Disaster Recovery richtig umsetzen

ManagementSicherheit

Die Erwartungen, die an Disaster Recovery (DR) gestellt werden, sind in vielen Fällen unrealistisch. Selbst wenn der dahinterstehende Plan gut gemeint ist, ist die große Frage immer noch, wie er in die Praxis umgesetzt werden kann. Ein Artikel von Douglas Ian Wakeford, Director Consulting der Experton Group.

Die Hoffnung, dass DR entsprechend der definierten RTO-Ziele (Recovery Time Objective) und RPO-Ziele (Recovery Point Objective) umgesetzt werden kann, ist oft weniger eine Erwartung als vielmehr schon eine Traumvorstellung. In Wirklichkeit müssen im Falle einer erforderlichen Notfallwiederherstellung vom IT-Personal schon Anstrengungen von Herkuleischen Ausmaßen unternommen werden, wenn auch nur die geringste Chance bestehen soll, in einer halbwegs angemessenen Zeit wieder online zu sein, vom angestrebten RTO ganz zu schweigen.

Unterstützung bringt ein Disaster Recovery Reality Check, auch wenn sich das schwierig gestalten mag, kann man damit doch die DR-Vision umsetzen. Das setzt allerdings ein Verständnis der Grundprinzipien voraus: Vorbereitende Maßnahmen für die Business Continuity (BC) / Disaster Recovery (DR) sind eine exzellente Chance, die bestehende Infrastruktur, Praktiken und Policies auf den Prüfstand zu stellen und herauszufinden ob sie wirklich angemessen sind, und zwar nicht nur im Hinblick auf BC/DR, sondern auch im Hinblick auf einen effizienten und effektiven, unternehmensweiten Betrieb.

Dabei muss man bedenken, dass BC/DR nichtlosgelöst von Best Practices und dem normalen Betrieb ist; vielmehr kann erhebliches Synergiepotenzial genutzt werden, wenn dies bei der Erstellung des Plans mit berücksichtigt wird. In vielen Unternehmen wird eine solche Maßnahme nicht regelmäßig durchgeführ und inzwischen gibt es auch neue Technologien und Optionen, die bei der Definition der besten Lösung helfen können. Um den bestmöglichen Ansatz zu bestimmen, müssen Fragen gestellt und beantwortet werden:

  • Welche Richtlinien gibt es im Unternehmen im Hinblick auf Business Continuity und Disaster Recovery?
  • Ist bereits ein Disaster Recovery/Business Continuity Plan aufgesetzt?
  • Gibt es ein Asset Management System für alle Informationswerte im Unternehmen?
  • Gibt es eine vollständige, aktuelle Liste der Software-/Hardware-/Netzwerk-Bestände, die kontinuierlich gepflegt wird?

Dabei müssen die folgenden zehn Bereiche adressiert werden:

  1. Zugriff, z.B.: Können/Sollen Anwender auch remote arbeiten?

  2. Einrichtungen, z.B.: Werden die Applikationen derzeit gehostet? Gibt es in nächster Zeit Expansionspläne in dieser Hinsicht? Wie sehen die Pläne für die nächsten drei bis fünf Jahre aus?

  3. Arbeitsplätze, z.B.: Gibt es einen Anbieter, der im Katastrophenfall Arbeitsplatzrechner bereitstellen kann?

  4. Server-Software/Betriebssystem-Backup/Wiederherstellung, z.B.: Gibt es außer Haus verwahrte Kopien der Applikations-Software?

  5. Datensicherung/Wiederherstellung, z.B.: Wie oft werden solche Daten-Backups zur Verwahrung außer Haus verschickt?

  6. Telekommunikation, z.B.: Trägt das Unternehmen auch Verantwortung für Mobiltelefone?

  7. Anbieterbeziehungen, z.B.: Gibt es entsprechende Unterstützungsvereinbarungen mit Anbietern für den Wiederherstellungsfall?

  8. Recovery Time Objectives, z.B.: Stufe 1 Wiederherstellung innerhalb von 24 Stunden (inkl. E-Mail!), Stufe 2 innerhalb von drei Tagen, Stufe 3 innerhalb von fünf Tagen?

  9. Kommunikation, z.B.: Wie soll während der Wiederherstellungsphase mit den Anwendern kommuniziert werden? Gibt es bereits einen Rufbereitschaftsdienst?

  10. Integration der Geschäftsseite, z.B.: Wo sitzen die Business-Anwender während/nach der Katastrophe? Können manche Prozesse auch manuell erledigt werden? Welche Vorbereitungsmaßnahmen müssen getroffen werden?

Diese Fragen sind nur Beispiele aus einer umfassenden DR/BC-Checkliste; sie helfen beim Erstellen eines auf Best Practices basierenden, modernisierten DR/BC-Ansatzes. Es gibt außerdem Methodiken, die man während des Planungsprozesses befolgen sollte, unter anderem im Rahmen des Risikomanagements sowie für die DR/BC-Implementierungs- und Testphasen. Die Planung und der Test der Disaster-Recovery-Maßnahmen sind erfolgsentscheidend für die Aufrechterhaltung des Unternehmensbetriebs im Katastrophenfall.