Schon ein teilweiser Ausfall von produktiven Systemen kann zu einer nachhaltigen Beeinträchtigung der Produktivität eines Unternehmens führen. Während die wirklichen wirtschaftlichen Folgen eines Desasters sich oft erst nach dem Vorfall beziffern lassen, lässt sich eines mit Gewissheit vorhersagen: Hektik, Stress und Druck – der vor allem auf dem zuständigen IT-Verantwortlichen lastet. Er kann jedoch wesentlich gelassener reagieren und einen kühlen Kopf bewahren, wenn ein entsprechendes Notfallkonzept zur Verfügung steht.
Die nachfolgenden Punkte sollen einen kurzen Überblick bieten, welche Aspekte und Überlegungen für einen Disaster-Recovery-Plan Sinn machen oder – je nach eigenem Bedarf im Unternehmen – noch weiter vertieft werden können.
1. Analyse der Geschäftsprozesse
In einem ersten Schritt sollte der Geltungsbereich des Notfall-Managements festgelegt werden. Hier sind zunächst alle Geschäftsprozesse zu identifizieren, die für das Unternehmen von essentieller Bedeutung sind. Bei den dabei zugrundeliegenden IT-Systemen hat das Unternehmen einen klaren Vorteil, wenn nach einem Schadensereignis sämtliche Daten inklusive Betriebssystem, Applikationen und Anwenderdaten in möglichst kurzer Zeit wieder komplett herstellbar sind.
2. Risikoanalyse und Berechnung der finanziellen AuswirkungenFür jeden Geschäftsprozess, der als unternehmenskritisch identifiziert wurde, kann sich eine Risikoanalyse als sinnvoll erweisen. Das heisst, es muss zum einen bestimmt werden, welche Gefahren und Bedrohungen vorhanden sind. Zum anderen sollten nach Möglichkeit und erforderlicher Detailtiefe die Kosten quantifiziert werden, die Ausfallzeiten nach sich ziehen. Auf dieser Basis kann entschieden werden, welche Gegenmassnahmen in welchem Umfang zu treffen sind.
3. Definition von VerantwortlichkeitenAuch auf der organisatorischen Ebene gilt es, erforderliche Massnahmen für ein effizientes Disaster Recovery zu treffen. Dabei werden alle Verantwortlichkeiten und Prozesse definiert, die eine effiziente Steuerung und Überwachung des Notfall-Managements sicherstellen. So kann in vielen Unternehmen eine Regelung über die Erreichbarkeit und Verfügbarkeit von Mitarbeitern Sinn machen, die mit dem Notfallplan vertraut sind und im Ernstfall notwendige Schritte einleiten können. Auch Überlegungen für regelmässige Schulungen können sinnvoll sein.
4. Integration der Mitarbeiter
Eine Grundvoraussetzung für ein erfolgreiches Notfall-Management ist die Integration der relevanten Mitarbeiter. Sie sollten über Massnahmen und Zielsetzungen des Notfall-Managements informiert sein.
5. Integration in bestehende SystemeIn einigen Unternehmen existiert bereits ein übergreifendes Risiko- und Sicherheits-Management-System. In einem solchen Fall müssen die Prozesse des Notfall-Managements mit allen bereits etablierten Abläufen in diesen Systemen abgeglichen werden, um eine unternehmensweit konsistente Basis für die Aufrechterhaltung der Geschäftskontinuität zu erhalten.
6. Bestimmung von RPO und RTODie Kenngrössen Recovery Time Objective (RTO) und Recovery Point Objective (RPO) sind wichtige Parameter für eine Notfallplanung. Bei der Recovery Time Objective handelt es sich um die für die Wiederherstellung der Daten vorgegebene Zeit – das heisst die Zeit, die vom Eintritt des Schadens bis zur vollständigen Wiederherstellung des Systems höchstens vergehen darf. Wenn beispielsweise der Web-, E-Mail- oder Hauptdatenbank-Server ausfällt, ist es für jedes Unternehmen unerlässlich, dass das System innerhalb von Minuten wieder läuft. Bei der Recovery Point Objective geht es um die Frage, wie hoch der maximal hinnehmbare Datenverlust im Zweifel sein darf, der zwischen einer Sicherung und dem Ausfall des Systems entsteht. Von der unternehmens-internen Bestimmung dieser Kenngrössen hängt auch die Wahl einer adäquaten Disaster-Recovery-Lösung massgeblich ab.
7. Wahl der richtigen LösungEine zukunftsweisende Disaster-Recovery-Lösung sollte auf jeden Fall heterogene Umgebungen unterstützen. Da sich ein hoher Prozentsatz der Unternehmensdaten heute auf mobilen Geräten befindet, sollten Desktops, Workstations und Remote-Systeme in die Planung der Sicherung einbezogen werden.
8. Entwicklung eines Leitfadens
Als äusserst hilfreich wird sich ein Leitfaden erweisen, der die Ergebnisse und Richtlinien der genannten Punkte dokumentiert und zusammenfasst – am besten in gedruckter Form. Das Dokument sollte im Idealfall an einem sicheren Ort aufbewahrt werden und allen am Notfallprozess Beteiligten zugänglich sein.
9. Regelmässige Überprüfung und TestsEine Überprüfung der Effizienz des Notfall-Managements in regelmässigen Abständen ist empfehlenswert und schafft Gewissheit. Hierzu sollten Tests und Übungen durchgeführt werden, beispielsweise die Simulation des Ausfalls eines zentralen Servers. Abhängig von den Testergebnissen kann so an einer konti-nuierlichen Optimierung des implementierten Notfall-Managements gearbeitet werden.
10. Pragmatischer TipEine Software-Lösung, die neben Disaster-Recovery zur Wiederherstellung gesamter Systeme auch eine integrierte Data-Protection-Komponente aufweist, kann von Vorteil sein. Gerade für zahlreiche Schadensfälle, insbesondere wenn sie unterhalb der Disaster-Schwelle liegen, ist eine solche Lösung ideal. Sie ermöglicht eine selektive Sicherung und Wiederherstellung auf Datei- oder Objekt-ebene und kann in kürzeren Zeitabständen erfolgen. Dementsprechend lässt sich ein gezieltes Recovery schneller durchführen.
Zusammenfassend ist festzuhalten, dass eine professionelle Disaster-Recovery-Planung für die Unternehmens-IT heute eine zentrale Aufgabe ist. Die IT muss nicht nur sicherstellen, dass die Daten und Systeme nach versehentlichem Löschen, Störfällen wie Hardware-Ausfällen, Brand oder unbefugten Eingriffen Dritter weiter zur Verfügung stehen. Die Einbindung der wichtigen Stellen und Personen sowie die Verankerung der Notfallplanung an allen wichtigen Unternehmensstellen werden im Ernstfall Zeit und Ressourcen schonen.
Sandra Adelberger ist Director Product Management EMEA bei Acronis in München.