canjoena - stock.adobe.com
Diese 12 Punkte müssen auf die Disaster-Recovery-Checkliste
Ein Plan für die Wiederherstellung der IT-Landschaft nach einer Katastrophe oder schweren Störungen kann viele Schritte enthalten. Hier sind die wichtigsten 12 Punkte.
Ein Disaster-Recovery-Plan (DRP) umfasst mehr als nur das Anlegen eines Backups, dessen Inhalte nach einem Datenverlust wiederhergestellt werden. Soll ein solcher Notfallwiederherstellungsplan erfolgreich sein, dann muss er sorgfältig erstellt werden, um alle Risiken für das Unternehmen zu berücksichtigen und Lösungen zu bieten, die es dem Unternehmen ermöglichen, in Krisenzeiten normal zu arbeiten. Hier sind zwölf wichtige Schritte zur Vorbereitung auf solche Katastrophen.
1. Bestandsaufnahme von Hardware und Software
Der erste Schritt bei der Erstellung eines Disaster-Recovery-Plans ist eine umfassende Bestandsaufnahme von Hardware und Software. Es ist unmöglich, eine angemessene Katastrophenhilfe zu planen, wenn Sie nicht wissen, welche Ressourcen geschützt werden müssen. Ein solches Inventar sollte auch alle Anlagen auflisten, die bei der Verhinderung oder Wiederherstellung nach einer Katastrophe nützlich sein könnten.
2. Ermitteln des Ausrüstungsbedarfs
Nachdem Sie ein Hardware- und Softwareinventar erstellt haben, müssen Sie als Nächstes den Ausrüstungsbedarf ermitteln. Sie könnten zum Beispiel feststellen, dass Sie ein Backup-Ziel mit höherer Kapazität benötigen, oder vielleicht müssen Sie einige zusätzliche Server installieren, um Redundanz für verschiedene Arbeitslasten zu schaffen. Ihr Ziel in dieser Phase des Planungsprozesses sollte es sein, herauszufinden, welche Katastrophenschutz- und Wiederherstellungsstrategien derzeit vorhanden sind und wo Sie möglicherweise Mängel durch zusätzliche Geräte in Ihrem Rechenzentrum beheben können.
3. RTO und RPO einrichten
Ein weiterer wichtiger Schritt bei der Erstellung eines Notfallwiederherstellungsplans ist die Festlegung einer Wiederherstellungszeit (RTO, Recovery Time Objective) und eines Wiederherstellungspunkts (RPO, Recovery Point Objective). Der RTO legt im Wesentlichen die maximale Zeitspanne fest, die für die Wiederherstellung nach einer Katastrophe benötigt wird, während der RPO bestimmt, wie häufig Daten gesichert werden und wie groß das Datenvolumen ist, das bei einer Katastrophe verloren gehen könnte, weil es noch nicht gesichert wurde.
Einige Unternehmen schließen eine formelle Service-Level-Vereinbarung (SLA) ab, die garantiert, dass die festgelegten RPO und RTO eingehalten werden. Wenn ein Unternehmen kein formelles SLA verlangt, sollten Sie sorgfältig abwägen, ob die Erstellung eines SLAs in Ihrem Interesse ist. Einerseits könnte ein SLA möglicherweise gegen Sie arbeiten. IT-Profis wurden schon entlassen, weil sie während eines Wiederherstellungsprozesses ein SLA nicht eingehalten haben. Andererseits garantiert ein SLA, dass Sie eine bestimmte Zeit für den Wiederherstellungsprozess zur Verfügung haben, und kann verhindern, dass die Unternehmensleitung behauptet, Sie hätten nicht alles schnell genug wiederhergestellt.
4. Führen Sie eine Risikobewertung und eine Analyse der geschäftlichen Auswirkungen durch
Bei der Erstellung eines DR-Plans ist es wichtig, dass Sie eine Risikobewertung und eine Analyse der Auswirkungen auf das Geschäft durchführen. Dabei geht es darum, die Risiken für die Geschäftsfähigkeit Ihres Unternehmens zu ermitteln und diese Risiken anhand der Wahrscheinlichkeit ihres Eintretens und der Schwere ihrer Auswirkungen auf Ihr Unternehmen zu quantifizieren. Naturkatastrophen zum Beispiel werden wahrscheinlich irgendwann eintreten und könnten verheerende Folgen für die Organisation haben. Daher sollten Sie Naturkatastrophen auf jeden Fall einplanen.
Eine andere Art von Katastrophe, für die Sie planen sollten, ist Feuer. Wenn diese Katastrophe eintritt, kann sie Ihrer Organisation schweren Schaden zufügen. Daher ist es wichtig, dass Sie die Möglichkeit eines Brandes in Ihre Katastrophenplanung einbeziehen. Natürlich sind Naturkatastrophen und Brände nur zwei Beispiele für widrige Umstände, die sich auf ein Unternehmen auswirken können. Ein guter Wiederherstellungsplan für den Katastrophenfall identifiziert potenzielle Risiken, die über Feuer oder Naturkatastrophen hinausgehen.
5. Festlegung von Rollen und Verantwortlichkeiten für das Team
Ein guter Notfallwiederherstellungsplan kann nur dann erfolgreich sein, wenn das Notfallwiederherstellungsteam einer Organisation darauf vorbereitet ist, diesen Plan auszuführen. Legen Sie fest, wer zum Disaster-Recovery-Team gehört und welche Aufgaben die einzelnen Personen haben werden. Dabei muss sichergestellt werden, dass jedes Mitglied des Notfallteams genau weiß, was in Krisenzeiten von ihm erwartet wird.
6. Skizzieren und detaillieren Sie Präventionsmaßnahmen
Der beste Wiederherstellungsplan für den Katastrophenfall ist derjenige, der eine Katastrophe von vornherein verhindert. Unternehmen sollten nach Möglichkeiten suchen, um zu verhindern, dass sich Katastrophen auf ihr Unternehmen auswirken. So können beispielsweise automatische Feuerlöschsysteme den Unterschied zwischen einem kleinen Brand und einem Großbrand, der das gesamte Rechenzentrum zerstört, ausmachen. Ebenso können redundante Speicher-Arrays bestimmte Arten von Datenverlusten verhindern.
7. Auswahl von Standorten für das Disaster Recovery
Ein wichtiger Teil der Wiederherstellungsplanung im Katastrophenfall ist die Erstellung eines Geschäftskontinuitätsplans (Business-Continuity-Plan). Ein Geschäftskontinuitätsplan legt fest, wie das Unternehmen nach einer Katastrophe funktionieren soll. Einer der wichtigsten Aspekte eines Geschäftskontinuitätsplans ist die Festlegung eines Wiederherstellungsstandorts.
Wenn das primäre Rechenzentrum eines Unternehmens von einer Katastrophe betroffen ist, müssen wichtige Arbeitslasten auf einen alternativen Standort ausweichen können, an dem sie weiterhin ausgeführt werden können. Dabei kann es sich um ein sekundäres Rechenzentrum oder um einen Standort in der Public Cloud handeln. In jedem Fall müssen die Unternehmen entscheiden, welchen Standort sie als Wiederherstellungsstandort nutzen wollen.
8. Reaktionsverfahren skizzieren und detaillieren
Ein guter Notfallwiederherstellungsplan sollte die Schritte zur Wiederherstellung nach einer Katastrophe enthalten. Es ist eine Sache, wenn ein Disaster-Recovery-Plan angibt, dass eine bestimmte Arbeitslast in eine Public Cloud verlagert werden sollte, wenn es unmöglich wird, sie an ihrem normalen Standort auszuführen. Eine ganz andere Sache ist es, wenn der Notfallwiederherstellungsplan die tatsächlichen Schritte enthält, die ein Techniker durchführen muss, um die Arbeitslast zu verschieben.
In Katastrophenzeiten sollte es keine Unklarheiten geben. Diejenigen, die für die Wiederherstellung nach einer Katastrophe verantwortlich sind, sollten idealerweise eine Liste mit sehr spezifischen Schritten haben, die sie durchführen können, um die erforderliche Aufgabe zu erfüllen. Andernfalls besteht die Gefahr, dass die Techniker aufgrund des Stresses, der mit der Wiederherstellung nach einer Katastrophe verbunden ist, vergessen, einen notwendigen Schritt im Prozess auszuführen.
9. Erstellen Sie einen Krisenkommunikationsplan
Ein oft übersehener Schritt in einem Notfallwiederherstellungsplan ist die Erstellung eines Krisenkommunikationsplans. Wenn Stakeholder das IT-Personal ständig nach den Fortschritten bei der Wiederherstellung nach einer Katastrophe befragen, erhöht dies nur den Stress und trägt nicht dazu bei, den Wiederherstellungsprozess zu beschleunigen. Aus diesem Grund sollte eine Person aus der IT-Abteilung als Ansprechpartner benannt werden, der die wichtigsten Informationen an alle Beteiligten im Unternehmen weitergibt.
10. Halten Sie einen Rückfallplan bereit
Falls eine Katastrophe den Kern des Unternehmens betrifft – den Ort, an dem die Arbeit normalerweise ausgeführt wird – und diese Workloads woanders hin verlagert werden müssen, wird ein (im Idealfall abgestufter) Rückfallplan benötigt. Dieser Plan legt fest, welche Systeme und Workloads in welcher Reihenfolge von wo nach wo verlagert – und nach der Wiederherstellung zurückverlagert werden.
Obwohl einige Unternehmen aufgrund von stattgefundenen oder potenziellen Katastrophen, Workloads dauerhaft in die Cloud verlagert haben, sollten katastrophenbedingte Migrationen die seltene Ausnahme und nicht die Regel sein. Es ist davon auszugehen, dass die Arbeitslasten aus einem bestimmten Grund an ihrem aktuellen Standort ausgeführt werden. Im besten Fall werden die Workloads an den ursprünglichen Standort zurückgebracht werden, sobald es sicher ist.
11. Bereiten Sie sich darauf vor, was Sie der Presse sagen können
Wenn ein Unternehmen von einem größeren Ausfall betroffen ist, zieht dies immer die Aufmerksamkeit der Außenwelt auf sich. In diesem Fall ist es wichtig, einen Plan für die Kommunikation mit der Presse zu haben. Erklärungen an die Presse müssen sorgfältig ausgearbeitet werden, denn sie können sich auf den Aktienkurs des Unternehmens und künftige Einnahmen auswirken und je nach Art der Katastrophe sogar zivilrechtliche oder behördliche Strafen nach sich ziehen.
12. Führen Sie kontinuierlich Praxistests durch und aktualisieren Sie sie, um ihre Wirksamkeit zu gewährleisten.
Stellen Sie schließlich sicher, dass die Maßnahmen im Disaster-Recovery-Plan regelmäßig geprobt werden. Selbst ein perfekter Notfallwiederherstellungsplan wird nicht ewig perfekt sein. Unternehmen verändern sich mit der Zeit. Sie führen neue Geschäftsprozesse ein und geben alte Geschäftsprozesse auf. Durch sich ändernde Technologien und Geschäftsanforderungen wird einen Notfallwiederherstellungsplan irgendwann obsolet. Nur durch kontinuierliche Tests kann sichergestellt werden, dass der Notfallwiederherstellungsplan eines Unternehmens mit den Veränderungen im Unternehmen Schritt hält.
