. Erweitern Sie Ihr Wissen über Disaster Recovery mit dem Kurs Reaktionen auf Vorfälle, BC- und DR-Konzepte, der vom International Information System Security Certification Consortium (ISC)² auf Coursera angeboten wird. Dieser einsteigerfreundliche Kurs hilft Ihnen, mehr über Computer-Sicherheitsvorfälle, Disaster Recovery und Business Continuity zu lernen.