Backup- und Disaster Recovery: Mehr als nur ein Rettungsanker!

IT-Ausfälle und Datenverluste sind nicht nur ärgerlich, sie sind existenzgefährdend und kosten in der Regel auch viel Geld. Erschwerend kommt hinzu, dass Unternehmen im Rahmen der EU-DSGVO geeignete Maßnahmen zur Datensicherung und Datenwiederherstellung ergreifen müssen. Vor diesem Hintergrund sollten Unternehmen eine leistungsfähige Backup- und Disaster-Recovery-Strategie implementieren, die neben einer effizienten und regelmäßigen Datensicherung auch Notfallpläne für eine minutenschnelle und zuverlässige Datenwiederherstellung beinhaltet – auch für Daten aus Cloud-Diensten und Software as-a-Service-Angeboten (SaaS).

IT-Ausfälle und Datenverluste kommen zügiger als man glaubt. Sie können aus den verschiedensten Gründen verursacht werden. Das reicht von Hardware- oder Softwarefehlern, über zielgerichtete Hackerangriffe und Ransomware bis hin zu menschlichem Versagen und Havarien.

Wenngleich sich die überwiegende Zahl der Unternehmen inzwischen über die Gefahren bewusst sind, werden vielerorts nur unzureichende Vorkehrungen zur Datensicherung und Datenwiederherstellung für den Katastrophenfall ergriffen – vor allem bei der Verwendung von Cloud-Diensten und Software-as-a-Service Lösungen.

Erst kürzlich führte ein Großbrand im Rechenzentrum der OVHcloud (https://www.golem.de/news/cloud-computing-rechenzentrum-von-cloud-hoster-ovh-abgebrannt-2103-154820.html ) schmerzlich vor Augen, wie wichtig ein leistungsfähiges Cloud-Backup und Disaster-Recovery-Konzept ist.

Denn das Feuer hat nicht nur viele tausend Server gänzlich zerstört, außerdem auch sämtliche Daten etlicher Firmen und Organisationen, unwiederbringlich vernichtet – insbesondere derer, die aus Kostengründen und dem Glauben an die Zuverlässigkeit der Cloud überhaupt keine Backup und Disaster-Recovery-Maßnahmen ergriffen haben.

Die goldene 3-2-1-Richtlinie für Backups

Eine effiziente und regelmäßige Datensicherung ist unerlässlich, wenn es um die Aufrechterhaltung der Geschäftskontinuität, den Schutz der Daten und die Vorsorge vor größeren Bedrohungen und Havarien geht.

Grundsätzlich sollten Firmen dabei die 3-2-1-Backup-Richtlinie befolgen.

Kurzgefasst empfiehlt die Regel, dass Betriebe

  1. ihre Geschäftsdaten in dreifacher Ausführung,
  2. auf zwei verschiedenartigen Speichertechnologien aufbewahren sollen,
  3. wovon eine Kopie extern aufbewahrt wird.

Das Schöne an der 3-2-1-Backup-Regel ist, dass sie unkompliziert zu begreifen, zu pflegen und auch beim Backup von Cloud-Diensten anwendbar ist.

Allerdings sollten Firmen darauf achten, dass die Originaldaten und Backups nicht beim gleichen Anbieter, in derselben Serverfarm oder auf demselben Server gesichert werden, sondern an mehreren verschiedenen, physikalisch voneinander unabhängigen Rechenzentren.

Durch diese Maßnahme verhindern Unternehmen nicht nur gravierende Datenverluste, wie im Fall OVHcloud, sondern auch eine lange Ausfallzeit im Ernstfall und finanzielle Einbußen. Darüber hinaus erfüllen sie die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO (https://dsgvo-gesetz.de/art-5-dsgvo/ ) und die Sicherheit der Verarbeitung nach Art. 32 DSGVO (https://dsgvo-gesetz.de/art-32-dsgvo/ ).

Minutenschnelle Datenwiederherstellung dank durchdachten Notfallplänen!

Schon kleine IT-Ausfälle können sich zu einer Gefahr entwickeln.
Nicht erst seit dem Großbrand beim mächtigsten Cloudanbieter Europas, OVHcloud (https://www.ovhcloud.com/de/) in Frankreich, ist verständlich, dass eine möglichst zeitnahe Data Recovery für die Geschäftskontinuität unverzichtbar ist.

Die Datenrettung sollte prinzipiell auf Grundlage eines festgelegten und -insbesondere eines dokumentierten Notfallplans erfolgen.

Bei der Anfertigung eines Disaster-Recovery-Plans sollten Betriebe unter anderem folgende Punkte beachten:

1. Prüfung der Unternehmensprozesse

Im ersten Step müssen die Unternehmen den Geltungsbereich des Notfallmanagements definieren und alle problematischen Geschäftsprozesse ermitteln, die für den Betrieb von essenzieller Wichtigkeit sind.

2. Risikoanalyse und Kalkulation der monetären Effekte

Nachdem alle kritischen Unternehmensprozesse identifiziert wurden, sollten Unternehmen eine Risikoanalyse durchführen und nach Möglichkeit die Kosten beziffern, die exemplarisch Ausfallzeiten nach sich ziehen. Auf dieser Grundlage kann entschieden werden, welche Gegenmaßnahmen in welchem Umfang zutreffend sind.

3. Bestimmung von Verantwortlichkeiten und Integration der Kollegen

Um eine wirksame Steuerung und Überwachung des Notfallmanagements sicherzustellen, müssen Firmen, Zuständigkeiten und Abläufe festlegen, die im Schadensfall notwendige Schritte zur Wiederherstellung starten können. Das setzt selbstverständlich voraus, dass die relevanten Kollegen über sämtliche Schritte und Zielsetzungen des Notfallmanagements informiert sind.

4. Bestimmung der Parameter Recovery Point Objective und Recovery Time Objective

Um einen geeigneten Notfallwiederherstellungsplan entwickeln zu können, welcher die Geschäftskontinuität nach einem unerwarteten Vorfall aufrechterhält, müssen
Firmen verschiedene Messgrößen bestimmen.

Die Kenngrößen der Recovery Time Objective (RTO) und Recovery Point Objective (RPO) sind wesentliche Einflussgrößen für eine Notfallplanung.

  • Beim RTO handelt es sich um die für die Wiederherstellung der Daten vorgegebene Dauer, das heißt, die Zeit, die vom Eintritt der Beschädigung bis zur kompletten Wiederherstellung des Systems maximal verstreichen darf.
  • Beim RPO geht es um die Frage, wie hoch der gröst hinnehmbare Datenverlust im Zweifel sein darf, der zwischen einer Sicherung und der Störung des Systems entsteht.

5. Kontinuierliche Überprüfung und Tests

Um die Effizienz des Notfallmanagements zu kontrollieren, sollten Firmen in regelmäßigen Abständen Übungen und Test durchführen, die einen IT- oder Server-Ausfall simulieren. Abhängig von den Testergebnissen kann an einer fortlaufenden Verbesserung der implementierten Backup- und Disaster-Recovery-Strategie gearbeitet werden.

Ein Backup- und Disaster-Recovery-Plan ist keine Option, sondern Pflicht!

Cloud-Dienste und Anwendungen „as a Service“ sind aus dem Geschäftsalltag nicht mehr wegzudenken. Sehr wohl führt die Annehmlichkeit und die Rund-um-die Uhr-Nutzbarkeit der Daten dazu, dass Firmen vergessen, dass sich hinter der Cloud, letztlich ein physischer Ort befindet – und dieser ebenso empfänglich für Störungen und Ausfälle ist.

Aufgrund dessen sollten Betriebe zwingend ihre bereits bestehende Backup und Disaster-Recovery-Strategie reflektieren, gegebenenfalls modernisieren- und insbesondere turnusmäßig testen, um an einer fortlaufenden Optimierung der implementierten Backup- und Disaster-Recovery-Strategie zu arbeiten.

Denn bekanntlich können Unternehmen nur mit einer wirksamen und regelmäßigen Datensicherung sowie einer minutenschnellen und zuverlässigen Datenwiederherstellung, die Ausfallzeit im Ernstfall minimieren und die Geschäftskontinuität sowie die Verfügbarkeit und Integrität der Geschäftsdaten sicherstellen.