Blog

IT-Ausfälle und Datenverluste sind nicht nur lästig, sie sind existenzgefährdend und kosten normalerweise auch viel Geld.

Erschwerend kommt hinzu, dass Unternehmen im Rahmen der EU-DSGVO geeignete Maßnahmen zur Datensicherung und Datenwiederherstellung ergreifen müssen. Vor diesem Hintergrund sollten Unternehmen eine leistungsfähige Backup- und Disaster-Recovery-Strategie implementieren, die neben einer effizienten und regelmäßigen Datensicherung auch Notfallpläne für eine minutenschnelle und zuverlässige Datenwiederherstellung beinhaltet – auch für Daten aus Cloud-Diensten und Software as-a-Service-Angeboten (SaaS).

IT-Ausfälle und Datenverluste kommen rasanter als man vermutet. Sie können aus den verschiedensten Gründen verursacht werden. Das reicht von Hardware- oder Softwarefehlern, über zielgerichtete Hackerangriffe und Ransomware bis hin zu menschlichem Versagen und Havarien.
Wenngleich sich die überwiegende Zahl der Unternehmen inzwischen über die Gefahren bewusst sind, werden vielerorts nur unzureichende Maßnahmen zur Datensicherung und Datenwiederherstellung für den Katastrophenfall ergriffen - vor allem bei der Verwendung von Cloud-Diensten und Software-as-a-Service Lösungen. Gerade kürzlich führte ein Großbrand im Rechenzentrum der OVHcloud (https://www.golem.de/news/cloud-computing-rechenzentrum-von-cloud-hoster-ovh-abgebrannt-2103-154820.html ) schmerzlich vor Augen, wie essenziell ein leistungsfähiges Cloud-Backup und Disaster-Recovery-Konzept ist.
Denn das Feuer hat nicht nur mehrere tausend Server gänzlich zerstört, außerdem auch alle möglichen Daten etlicher Betriebe und Organisationen, unwiederbringlich zerstört – insbesondere derer, die aus Kostengründen und dem Glauben an die Zuverlässigkeit der Cloud keinerlei Backup und Disaster-Recovery-Maßnahmen ergriffen haben.

Die goldene 3-2-1-Richtlinie für Backups

Eine wirksame und regelmäßige Datensicherung ist unerlässlich, wenn es um die Aufrechterhaltung der Geschäftskontinuität, den Schutz der Daten und die Vorsorge vor größeren Bedrohungen und Havarien geht. In der Regel sollten Unternehmen dabei die 3-2-1-Datensicherung-Richtlinie befolgen. Kurzgefasst definiert die Regel, dass Betriebe • ihre Geschäftsdaten in dreifacher Version, • auf zwei verschiedenartigen Speichertechnologien aufbewahren sollen, • wovon eine Kopie außerhalb aufbewahrt wird. Das Schöne an der 3-2-1-Backup-Richtlinie ist, dass sie unkompliziert zu verstehen, zu pflegen und auch beim Backup von Cloud-Diensten anwendbar ist. Sehr wohl sollten Betriebe darauf achten, dass die Originaldaten und Backups nicht beim gleichen Anbieter, in derselben Serverfarm oder auf demselben Server gespeichert werden, sondern an mehreren unterschiedlichen, physikalisch voneinander unabhängigen Rechenzentren. Durch diese Maßnahme verhindern Unternehmen nicht nur gravierende Datenverluste, wie im Fall OVHcloud, sondern auch eine lange Ausfallzeit im Ernstfall und finanzielle Einbußen.

Darüber hinaus erfüllen sie die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO (https://dsgvo-gesetz.de/art-5-dsgvo/ ) und die Sicherheit der Verarbeitung nach Art. 32 DSGVO (https://dsgvo-gesetz.de/art-32-dsgvo/ ). Minutenschnelle Datenrettung dank durchdachten Notfallplänen! Schon geringe IT-Ausfälle können sich zu einer Bedrohung entwickeln. Nicht erst seit dem Großbrand beim mächtigsten Cloudanbieter Europas, OVHcloud (https://www.ovhcloud.com/de/) in Frankreich, ist klar, dass eine möglichst schnelle Datenrettung für die Geschäftskontinuität unerlässlich ist.

Data Recover und Notfallplan

Die Data Recovery sollte grundsätzlich auf Grundlage eines definierten und -insbesondere eines dokumentierten Notfallplans erfolgen. Bei der Anfertigung eines Disaster-Recovery-Plans sollten Betriebe unter anderem folgende Dinge berücksichtigen:

1. Analyse der Unternehmensprozesse Im ersten Schritt müssen die Betriebe den Geltungsbereich des Notfallmanagements bestimmen und alle problematischen Geschäftsprozesse ermitteln, die für das Unternehmen von essenzieller Wichtigkeit sind.

2. Risikoanalyse und Berechnung der wirtschaftlichen Auswirkungen Nachdem alle problematischen Geschäftsprozesse identifiziert wurden, sollten Betriebe eine Risikoanalyse durchführen und nach Möglichkeit die Kosten quantifizieren, die beispielsweise Ausfallzeiten nach sich ziehen. Auf dieser Basis kann entschieden werden, welche Gegenmaßnahmen in welchem Umfang zutreffend sind.

3. Definition von Verantwortlichkeiten und Einbindung der Kollegen Um eine effiziente Regelung und Kontrolle des Notfallmanagements sicherzustellen, müssen Betriebe, Zuständigkeiten und Abläufe festlegen, die im Schadensfall notwendige Steps zur Wiederherstellung einleiten können. Das setzt logischerweise voraus, dass die relevanten Mitarbeiter über jegliche Schritte und Zielsetzungen des Notfallmanagements im Bilde sind.

4. Festsetzung der Parameter Recovery Point Objective und Recovery Time Objective Um einen brauchbaren Notfallwiederherstellungsplan entwerfen zu können, der die Geschäftskontinuität nach einem nicht erwarteten Vorfall aufrechterhält, müssen Unternehmen unterschiedliche Messgrößen definieren. Die Kennziffern der Recovery Time Objective (RTO) und Recovery Point Objective (RPO) sind wichtige Parameter für eine Notfallplanung. • Beim RTO handelt es sich um die für die Wiederherstellung der Daten vorgegebene Zeit, das heißt, die Zeit, die vom Eintritt der Beschädigung bis zur kompletten Wiederherstellung des Systems höchstens vergehen darf. • Beim RPO geht es um die Frage, wie hoch der maximal hinnehmbare Datenverlust im Zweifel sein darf, der zwischen einer Sicherung und dem Ausfall des Systems entsteht.

5. Kontinuierliche Kontrolle und Tests Um die Nützlichkeit des Notfallmanagements zu kontrollieren, sollten Unternehmen in regelmäßigen Zeitabständen Übungen und Test vornehmen, die einen IT- oder Server-Ausfall vortäuschen. Abhängig von den Testergebnissen kann an einer kontinuierlichen Verbesserung der implementierten Backup- und Disaster-Recovery-Vorgehensweise gearbeitet werden. Ein Backup- und Disaster-Recovery-Konzept ist keine Option, sondern Notwendigkeit! Cloud-Dienstleistungen und Applikationen „as a Service“ sind aus dem Geschäftsalltag nicht mehr wegzudenken. Sehr wohl führt der Komfort und die Rund-um-die Uhr-Nutzbarkeit der Daten dazu, dass Unternehmen vergessen, dass sich hinter der Cloud, letztlich ein physischer Ort befindet – und dieser ebenso anfällig für Störungen und Ausfälle ist. Daher sollten Firmen zwingend ihre bereits bestehende Backup und Disaster-Recovery-Strategie reflektieren, bei Bedarf modernisieren- und insbesondere turnusmäßig prüfen, um an einer fortlaufenden Optimierung der implementierten Backup- und Disaster-Recovery-Strategie zu arbeiten. Denn bekanntermaßen können Firmen nur mit einer wirksamen und regelmäßigen Datensicherung sowie einer minutenschnellen und verlässlichen Datenwiederherstellung, die Ausfallzeit im Schadensfall minimieren und die Geschäftskontinuität sowie die Verfügbarkeit und Integrität der Geschäftsdaten sicherstellen.