Ein Disaster-Recovery-Plan (DR-Plan) soll Unternehmen helfen, nach schweren Störungen ihre geschäftskritischen Funktionen schnellstmöglich wieder aufnehmen zu können. Der DR-Plan besitzt deshalb eine stark strukturierte Form mit definierten Schritten, die im Vorfeld erarbeitet und dokumentiert wurden. Neben präventiven Maßnahmen zur Eindämmung von Katastrophen geht es vor allem um klare Anweisungen, die im Ernstfall umgesetzt werden müssen. Hier einige Überlegungen, wie man zu solch einem Plan gelangt.
Sicherungs- und Notfall-Wiederherstellungsstrategie
Einer der ersten Schritte auf dem Weg zu einem Plan lautet, eine Wiederherstellungsstrategie zu erarbeiten. Diese hängt ab von den Anforderungen, Gegebenheiten und Möglichkeiten des Unternehmens. So sind bei der Definition einer Wiederherstellungsstrategie unter anderem zu berücksichtigen: die im Ernstfall zur Verfügung stehenden Ressourcen (Personal, Equipment, Räumlichkeiten), Technologien (Virtualisierung, Zulieferer, Software, Hardware, Services), bereits bekannte Schwachstellen und Informationen, wie in der Vergangenheit bei aufgetretenen Ausfällen gehandelt wurde.
Eine ganz wichtige Voraussetzung für die nun folgende Erstellung eines DR-Plans sind das Commitment und das Verständnis des Managements für die erforderlichen Aufwände, da diese genehmigt werden müssen. Erst dann kann die Wiederherstellungsstrategie in einen DR-Plan gegossen werden.
DR-Plan erstellen
Je nach Anforderung und Unternehmensgröße kann ein DR-Plan sehr umfangreich werden. Im Internet kursieren viele Informationen und Beispiele, die relevante Impulse für die Arbeit an einem eigenen DR-Plan liefern können. Trotzdem sollten kleinere Unternehmen eine externe IT-Beratung hinzuziehen, um auch die unternehmensspezifisch kritischen Themen zu berücksichtigen. Für ein typisches mittelständisches Unternehmen reicht ein pragmatischer Ansatz, der im Normalbetrieb aktualisiert und – soweit möglich – durchgespielt wird, so dass er im Ernstfall tatsächlich umsetzbar ist.
Wichtige Punkte des Plans sind:
- Die Definition des Teams, das das Wissen hält und im Ernstfall die Aktivitäten koordiniert. Hierzu gehören auch die Kontaktdaten in gedruckter Form.
- Listen und Kontaktdaten wichtiger Lieferanten, die bei der Recovery unterstützen könnten.
- Eine Auflistung der kritischen IT-Systeme und Netzwerkkomponenten inklusive ihrer IP-Adressen, möglicherweise sogar der MAC-Adressen.
- Die Beschreibung der vorhandenen Backupsystematik, so das beispielsweise aus Umfang und Erstellungszyklus der Sicherungen im Ernstfall die richtigen Aktionen abzuleiten sind.
- Die zeitliche Priorisierung der Wiederherstellungsprozesse laut RTO-Zielen (Recovery Time Objective). Wenn beispielsweise als RTOs für den Mailserver sechs Stunden und für die Telefonanlage zwei Stunden definiert sind, ist die Wiederherstellung der Telefonanlage entsprechend prior einzuplanen.
- Eine Beschreibung der Prozesse, die zur Wiederherstellung der IT-Funktionen durchzuführen sind. Im einfachsten Falle Neustart, in schwierigeren Situationen Neukonfiguration oder Wiederherstellen von Systemen und Netzwerken aus den Sicherungsmedien.
- Gegebenenfalls Hardware-Ersatzsysteme oder Ersatzkomponenten.
- Nicht vergessen werden darf die Kommunikation nach außen, diese sollte nicht chaotisch erscheinen, sondern von einer vorher abgestimmten Sprachregelung geleitet sein.
Disaster Recovery durchführen
Für die tatsächliche Wiederherstellung der IT-Funktionalität gibt es viele Ansätze, die in Abhängigkeit vom IT-Setup eingesetzt werden können. Die heute genutzten Virtualisierungskonzepte erleichtern die Wiederherstellung deutlich. Wurden die VMs regelmäßig gesichert, so lassen sich diese auf dem gleichen oder anderen Servern wiederherstellen, ähnliches gilt für virtualisierte Teile des Netzwerks.
Es gibt auch Anbieter, die DR „as a Service“ anbieten. Technisch ist das zwar möglich, man sollte sich jedoch die Konzepte und deren Umsetzbarkeit genau ansehen und Datenschutzbelange nicht vergessen.
Wichtig ist natürlich, dass ein DR-Plan mit den im Ernstfall Beteiligten schon einmal durchgespielt wurde, denn nur so fallen Ungereimtheiten auf und können behoben werden. Im Rahmen von regelmäßigen Audits sollte der Plan an die aktuelle Situation angeglichen werden.
Keep it simple
Es gibt viele hilfreiche Informationen im Internet zur Erstellung eines DR-Plans, es empfiehlt sich jedoch, für die Umsetzung professionelle Unterstützung hinzuzuziehen. Anstelle einer einmaligen Großaktion fängt man am besten mit einem überschaubaren Konzept an und erweitert dieses schrittweise.
LIS AG hat über die Jahre bei Kunden schon die verrücktesten Ausfälle und Katastrophen erlebt, daher gibt es umfangreiche Erfahrungen, wie man aus desolaten Situationen wieder in einen geordneten Betrieb findet. Wenn Sie Bedarf nach pragmatischer und kompetenter Beratung für solche Fälle suchen, sind Sie bei uns richtig.