Vorlage für einen IT-Disaster-Recovery-Plan (DR): Kostenloser Download

Was ist ein IT-Disaster-Recovery-Plan?

IT-Disaster-Recovery-Pläne stellen Schritt-für-Schritt-Prozeduren zur Verfügung, um gestörte Systeme und Netzwerke wiederherzustellen und diese in den Normalzustand zu versetzen. Das Ziel dieser Prozesse ist es, die negativen Auswirkungen auf das Unternehmen und den Betrieb so gering wie möglich zu halten. 

Weiterhin priorisiert man dort RTO (Recovery Time Objective) und definiert Schritt für Schritt, wie man die Systeme neu startet, konfiguriert und wiederherstellt. Ein umfassender IT-DR-Plan enthält auch Informationen zu allen relevanten Zulieferern, Quellen zu Fachkräften für die Wiederherstellung gestörter Systeme, sowie eine logische Sequenz an Aktionen, um die Wiederherstellung so reibungslos wie möglich zu gestalten.

Angenommen Sie haben eine Risiko-Bewertung durchgeführt und potenzielle Bedrohungen in Bezug auf Ihre IT-Infrastruktur ausfindig gemacht. Im nächsten Schritt bestimmen Sie dann, welche Infrastruktur-Elemente für die Business-Performance Ihres Unternehmens am wichtigsten sind. Weiterhin gehen wir davon aus, dass alle IT-Systeme und Netzwerke der Firma wie gewünscht laufen. Die Firma muss außerdem voll funktionsfähig und konkurrenzfähig sein, sowie finanziell auf soliden Beinen stehen.

Laut NIST (National Institute for Standards and Technology) Special Publication 800-34, Contingency Planning for Information Technology Systems, fasst nachfolgende Liste die ideale Struktur eines IT-Disaster-Recovery-Plans zusammen:

1. Erstellen Sie die allgemeinen Bedingungen für das Krisen-Management. Eine formelle Richtlinie stellt die notwendige Autorität und die Orientierungshilfe zur Verfügung, um einen effizienten Krisen-Plan zu entwerfen.
2. Führen Sie eine Analyse hinsichtlich der Geschäftsauswirkung (BIA / Business Impact Analysis) durch. Die Analyse hinsichtlich der Geschäftsauswirkungen hilft Ihnen, wichtige IT-Systeme und Komponenten zu identifizieren und zu priorisieren.
3. Identifizieren Sie Vorsorge-Kontroll-Maßnahmen. Es handelt sich hierbei um Maßnahmen, die die Auswirkungen auf System-Störungen reduzieren. Sie können die System-Verfügbarkeit erhöhen und Vorhaltekosten für den Krisenfall reduzieren.
4. Entwickeln Sie Wiederherstellungs-Strategien. Sorgfältige Wiederherstellungs-Strategien garantieren, dass sich ein System nach einer Unterbrechung schnell und effizient wiederherstellen lässt.
5. Entwickeln Sie einen IT-Krisen-Plan. Der Notfallplan für eine Krise sollte detaillierte Anleitungen und Prozeduren enthalten, um beschädigte Systeme wiederherzustellen.
6. Testen des Plans, Schulungen und Übungen. Beim Testen des Plans zeigen sich schnell potenzielle Schwachstellen. Schulungen für die Mitarbeiter bereiten sie auf die Aktivierung des Plans vor. Beide Aktivitäten verbessern die Effizienz des IT-DR-Plans und das Unternehmen ist besser auf den Notfall vorbereitet.
7. Wartung des Plans. Der Plan sollte ein lebendiges Dokument sein. Somit sollten Sie ihn regelmäßig aktualisieren, damit die Neuerungen und Änderungen an den Systemen aufgeführt sind.

Schritt-für-Schritt-Entwicklung eines IT-Disaster-Recovery-Plans

Verwenden Sie die Struktur wie in SP 800-34 angegeben, können Sie diese Aktivitäten erweitern und nachfolgende Sequenz in Betracht ziehen.

1. Das Entwickler-Team des Plans sollte sich mit dem internen Technologie-Team an einen Tisch setzen. Das gilt auch für das Applikations-Team und die Netzwerk-Administratoren. Dann können Sie den Umfang der Aktivitäten evaluieren. Dazu gehören interne Elemente, externe Betriebsmittel, Ressourcen von Dritten, Verbindungen zu anderen Büro-Gebäuden, Kunden oder Lieferanten. Stellen Sie sicher, das Management der IT-Abteilung in Bezug auf die Meetings auf dem Laufenden zu halten.
2. Sammeln Sie alle relevanten Dokumente hinsichtlich der Netzwerk-Infrastruktur. Dazu gehören Netzwerk-Diagramme, Equipment-Konfigurationen, Datenbanken und so weiter.
3. Besorgen Sie sich existierenden IT- und Netzwerk-DR-Pläne. Sollten diese nicht existieren, fahren Sie mit den nachfolgenden Schritten fort.
4. Finden Sie heraus, was das Management als die größten Bedrohungen hinsichtlich der IT-Infrastruktur ansieht. Dazu gehören Feuer, menschliches Versagen, Stromausfall, Systemausfall und so weiter.
5. Evaluieren Sie, was das Management als die größten Schwachstellen hinsichtlich der Infrastruktur einstuft. Damit ist unter anderem unzureichende Notstromversorgung, veraltete Kopien der Datenbanken und so weiter gemeint.
6. Werfen Sie einen Blick auf frühere Ausfälle und Störungen und sehen Sie sich an, wie die Firma reagiert hat.
7. Identifizieren Sie, was das Management als die wichtigsten IT-Betriebsmittel ansieht. Dazu gehören Server-Farmen, Call Center, Internet-Zugriff und so weiter.
8. Finden Sie heraus, was die maximale Ausfallzeit der entsprechenden IT-Betriebsmittel sein darf, mit der das Management leben könnte.
9. Stellen Sie fest, wie man im Moment auf Ausfälle wichtiger Systeme reagiert.
10. Evaluieren Sie, wann diese Prozeduren das letzte Mal auf Angemessenheit getestet wurden.
11. Identifizieren Sie Notfall-Reaktions-Teams für alle Störungen im Hinblick auf wichtige IT-Infrastruktur.
12. Fragen Sie Anbieter nach deren Kapazitäten in einem Notfall und ob diese jemals zum Einsatz kamen. Sollte das der Fall sein, erkundigen Sie sich, ob diese angemessen funktioniert haben. Wie viel bezahlt das Unternehmen für diese Services und wie sieht es mit dem Status der jeweiligen Verträge aus? Gibt es eine Leistungsvereinbarung (SLA / Service Level Agreement)?
13. Verbinden Sie die Resultate von allen Bewertungen und analysieren Sie das Ergebnis auf Lücken. Somit finden Sie heraus, was derzeit vorhanden ist und was noch getan werden muss. Sie können im Anschluss Empfehlungen aussprechen, um das entsprechende Bereitschafts-Niveau zu erreichen. Weiterhin lässt sich einschätzen, wie viel investiert werden muss.
14. Legen Sie den Bericht dem Management zur Durchsicht vor und lassen sich die empfohlenen Aktionen absegnen.
15. Bereiten Sie IT-Disaster-Recovery-Pläne vor, um die wichtigen IT-Systeme und Netzwerke zu adressieren.
16. Testen Sie die Pläne und die Betriebsmittel, die für die Wiederherstellung eingesetzt werden sollen. Somit validieren Sie, dass diese auch funktionieren.
17. Aktualisieren Sie nach Änderungen die Dokumentation des DR-Plans.
18. Planen Sie eine nächste Überprüfung (Audit) hinsichtlich der Leistungsfähigkeiten des IT-Disaster-Recovery-Plans.
    (Quelle: NIST SP 800-34)

Wichtige Überlegungen zum Thema IT-Disaster-Recovery-Planung

• Unterstützung der Geschäftsleitung. Stellen Sie sicher, dass die Geschäftsführung hinter Ihnen steht. Nur dann erreichen Sie Ihre Ziele.
• Nehmen Sie die IT-DR-Planung ernst. Ein IT-DR-Plan kann viel Zeit in Anspruch nehmen. Sie müssen viele Daten sammeln und diese analysieren. Allerdings muss der Plan nicht Dutzende von Seiten umfassen. Ein guter Plan muss lediglich die relevanten Informationen enthalten. Diese Informationen sollten sowohl aktuell als auch präzise sein.
• Verfügbarkeit von Standards. Zu den verfügbaren Standards, die Sie für die Entwicklung eines IT-Disaster-Recovery-Plans zu Rate ziehen können, gehören NIST SP 800-34, ISO/IEC 24762 und BS 25777.
• Halten Sie die Sache simpel. Es ist entscheidend, die richtigen Informationen zu sammeln und diese angemessen zu organisieren.
• Überprüfen Sie die Resultate mit relevanten Abteilungen. Sobald der IT-Disaster-Recovery-Plan fertig ist, gehen Sie diesen mit dem Management der entsprechenden Abteilungen durch. Somit garantieren Sie, dass Ihre Annahmen korrekt sind.
• Seiten Sie flexibel. Die Vorlage in diesem Beitrag lässt sich so modifizieren, dass sie Ihren Ansprüchen genügt.

Überblick zur Vorlage des IT-Disaster-Recovery-Plans

Werfen wir nun einen Blick auf das Inhaltsverzeichnis der Vorlage. Wir gehen auch auf die Bereiche und Aktivitäten ein, denen Sie besondere Beachtung schenken sollten.

1. Informationen zum Vorhaben bezüglich der Technologie: Hier finden Sie die grobe Richtung für den Plan.
2. Ausführungen bezüglich der Richtlinien:  Es ist sehr wichtig, dass Sie eine abgesegnete Stellungnahme in Bezug auf die Richtlinien zur Verfügung stellen, die die Disaster-Recovery-Services behandeln.
3. Ziele: Die Hauptziele, die Sie mit dem Plan verfolgen.
4. Kontakt-Informationen im Hinblick auf die wichtigsten Personalien: Es ist wichtig, dass sich Kontakt-Informationen am Anfang des Plans befinden. Das sind die Daten, die Sie sehr wahrscheinlich gleich zu Beginn brauchen und sie sollten einfach zu finden sein.
5. Übersicht des Plans: Beschreibt die grundsätzlichen Aspekte hinsichtlich des IT-DR-Plans. Dazu gehört zum Beispiel das regelmäßige Aktualisieren.
6. Notruf: Diese Sektion beschreibt, was sofort nach Eintreffen eines Vorfalls in die Wege geleitet werden muss.
7. Disaster-Recovery-Team: Mitglieder und Kontakt-Informationen des DR-Teams.
8. Notfall-Alarm, Eskalation und DRP-Aktivierung: Hier hinterlegen Sie die Schritte, die in der frühen Phase eines Vorfalls ausgeführt werden sollten. Diese führen dann zur Aktivierung des DR-Plans.
9. Medien: Tipps, wie man mit den Medien umgeht.
10. Versicherung: Eine Zusammenfassung, was die Versicherungen in Bezug auf die IT-Umgebung abdecken. Ebenfalls finden Sie hier andere relevante Richtlinien und Policies.
11. Finanzielle und rechtliche Belange: Welche Aktionen Sie in die Wege leiten sollten, um mit finanziellen und rechtlichen Probleme umzugehen.
12. DRP-Übungen: Hier wird die Wichtigkeit unterstrichen, den DR-Notfall regelmäßig zu exerzieren.
13. Anhang A: Vorlagen für Disaster-Recovery-Pläne. Hier finden Sie einige verschiedene Vorlagen, die verschiedene Szenarien hinsichtlich Disaster-Recovery abdecken. Es ist an dieser Stelle hilfreich, technische Dokumentationen von ausgewählten Anbietern zu hinterlegen.
14. Anhang B: Fertige Formulare. Hier finden Sie Vorlagen für Formulare, die bei der Umsetzung des Plans helfen.

Unternehmen investieren viel in die IT-Infrastruktur. Deswegen sollten Sie auch genug Zeit und Ressourcen übrig haben, um diese Investitionen ausreichend zu schützen, sollten unerwartete und destruktive Ereignisse eintreten.

SearchDisasterRecovery.com stellt einen Leitfaden und eine herunterladbare Vorlage für einen IT-Disaster-Recovery-Planung zur Verfügung. Diese hilft Ihnen bei der Entwicklung eines IT-DR-Plans, um im Falle eines Desasters ihre wichtige IT-Infrastruktur zu schützen und wiederherzustellen.

Über den Autor:
Paul Kirvan, CISA und FBCI, bringt 24 Jahre Erfahrung in Sachen BCM (Business Continuity Management) mit sich. Er ist Consultant, Autor und Ausbilder. Er hat dutzende Schulungen und Betriebsprüfungen bezüglich BCMS (Business Continuity Management System) nach den internationalen Standards BS 25999 und ISO 22310 durchgeführt. Kirvan arbeitet derzeit als freier BCM-Consultant und -Betriebsprüfer. Weiterhin ist er Vorsitzender von Business Continuity Institute USA und ein Mitglied des BCI Global Membership Council. Sie können ihn unter [email protected] erreichen.

Folgen Sie SearchStorage.de auch auf Facebook, Twitter und Google+!