Disaster Recovery: Wovor sich Deutschlands Daten wirklich fürchten müssen

Die deutsche Gründlichkeit hat einen neuen Höhepunkt erreicht. Naturkatastrophen sind ein kalkuliertes Risiko für Unternehmen, aber ist der Vulkanausbruch nicht ein bisschen weit hergeholt?

Jochen G. hat alle Hände voll zu tun. Er hat gerade seinen Disaster-Recovery-Plan aus der Schreibtischschublade herausgekramt und muss jetzt die Daten, die gestern wieder einmal von einem Lavastrom, verursacht durch einen kleinen Vulkanausbruch, weggeschwemmt worden sind, wieder herstellen. Es will aber auch kein Ende nehmen. Erst letzte Woche pustete ein Tornado ein paar Datensätze ins Gott sei Dank nicht endgültige Nirvana. Und dann das Erdbeben von vor zwei Wochen … Glücklicherweise verfügt das Unternehmen über einen vernünftigen, durchführbaren und vor allem aktuellen Notfallplan für den Desasterfall.
So, und jetzt frage ich Sie, glauben sie, dass sich ein solche Szene in Deutschland abgespielt haben könnte? Nein? Ich auch nicht, nicht zum gegenwärtigen Zeitpunkt. Aber offensichtlich gehören wir zu den wenigen, die eine solche Geschichte, wenn überhaupt, irgendwo in der Region Japan, Südamerika oder, wegen der Tornados, im mittleren Westen der USA vermuten. Denn einer Studie zufolge, die der Speichersoftware-Anbieter Veritas zusammen mit dem Marktforschungsinstitut Dynamic Markets durchgeführt hat, haben 100 Prozent der etwa 30 befragten Firmen in Deutschland für Hurricanes, Erdbeben und Vulkanausbrüche die möglichen Kosten des Eintretens eines dieser Fälle berechnet – für sie sind die Ereignisse also ein kalkuliertes Risiko.

Wir Deutsche sind ja dafür bekannt, alles besonders gründlich zu machen. Diese typisch deutsche Eigenschaft hat eine sehr seltsame Blüte getrieben. Denn nur insgesamt etwa sechs Prozent sehen sich wirklich der Gefahr von Wirbelstürmen oder Lavaflüssen ausgesetzt. Die größte Angst gilt realistischen Schadensquellen wie Hardware- oder Software-Fehlern, Viren und Feuer. Und doch verfügen alle über einen Notfallplan für die genannten Naturkatastrophen. Die Österreicher stehen uns in diesem Punkt im Übrigen in nichts nach und benehmen sich genauso: 100 Prozent der dort befragten Firmen kalkulieren mit Vulkanausbrüchen und ähnlich nahe liegendem. Interessanterweise sehen ‘nur’ 90 Prozent der Amerikaner im Tornado eine Gefahr für ihre Daten, aber hundertprozentige Angst besteht hier gegenüber Erdbeben.

Ernst bleiben für den Ernstfall

Uns Deutschen wird ja eine besondere Gründlichkeit und Disziplin nachgesagt. Doch manchmal setzt der Deutsche im Speziellen, aber auch der Mensch im Allgemeinen die Fleißaufgabe an der falschen Stelle an. Das zeigen die anderen Erkenntnisse der Studie, die durchaus Ernst zu nehmen sind und darauf hinweisen, dass immer noch zu viele Unternehmen nachlässig in Sachen ‘Disaster Recovery’ (DR) handeln.

Wenn überhaupt ein Notfallplan besteht (95 Prozent), dann ist der oftmals vor Jahren erstellt und nicht den veränderten Bedingungen im Unternehmen angepasst worden. 57 Prozent der Befragten überprüfen ihren Plan nur alle zwölf Monate, 6 Prozent haben ihn nie erneuert und immer noch 17 Prozent verfügen erst gar nicht über eine entsprechende Strategie mit der Begründung, ihr Unternehmen sei zu klein oder mit einer vernünftigen Backup-Strategie ausreichend geschützt.

Diejenigen, die einen haben, hätten wenigstens etwas zum Aus-der-Schublade-zaubern, im Fall der Fälle. Was nichts bringt, sind Notfallpläne, die im Hauptdatenzentrum gelagert sind, so wie es 70 Prozent der befragten Unternehmen weltweit tun, 62 Prozent davon sehen keinen Grund, den Plan redundant in einem weiteren Zentrum abzulegen. Wenn also das erste Rechenzentrum abbrennt, ist der DR-Plan ebenfalls futsch. Nur 15 Prozent der IT-Manager gaben an, das Notfallpapier extern, also außerhalb des Unternehmens an einem relativ sicheren Ort, 20 Kilometer vom Firmencampus entfernt, platziert zu haben. Zwei Prozent verwalten ihre DR-Strategie an einem so genannten ‘Ad-hoc-Standort’. Damit ist das Zuhause eines Mitarbeiters, das Auto des Chefs oder ein Laptop irgendwo gemeint. Und zum Schluss das Desaster schlechthin: fünf Prozent wissen überhaupt nicht, wo sich der Plan befindet.

In Deutschland haben 15 Prozent der befragten Unternehmen kein Budget für die Erstellung oder wenigstens die Wartung des Notfallplans vorgesehen. Immerhin 40 Prozent hatten sich für dieses Jahr vorgenommen, sich mit den Kosten einer Strategie für Disaster Recovery auseinander zu setzen.

Der ganz normale Wahnsinn

Vor rund anderthalb Jahren hat es schon einmal eine Studie zum Thema gegeben. Damals konnte man, drückte man beide Augen zu, den Firmen vielleicht noch verzeihen, dass die DR-Pläne in den Schubladen verstaubten. Die Datenflut schien noch beherrschbar und Bits und Bytes waren gerade erst dabei, zum Dokumentenmedium Nr.1 zu werden. Heute sieht das anders aus und dennoch, die Studie spuckt annähernd die gleichen Zahlen aus. Jason Phippen, Director of Product and Solutions Marketing bei Veritas, kann sich diese Haltung auch nicht erklären. “Die Firmen haben einen guten Ruf zu verlieren, das Vertrauen der Kunden schwindet – von den finanziellen Schwierigkeiten ganz zu schweigen.”

Offensichtlich muss erst einmal der gesamte Datensatz eines Unternehmens verbrennen, explodieren oder, so wie in Deutschland nach Meinung vieler durchaus möglich, durch ein Erdbeben auf den Erdmittelpunkt fallen, damit sich IT-Manager, CIOs und CEOs zusammensetzen. Sind Mails und andere Dokumente unwiederbringlich weg, steht ratzfatz nicht nur das Finanzamt auf der Matte. Schließlich gibt es inzwischen genug Regelungen wie Basel II, die die Aufbewahrung wichtiger Dokumente vorschreiben.

Es ist wie im richtigen Leben: Nur diejenigen Firmen besitzen einen Notfallplan, die schon einmal einen Datenverlust erlitten haben. Beispielsweise entwickelten 36 Prozent eine Strategie, nachdem eine Virusattacke ihre Daten ins Nirvana schickte, 11 Prozent wurden von Kunden gebeten, einen Notfallplan zu installieren und insgesamt 26 Prozent zwangen Gesetze und Industrienormen an den runden Tisch.

Jochen G. hätte alles richtig gemacht, wenn es ihn gäbe. Andere sehen da nicht so gut aus.