Disaster Recovery (DR) bezieht sich auf den Sicherheitsplanungsbereich, der Ihr Unternehmen vor den negativen Auswirkungen schwerwiegender unerwünschter Ereignisse schützen soll. Es ermöglicht einem Unternehmen, seine geschäftskritischen Funktionen nach einer Datenkatastrophe entweder aufrechtzuerhalten oder schnell wieder aufzunehmen, ohne dass es zu erheblichen Einbußen bei Geschäftsabläufen oder Einnahmen kommt.
Systemausfälle können durch Ereignisse verschiedenster Art verursacht werden. Das schließt nicht nur Katastrophen wie Erdbeben, Tornados oder Hurrikane ein, sondern auch Sicherheitsvorfälle wie Geräteausfälle, Cyberangriffe oder sogar Terrorismus.
Zur Vorbereitung erstellen Organisationen und Unternehmen DR-Pläne, in denen die zu befolgenden Prozesse und Maßnahmen zur Wiederaufnahme ihrer geschäftskritischen Funktionen aufgeführt sind.
Die Disaster Recovery konzentriert sich auf IT-Systeme, die die kritischen Geschäftsfunktionen eines Unternehmens unterstützen. Sie wird oft mit dem Begriff Geschäftskontinuität assoziiert, aber die beiden sind nicht vollständig austauschbar. DR ist Teil der Geschäftskontinuität. Sie konzentriert sich mehr darauf, alle Geschäftsaspekte auch bei Systemausfällen am Laufen zu halten.
Da IT-Systeme inzwischen für den Geschäftserfolg von entscheidender Bedeutung sind, ist die Disaster Recovery heute eine wichtige Säule im Prozess der Geschäftskontinuität.
Die meisten Geschäftsinhaber glauben normalerweise nicht, dass sie Opfer einer Naturkatastrophe werden könnten – bis eine unvorhergesehene Krise eintritt, die ihr Unternehmen viel Geld in Form betrieblicher und wirtschaftlicher Verluste kostet. Diese Ereignisse können unvorhersehbar sein, und als Geschäftsinhaber können Sie nicht riskieren, keinen Plan zur Vorbereitung auf Katastrophen zu haben.
Katastrophen für Unternehmen können entweder technologischer, natürlicher oder menschlicher Natur sein. Beispiele für Naturkatastrophen sind Überschwemmungen, Tornados, Hurrikane, Erdrutsche, Erdbeben und Tsunamis. Zu den von Menschen verursachten und technologischen Katastrophen gehören unter anderem Freisetzung gefährlicher Materialien, Strom- oder Infrastrukturausfälle, Bedrohungen durch chemische und biologische Waffen, Explosionen oder Meltdowns in Kernkraftwerken, Cyberangriffe, Terrorakte, Explosionen und Unruhen.
Mögliche Katastrophen, für die Pläne gemacht werden müssen, sind:
Unabhängig von Größe oder Branche muss sich Ihr Unternehmen schnell erholen, wenn unvorhergesehene Ereignisse eintreten und der tägliche Betrieb zum Stillstand kommt, um sicherzustellen, dass Sie Ihre Dienste weiterhin Kunden und Kunden anbieten.
Ausfallzeiten gehören möglicherweise zu den größten IT-Kosten, mit denen ein Unternehmen konfrontiert ist. Basierend auf den Statistiken zur Wiederherstellung im Notfall von Infrascale aus dem Jahr 2014-2015 kann eine Stunde Ausfallzeiten kleine Unternehmen bis zu 8.000 USD, mittelständische Unternehmen 74.000 USD und große Unternehmen 700.000 USD kosten.
Für kleine und mittlere Unternehmen (KMUs) kann ein längerer Produktivitätsverlust zu einer Verringerung des Cashflows durch Auftragsverluste, verspätete Rechnungsstellung, versäumte Liefertermine und erhöhte Arbeitskosten aufgrund zusätzlicher Stunden aufgrund von Ausfallzeiten führen.
Wenn Sie die größeren Störungen für Ihr Unternehmen nicht antizipieren und angemessen angehen, besteht die Gefahr, dass Sie aufgrund des Auftretens unerwarteter Katastrophen langfristige negative Folgen und Auswirkungen haben.
Ein vorhandener DR-Plan kann Ihr Unternehmen vor mehreren Risiken bewahren, darunter:
Da Unternehmen zunehmend auf Hochverfügbarkeit angewiesen sind, hat sich ihre Toleranz für Ausfallzeiten verringert. Daher verfügen viele über eine DR, um zu verhindern, dass nachteilige Katastropheneffekte ihren täglichen Betrieb beeinträchtigen.
Die zwei kritischen Messungen in DR und Ausfallzeit sind:
Sobald Sie Ihre RPO und RTO identifiziert haben, können Ihre Administratoren die beiden Maßnahmen verwenden, um optimale Strategien, Verfahren und Technologien für die Notfallwiederherstellung auszuwählen.
Um Vorgänge in engeren RTO-Fenstern wiederherzustellen, muss Ihr Unternehmen seine sekundären Daten optimal positionieren, damit sie einfach und schnell zugänglich sind. Eine Methode zur schnellen Wiederherstellung von Daten ist die direkte Wiederherstellung, da alle Sicherungsdatendateien in einen Live-Status versetzt werden, sodass sie nicht mehr über ein Netzwerk verschoben werden müssen. Es kann vor Server- und Speichersystemausfällen schützen.
Bevor Sie Recovery-in-Place verwenden, muss Ihr Unternehmen drei Dinge berücksichtigen:
Da die Wiederherstellung vor Ort manchmal bis zu 15 Minuten dauern kann, kann eine Replikation erforderlich sein, wenn Sie eine schnellere Wiederherstellungszeit wünschen. Die Replikation bezieht sich auf das regelmäßige elektronische Aktualisieren oder Kopieren einer Datenbank von Computerserver A auf Server B, wodurch sichergestellt wird, dass alle Benutzer im Netzwerk immer dieselbe Informationsebene verwenden.
Ein Disaster Recovery-Plan bezieht sich auf einen strukturierten, dokumentierten Ansatz mit Anweisungen zur Reaktion auf ungeplante Vorfälle. Es handelt sich um einen Schritt-für-Schritt-Plan, der aus den Vorsichtsmaßnahmen besteht, die getroffen wurden, um die Auswirkungen einer Katastrophe zu minimieren, damit Ihr Unternehmen seine geschäftskritischen Funktionen schnell wieder aufnehmen oder wie gewohnt weiterarbeiten kann.
In der Regel umfasst DRP eine eingehende Analyse aller Geschäftsprozesse und Kontinuitätsanforderungen. Darüber hinaus sollte Ihr Unternehmen vor der Erstellung eines detaillierten Plans eine Risikoanalyse (RA) und eine Analyse der Geschäftsauswirkungen (BIA) durchführen. Es sollte auch seine RTO und RPO einrichten.
Eine Wiederherstellungsstrategie sollte auf Unternehmensebene beginnen, mit der Sie die wichtigsten Anwendungen für die Ausführung Ihres Unternehmens ermitteln können. Wiederherstellungsstrategien definieren die Pläne Ihres Unternehmens für die Reaktion auf Vorfälle, während DRPs detailliert beschreiben, wie Sie reagieren sollten.
Bei der Festlegung einer Wiederherstellungsstrategie sollten Sie folgende Aspekte berücksichtigen:
Das Management muss alle Wiederherstellungsstrategien genehmigen, die mit den organisatorischen Zielen und Vorgaben übereinstimmen sollten. Sobald die Wiederherstellungsstrategien entwickelt und genehmigt wurden, können Sie sie in DRPs übersetzen.
Der DRP-Prozess umfasst viel mehr als nur das Schreiben des Dokuments. Eine Business Impact Analysis (BIA) und eine Risikoanalyse (RA) helfen dabei, Bereiche zu bestimmen, in denen Ressourcen im DRP-Prozess konzentriert werden sollen.
Die BIA ist nützlich, um die Auswirkungen von Störereignissen zu identifizieren, was sie zum Ausgangspunkt für die Risikoidentifizierung im DR-Kontext macht. Es hilft auch, die RTO und RPO zu generieren.
Die Risikoanalyse identifiziert Schwachstellen und Bedrohungen, die den normalen Betrieb von Prozessen und Systemen stören könnten, die in der BIA hervorgehoben werden. Die RA bewertet auch die Wahrscheinlichkeit des Auftretens eines störenden Ereignisses und hilft dabei, dessen potenzielle Schwere zu skizzieren.
Eine DR-Plan-Checkliste enthält die folgenden Schritte:
Eine Organisation kann ihre DRP mit einer Zusammenfassung aller erforderlichen wichtigen Handlungsschritte und einer Liste wesentlicher Kontakte beginnen, um sicherzustellen, dass wichtige Informationen leicht und schnell zugänglich sind.
Der Plan sollte auch die Rollen und Verantwortlichkeiten der Teammitglieder definieren und die Kriterien für den Start des Aktionsplans darlegen. Anschließend müssen die Antwort- und Wiederherstellungsaktivitäten detailliert angegeben werden. Die anderen wesentlichen Elemente einer DRP-Vorlage umfassen:
Ein DRP kann einen unterschiedlichen Umfang haben (d.h. von einfach bis umfassend). Einige können mehr als 100 Seiten umfassen.
DR-Budgets können erheblich variieren und im Laufe der Zeit schwanken. Daher kann Ihre Organisation alle verfügbaren kostenlosen Ressourcen nutzen, z. B. Online-DR-Planvorlagen der Federal Emergency Management Agency. Es gibt auch viele kostenlose Informationen und Anleitungen online.
Eine DRP-Checkliste mit Zielen enthält:
Der Plan sollte zumindest die nachteiligen Auswirkungen auf den täglichen Geschäftsbetrieb minimieren. Ihre Mitarbeiter sollten auch die notwendigen Notfallmaßnahmen kennen, die bei unvorhergesehenen Vorfällen zu beachten sind.
Obwohl die Entfernung wichtig ist, wird sie während des DRP-Prozesses häufig übersehen. Ein DR-Standort in der Nähe des primären Rechenzentrums ist hinsichtlich Komfort, Kosten, Tests und Bandbreite ideal. Da sich Ausfälle jedoch im Umfang unterscheiden, kann ein schwerwiegendes regionales Ereignis sowohl das primäre Rechenzentrum als auch dessen DR-Standort zerstören, wenn sich beide nahe beieinander befinden.
Sie können ein DRP für eine bestimmte Umgebung anpassen.
Tests belegen alle DRPs. Es identifiziert Mängel im Plan und bietet die Möglichkeit, Probleme zu beheben, bevor eine Katastrophe eintritt. Tests können auch einen Beweis für die Wirksamkeit des Plans liefern und RPOs treffen.
IT-Technologien und -Systeme ändern sich ständig. Daher stellen Tests sicher, dass Ihr DRP auf dem neuesten Stand ist.
Einige Gründe für das Nicht-Testen von DRPs sind Budgetbeschränkungen, fehlende Genehmigung durch das Management oder Ressourcenbeschränkungen. DR-Tests erfordern auch Zeit, Planung und Ressourcen. Es kann auch ein Vorfallrisiko sein, wenn Live-Daten verwendet werden. Das Testen ist jedoch ein wesentlicher Bestandteil der DR-Planung, den Sie niemals ignorieren sollten.
DR-Tests reichen von einfach bis komplex:
Ihre Organisation sollte Tests in ihrer DR-Richtlinie planen. Seien Sie jedoch vorsichtig bei seiner Eindringlichkeit. Dies liegt daran, dass zu häufiges Testen kontraproduktiv ist und Ihr Personal belastet. Andererseits ist es auch riskant, weniger regelmäßig zu testen. Testen Sie außerdem Ihren DR-Plan immer, nachdem Sie wesentliche Systemänderungen vorgenommen haben.
So holen Sie das Beste aus dem Testen heraus:
Disaster Recovery-as-a-Service ist eine Cloud-basierte DR-Methode, die im Laufe der Jahre an Popularität gewonnen hat. Dies liegt daran, dass DRaaS die Kosten senkt, die Bereitstellung einfacher ist und regelmäßige Tests ermöglicht.
Cloud-Testlösungen sparen Ihrem Unternehmen Geld, da sie auf einer gemeinsam genutzten Infrastruktur ausgeführt werden. Sie sind außerdem sehr flexibel, sodass Sie sich nur für die Dienste anmelden müssen, die Sie benötigen, und Sie können Ihre DR-Tests durchführen, indem Sie nur temporäre Instanzen starten.
Die Erwartungen und Anforderungen von DRaaS sind dokumentiert und in einem Service Level Agreement (SLA) enthalten. Der Drittanbieter bietet dann ein Failover auf seine Cloud-Computing-Umgebung an, entweder auf Pay-per-Use-Basis oder über einen Vertrag.
Cloud-basierte DR ist jedoch nach Katastrophen größeren Ausmaßes möglicherweise nicht verfügbar, da der DR-Standort möglicherweise nicht über genügend Platz verfügt, um die Anwendungen aller Benutzer auszuführen. Da Cloud-DR zudem den Bandbreitenbedarf erhöht, kann das Hinzufügen komplexer Systeme die Leistung des gesamten Netzwerks beeinträchtigen.
Der vielleicht größte Nachteil der Cloud-DR besteht darin, dass Sie nur wenig Kontrolle über den Prozess haben. Daher müssen Sie Ihrem Dienstanbieter vertrauen, dass er das DRP im Falle eines Vorfalls implementiert und dabei die definierten Ziele für Wiederherstellungspunkt und Wiederherstellungszeit erfüllt.
Die Kosten variieren stark zwischen den Anbietern und können sich schnell summieren, wenn der Anbieter Gebühren basierend auf dem Speicherverbrauch oder der Netzwerkbandbreite berechnet. Daher müssen Sie vor der Auswahl eines Anbieters eine gründliche interne Bewertung durchführen, um Ihre DR-Anforderungen zu ermitteln.
Einige Fragen an potenzielle Anbieter sind:
An einem DR-Standort können Sie Ihre Technologie-Infrastruktur und Ihren Betrieb wiederherstellen, wenn Ihr primäres Rechenzentrum nicht verfügbar ist. Diese Sites können intern oder extern sein.
Als Organisation sind Sie für die Einrichtung und Wartung einer internen DR-Site verantwortlich. Diese Websites sind für Unternehmen mit aggressiven RTOs und hohen Informationsanforderungen erforderlich. Einige Überlegungen, die beim Erstellen Ihres internen Wiederherstellungsstandorts zu berücksichtigen sind, sind Hardwarekonfiguration, Stromversorgung, Supportausrüstung, Layoutdesign, Heizung und Kühlung, Standort und Personal.
Obwohl dies im Vergleich zu einem externen Standort viel teurer ist, können Sie mit einem internen DR-Standort alle Aspekte des DR-Prozesses steuern.
Externe Websites gehören Drittanbietern und werden von diesen betrieben. Sie können eines von Folgendem sein:
In den 1980er Jahren entwickelten zwei Unternehmen, das SHARE Technical Steering Committee und International Business Machines (IBM), ein Stufen-System zur Beschreibung der DR-Service-Levels . Das System zeigte eine Wiederherstellbarkeit außerhalb des Standorts, wobei Stufe 0 die geringste Menge und Stufe 6 die höchste darstellt.
Eine siebte Stufe wurde später hinzugefügt, um die DR-Automatisierung einzuschließen. Heute stellt es die höchste Verfügbarkeitsstufe in DR-Szenarien dar. Im Allgemeinen verbessern sich mit jeder Stufe die Fähigkeit zur Wiederherstellung und damit auch die Kosten
Die Vorbereitung auf eine Katastrophe ist nicht einfach. Dies erfordert einen umfassenden Ansatz, der alles berücksichtigt und Software, Hardware, Netzwerkgeräte, Konnektivität, Stromversorgung und Tests umfasst, um sicherzustellen, dass eine Notfallwiederherstellung innerhalb der RPO- und RTO-Ziele möglich ist. Obwohl die Implementierung eines gründlichen und umsetzbaren DR-Plans keine leichte Aufgabe ist, sind seine potenziellen Vorteile erheblich.
Jeder in Ihrem Unternehmen muss über einen Notfallplan informiert sein. Während der Implementierung ist eine effektive Kommunikation unerlässlich. Es ist unbedingt erforderlich, dass Sie einen DR-Plan nicht nur entwickeln, sondern auch testen, Ihr Personal schulen, alles korrekt dokumentieren und regelmäßig verbessern. Seien Sie schließlich vorsichtig, wenn Sie die Dienste eines Drittanbieters in Anspruch nehmen.