Wenngleich sich die meisten Firmen inzwischen über die Gefahren bewusst sind, werden vielerorts nur unzureichende Vorkehrungen zur Datensicherung und Datenwiederherstellung für den Katastrophenfall ergriffen - vor allem bei der Nutzung von Cloud-Diensten und Software-as-a-Service Angeboten.
Erst kürzlich führte ein Großbrand im Rechenzentrum der OVHcloud (https://www.golem.de/news/cloud-computing-rechenzentrum-von-cloud-hoster-ovh-abgebrannt-2103-154820.html) schmerzlich vor Augen, wie elementar ein leistungsfähiges Cloud-Backup und Disaster-Recovery-Konzept ist.
Denn das Feuer hat nicht nur viele tausend Server völlig zerstört, außerdem auch alle möglichen Daten etlicher Unternehmen und Organisationen, unwiederbringlich vernichtet – gerade derer, die aus Kostengründen und dem Glauben an die Zuverlässigkeit der Cloud keinerlei Backup und Disaster-Recovery-Maßnahmen ergriffen haben.
Die goldene 3-2-1-Regel für Datensicherungen
Eine effiziente und kontinuierliche Datensicherung ist unerlässlich, wenn es um die Aufrechterhaltung der Geschäftskontinuität, den Schutz der Daten und die Vorsorge vor größeren Bedrohungen und Havarien geht.
Grundsätzlich sollten Firmen dabei die 3-2-1-Backup-Regel befolgen.
Kurzgefasst besagt die Regel, dass Betriebe
- ihre Geschäftsdaten in dreifacher Ausführung,
- auf zwei verschiedenen Speichertechnologien aufbewahren sollen,
- wovon eine Kopie außerhalb aufbewahrt wird.
Das Schöne an der 3-2-1-Backup-Richtlinie ist, dass sie leicht zu begreifen, zu pflegen und auch beim Backup von Cloud-Diensten nutzbar ist. Allerdings sollten Betriebe darauf achten, dass die Originaldaten und Datensicherungen nicht beim gleichen Anbieter, in derselben Serverfarm oder auf demselben Server gesichert werden, sondern an mehreren unterschiedlichen, physikalisch voneinander unabhängigen Rechenzentren.
Durch diese Maßnahme verhindern Unternehmen nicht nur gravierende Datenverluste, wie im Fall OVHcloud, sondern auch eine lange Ausfallzeit im Ernstfall und finanzielle Einbußen. Darüber hinaus erfüllen sie die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO (https://dsgvo-gesetz.de/art-5-dsgvo/) und die Sicherheit der Verarbeitung nach Art. 32 DSGVO (https://dsgvo-gesetz.de/art-32-dsgvo/).
Minutenschnelle Datenrettung dank durchdachten Notfallplänen!
Schon kurze IT-Ausfälle können sich zu einer Bedrohung entwickeln.
Nicht erst seit dem Großbrand beim größten Cloudanbieter Europas, OVHcloud (https://www.ovhcloud.com/de/) in Frankreich, ist klar, dass eine äußerst rasche Datenwiederherstellung für die Geschäftskontinuität unerlässlich ist.
Die Datenwiederherstellung sollte grundsätzlich auf Grundlage eines festgelegten und -insbesondere eines protokollierten Notfallplans erfolgen.
Bei der Anfertigung eines Disaster-Recovery-Plans sollten Firmen unter anderem folgende Dinge berücksichtigen:
- Prüfung der Unternehmensprozesse
Im ersten Step müssen die Betriebe den Geltungsbereich des Notfallmanagements bestimmen und alle problematischen Unternehmensprozesse ermitteln, die für den Betrieb von essenzieller Relevanz sind.
- Risikoanalyse und Berechnung der monetären Folgen
Nachdem alle problematischen Geschäftsprozesse ermittelt wurden, sollten Firmen eine Risikoanalyse vornehmen und nach Möglichkeit die Kosten beziffern, die beispielsweise Ausfallzeiten nach sich ziehen. Auf dieser Basis kann entschlossen werden, welche Gegenmaßnahmen in welchem Ausmaß zutreffend sind.
- Bestimmung von Zuständigkeiten und Einbindung der Kollegen
Um eine effiziente Regelung und Überwachung des Notfallmanagements zu gewährleisten, müssen Firmen, Verantwortlichkeiten und Abläufe definieren, die im Schadensfall notwendige Steps zur Wiederherstellung starten können. Das setzt natürlich voraus, dass die elementaren Mitarbeiter über jegliche Maßnahmen und Zielsetzungen des Notfallmanagements im Bilde sind.
- Festsetzung der Variablen Recovery Point Objective und Recovery Time Objective
Um einen brauchbaren Notfallwiederherstellungsplan entwerfen zu können, der die Geschäftskontinuität nach einem nicht erwarteten Vorfall aufrechterhält, müssen Unternehmen unterschiedliche Messgrößen definieren.
Die Kennziffern der Recovery Time Objective (RTO) und Recovery Point Objective (RPO) sind wichtige Einflussgrößen für eine Notfallplanung.
Beim RTO handelt es sich um die für die Wiederherstellung der Daten vorgegebene Dauer, das heißt, die Zeit, die vom Eintritt des Schadens bis zur kompletten Wiederherstellung des Systems maximal verstreichen darf.
Beim RPO geht es um die Frage, wie hoch der gröst hinnehmbare Datenverlust im Zweifel sein darf, der zwischen einer Sicherung und dem Ausfall des Systems entsteht.
- Regelmäßige Prüfung und Tests
Um die Effizienz des Notfallmanagements zu kontrollieren, sollten Firmen in regelmäßigen Abständen Übungen und Test durchführen, die einen IT- oder Server-Ausfall simulieren. Abhängig von den Testergebnissen kann an einer fortlaufenden Verbesserung der implementierten Backup- und Disaster-Recovery-Vorgehensweise gearbeitet werden.
Ein Backup- und Disaster-Recovery-Plan ist keine Möglichkeit, sondern Pflicht!
Cloud-Dienstleistungen und Applikationen „as a Service“ sind aus dem Geschäftsalltag nicht mehr wegzudenken. Allerdings führt der Komfort und die Rund-um-die Uhr-Nutzbarkeit der Daten dazu, dass Firmen vergessen, dass sich hinter der Cloud, letztlich ein physischer Ort befindet – und dieser ebenso empfänglich für Störungen und Ausfälle ist.
Aufgrund dessen sollten Unternehmen zwingend ihre bereits existierende Backup und Disaster-Recovery-Strategie überdenken, gegebenenfalls modernisieren- und insbesondere regelmäßig prüfen, um an einer kontinuierlichen Optimierung der implementierten Backup- und Disaster-Recovery-Strategie zu arbeiten.
Denn bekanntlich können Betriebe nur mit einer wirksamen und turnusmäßigen Datensicherung sowie einer minutenschnellen und verlässlichen Datenwiederherstellung, die Ausfallzeit im Schadensfall minimieren und die Geschäftskontinuität sowie die Verfügbarkeit und Unversehrtheit der Geschäftsdaten sicherstellen.
