Es ist der Albtraum jedes Unternehmens: Das IT-System und damit die Geschäftsdaten sind nicht mehr verfügbar. Was in einem Fall noch glimpflich ausgehen mag, kann in einem anderen die Zukunft des Unternehmens kosten. Das Thema "Disaster Recovery" verdient daher höchste Aufmerksamkeit.
Die Gefahr des Daten- und Informationsverlustes ist allgegenwärtig. In die Schlagzeilen schaffen es aber nur die grossen Ereignisse: Unwetter, Erdbeben, Feuersbrunst oder grossflächige, langdauernde Stromausfälle. Derartige Ereignisse sind in ihren Auswirkungen vorhersehbar; der Schutz dagegen ist unter IT-Aspekten vergleichsweise einfach zu organisieren.
Ein viel höheres Risiko für die Unternehmen bergen die "kleinen" Katastrophen: Bedienungsfehler, Hardwaredefekte, fehlerhafte Anwendungssoftware, Unzulänglichkeiten in der System- und Kommunikationssoftware. Dieses Paket dürfte für mehr als 90 Prozent der gesamten Ausfallzeit verantwortlich sein. Maximal 10 Prozent gehen auf das Konto der erwähnten grossen Katastrophen.
Wie gross der Schaden für ein Unternehmen aufgrund eines desaströsen Ereignisses wird, hängt stark davon ab, ob es einen funktionsfähigen Plan für die Weiterführung des Geschäftsbetriebes gibt. Ein solcher "Business Continuity Plan" (BCP) umfasst unter anderem die technischen Disaster-Recovery-Massnahmen auf IT-Seite, hat aber darüber hinaus das Unternehmen als Ganzes im Auge: Menschen, Betriebsstätten, Daten, Systeme und - last but not least - die Geschäftsprozesse. Der BCP legt in umfassenden Regeln fest, wie ein Unternehmen im Fall des Falles weiter funktionieren soll.
Damit wird der BCP zu einem wichtigen Baustein, um die finanziellen Verluste in Grenzen zu halten. Eine Untersuchung der Contingency-Planning-Abteilung des US-Beratungsunternehmens Eagle Rock zeigt, wie sehr die Folgen von der jeweiligen Branche abhängen. Ein Brokerhaus verliert über 6 Millionen Dollar pro Stunde, bei der Flugreservierung sind es noch 90'000 Dollar, und der Ausfall von Geldausgabemaschinen schlägt mit rund 15'000 Dollar stündlichen Verlusten zu Buche.
Angesichts dieser Zahlen ist es mehr als sinnvoll, einen Business-Continuity-Plan zu entwickeln. Dabei ist aber Vorsicht geboten: Manche Unternehmen sind der Auffassung, ihr Disaster-Recovery-Plan sei bereits der BCP. Dass dem nicht so ist, zeigen die folgenden Fragen, die sich ein Unternehmen beantworten muss, um zu einem funktionsfähigen BCP zu kommen:
• Commitment: Steht das oberste Management uneingeschränkt hinter dem Plan?
• Assessment: Was sind die kritischen Geschäftsprozesse?
• Analysis: Welches sind die Risiken, die diese Geschäftsprozesse beeinflussen?
• Impact: Welches sind die finanziellen Folgen, wenn diese Geschäftsprozesse betroffen sind?
• Planning: Existiert ein Regelwerk, das die Risiken ausschliesst oder wenigstens mindert?
• Implementation: Ist dieses Regelwerk in der gesamten Organisation eingeführt und verankert?
Die Planung eines kontinuierlichen Geschäftsverlaufs deckt also das gesamte Spektrum der möglichen Risiken sowie aussichtsreicher Gegenmassnahmen ab. Daraus resultiert die Schaffung einer Hierarchie für Systeme, Anwendungen und Daten:
• kritisch: Systeme, Anwendungen und Daten, die geschäftskritische Prozesse unterstützen und aus gesetzlichen Gründen unverzichtbar sind.
• wichtig: Anwendungen und Daten, auf die ein Unternehmen für kurze Zeit verzichten kann. Das sind beispielsweise Standard-Geschäftsprozesse, die aber wichtige Ressourcen der Geschäftstätigkeit darstellen.
• nicht kritisch: Daten, die leicht und zu geringen Kosten wiederhergestellt werden können.
Auf dieser Basis wird festgelegt, in welcher Reihenfolge ein System wiederhergestellt werden muss. In diesen Zeiten des "e-Everything" müssen manche Applikationen und Daten immer verfügbar sein. Eine realistische Einschätzung der kritischen Prozesse spart dabei Geld: Hohe Verfügbarkeit bedeutet immer eine hohe Komplexität der Systeme, bindet Ressourcen und ist teuer. Je nach Bedarf bieten sich die folgenden konkreten Disaster-Recovery-Implementationen an:
• Wer 48 Stunden oder mehr Zeit hat, um sein Unternehmen wieder fit zu machen, kann mit einer "Cold Site" auskommen: In einem mit der nötigen Kabelinfrastruktur ausgerüsteten, aber ansonsten leeren Raum werden im Ernstfall neue Systeme installiert, deren Zusammensetzung im Disaster-Recovery-Plan festgelegte wurde. Das erfordert entsprechende Liefervereinbarungen mit den wichtigsten Herstellern und Lieferanten. Die Wiederherstellung des Gesamtsystems erfolgt auf der Basis von Backup-Tapes, die an einem räumlich getrennten Ort gelagert werden.
• Eine elegantere Lösung basiert auf dem "Remote Electronic Storage System": Zwei Tape Libraries sind so gekoppelt, dass Backup-Tapes entweder direkt von der Primary Disk oder vom Primary Tape an einem räumlich getrennten Ort, beispielsweise einer Cold Site, erzeugt werden.
• Für die wirklich geschäftskritischen Applikationen und Daten dagegen kommt nur eine "Hot Site" in Frage. Sie kann sowohl intern betrieben werden als auch im Outsourcing-Verfahren durch einen kommerziellen Betreiber. In diesem Fall findet das Update der Daten auf den Disk-Systemen entweder synchron statt (Mirroring: Eine Transaktion ist erst abgeschlossen, wenn auf beiden Disk-Systemen das Update abgeschlossen ist) oder aber asynchron (Shadowing: Das Update der zweiten Disk erfolgt mit zeitlicher Verzögerung).
Das synchrone Mirroring erfordert eine hohe Bandbreite für die Datenübertragung, was derzeit die räumliche Entfernung zwischen den Systemen noch limitiert. Das asynchrone Shadowing hingegen erlaubt die Installation des zweiten Disk-Systems an einem beliebigen Ort. Eine Schlüsselrolle im Recovery-Prozess spielt die Storage-Management-Software. Sie muss in der Lage sein, die Daten auf Basis vom Anwender definierter Regeln vollkommen automatisch und sicher zu speichern.
Wer noch keinen Plan hat, wie sein Unternehmen nach einem Ernstfall wieder anlaufen kann und zudem zögert, sich die notwendigen Gedanken zu machen, dem seien die Worte von Fred Moore, Präsident der Consulting-Firma Horison, ins Gedächtnis gerufen: "Backup is important, recovery is mission-critical."
Was kostet eine Stunde Downtime in Ihrem Unternehmen?
Wie lange darf ein Ausfall maximal dauern, bis das Überleben der Firma in Gefahr ist?
Ist die Firma zu klein, um für den Ernstfall ein zweites, räumlich getrenntes Rechenzentrum zu betreiben? Meist kann und will man beim Ausfall der IT-Systeme trotzdem nicht auf einen möglichst unterbrechungsfreien Betrieb verzichten: Die Informationen, die zum Beispiel im CRM- oder ERP-System gehalten werden, sind für einen reibungslosen Geschäftsgang unabdingbar.
In solchen Fällen bietet sich das Outsourcing der Recovery-Dienste an, wie es zum Beispiel Telekurs Services sowohl massgeschneidert als auch in Paketen zu fix vereinbarten Konditionen anbietet. Je nach den geschäftlichen Anforderungen und dem noch akzeptablen Ausfallrisiko stehen die drei Varianten "Cold", "Warm" und "Hot" zur Verfügung, die Telekurs Services anhand von zwei Kriterien unterscheidet: Die Recovery Point Objective (RPO) definiert das maximale Alter und damit die Aktualität der durch die Recovery wiederhergestellten Daten; die Recovery Time Objective (RTO) bezeichnet die maximale Dauer, die für die Recovery-Massnahmen benötigt wird - mit anderen Worten die effektive Ausfallzeit.
Ein Blick auf die Kostenstruktur zeigt, dass auch Outsourcing-Recovery mit erheblichen Kosten verbunden ist: Für das Cold-Recovery-Paket (RPO 1 Tag, RTO 5 Tage, Backup von 10 GB mit Sicherung von maximal 2 GB pro Tag, dazu eine Notfallübung pro Jahr) hat man mit "weniger als 100'000 Franken pro Jahr" zu rechnen.
Damit ist die Positionierung klar: Für die "K" unter den KMU eignet sich die Lösung nicht; für ein mittelgrosses Unternehmen mit starker IT-Abhängigkeit sind die Konditionen im Vergleich zum Betrieb eines zusätzlichen Data Center jedoch durchaus attraktiv - laut Anbieter betragen sie "gerade mal wenige Promille eines durchschnittlichen Jahresumsatzes".
Auch wer sich eine solche Outsourcing-Lösung nicht leisten kann, erhält mit einem Blick auf die Angebotsdetails nützliche Informationen zu den Kriterien, an denen sich eine Disaster-Recovery-Lösung zu messen hat: Wie schnell müssen die Daten wieder verfügbar sein, wie "alt" dürfen sie sein, wie gross ist die zu sichernde Datenmenge, müssen bloss Daten gesichert werden oder auch der Betrieb der Applikationen gewährleistet bleiben, erfolgt die Wiederherstellung manuell bei Bedarf, in regelmässigen Abständen oder kontinuierlich, wie oft muss ein Ausfallszenario geprobt werden?
Der Autor Willi Engeli ist Consultant bei StorageTek, Opfikon.
