Disaster Recovery

Auf den Ernstfall vorbereitet

24. September 2019, 14:49 Uhr | Autor: Thomas Sandner / Redaktion: Natalie Lauer und Alexandra Hose

Schon kurze IT-Ausfälle stellen Unternehmen vor eine Zerreißprobe. Datenverluste sind für digitale Prozesse eine Katastrophe. Umso wichtiger ist es, dass sich Organisationen intensiv mit dem Thema Disaster Recovery auseinandersetzen.

Ein Kurzschluss legte im Juni 2018 den Flugbetrieb in Hamburg lahm, Hitzeperioden belasten die Kühlsysteme von Rechenzentren, ganz zu schweigen von den Gefahren aus dem Netz: Cyberkriminelle oder verprellte Mitarbeiter, die Daten stehlen, zerstören oder verschlüsseln. Das sind nur einige Beispiele für die breite Palette an Bedrohungen, denen sich IT-Services und damit der gesamte Geschäftsbetrieb ausgesetzt sehen. In einer aktuellen Umfrage von Vanson Bourne im Auftrag von Veeam berichten deutsche IT-Verantwortliche durchschnittlich von fünf ungeplanten Ausfällen in den letzten zwölf Monaten und beziffern die jeweilige Dauer im Schnitt mit 92 Minuten – in einem Zeitalter, in dem Kunden und Mitarbeiter ununterbrochenen Zugriff auf Daten und Anwendungen erwarten. Dabei muss nicht gleich die gesamte Infrastruktur ausfallen. Funktioniert beispielsweise im Weihnachtsgeschäft in einem Onlineshop die Bezahlfunktion kurzfristig nicht, kostet das richtig Geld – rund 41 Millionen Euro pro Jahr –, schädigt zudem das Vertrauen von Kunden und Mitarbeitern und damit auch die Marke. Nur zum Vergleich: Die oft zitierte „near-zero tolerance“ für Ausfälle, also 99,99 Prozent Verfügbarkeit, bedeutet einen maximalen statistischen Ausfall von 53 Minuten im Jahr.

Disaster Recovery ist keine neue Strategie, aber eine oft vernachlässigte. Laut einer internationalen Forrester-Umfrage sehen sich nur 18 Prozent der Befragten gut auf die Wiederherstellung ihrer Rechenzentren nach einem Katastrophenfall vorbereitet. IT-Umgebungen sind ständigen Änderungen unterworfen, immer mehr muss gesteuert und geschützt werden. Da stoßen manuelle Prozesse längst an ihre Grenzen. Existieren Notfallpläne, sind sie oft veraltet und entsprechen nicht den heutigen Anforderungen, die sich aus Service-Level-Vorgaben, etwa für die Wiederherstellung im Minutentakt, ergeben. Ein weitere Dimension macht den Job nicht einfacher: Gesetze, Normen, interne und externe Richtlinien. Auch wenn Compliance-Auflagen je nach Branche sehr unterschiedlich sind, gilt doch für alle: Sie müssen eingehalten werden, sonst drohen Finanz- und Imageschäden oder sogar rechtliche Konsequenzen.

Eine umfassende Bestandsaufnahme ist Teamwork
Disaster Recovery (DR) umfasst vier Aufgabenbereiche: den Plan selbst, dessen Dokumentation, den Test und die zuverlässige Ausführung von Failover- und Failback-Mechanismen im Ernstfall. Ausgangspunkt ist eine sogenannte Business Impact Analyse (BIA): Welche Services und Workloads sind für den Geschäftsbetrieb unverzichtbar? Welche Workloads verarbeiten kritische Kundendaten? Welche Datenschutzbestimmungen sind zu beachten? Welche betrieblichen und finanziellen Konsequenzen hat der Ausfall einzelner Dienste? Wie häufig müssen Daten auf einem bestimmten Stand wiederherstellbar sein? Welche Anforderungen stellen die Fachbereiche? Welche Abhängigkeiten existieren zwischen verschiedenen IT-Services und Geschäftsprozessen? Wie oft müssen wir diese Ergebnisse neu bewerten? Schon diese Fragen verdeutlichen, dass das Thema Disaster Recovery nicht allein auf den Schultern der IT-Abteilung lasten kann. Im Gegenteil sollten die Fachabteilungen konsequent einbezogen werden. Es klingt banal, ist aber für die Beziehung zwischen IT und Fachbereichen essenziell: Durch Austausch entsteht Transparenz und Verständnis für die Anforderungen des anderen, denn alle Anwendungen und Daten jederzeit zu 100 Prozent verfügbar zu halten wäre wünschenswert, ist aber kaum bezahlbar.

Dokumentation ist „kriegsentscheidend“
Ohne umfassende Dokumentation ist jeder DR-Plan hinfällig, so auch die praktische Erfahrung DR-erprobter IT-Manager. Diese definiert alle Prozesse nach einem Ausfall und deren zeitliche Abfolge. Dazu zählen aber auch die Inventarisierung aller Infrastrukturkomponenten sowie deren Konfigurationsdetails, von Hardware über Netzwerk und Strom bis hin zu Gebäuden. Auch sollten die Kopien aller Informationen zwingend extern gelagert werden. Nicht selten erfassen Unternehmen diese Informationen noch manuell und so bleibt die regelmäßige Pflege oft auf der Strecke. Wenn nicht ein Ausfall, so legt spätestens das nächste Audit die mangelnde Vorbereitung und Wiederherstellbarkeit offen.