Backup- und Disaster Recovery: Datensicherheit statt Datenverlust!

IT-Ausfälle und Datenverluste sind nicht nur lästig, sie sind existenzgefährdend und kosten normalerweise auch viel Geld. Erschwerend kommt hinzu, dass Unternehmen im Rahmen der EU-DSGVO geeignete Maßnahmen zur Datensicherung und Datenwiederherstellung ergreifen müssen. Vor diesem Hintergrund sollten Unternehmen eine leistungsfähige Backup- und Disaster-Recovery-Strategie implementieren, die neben einer effizienten und regelmäßigen Datensicherung auch Notfallpläne für eine minutenschnelle und zuverlässige Datenwiederherstellung beinhaltet – auch für Daten aus Cloud-Diensten und Software as-a-Service-Angeboten (SaaS).

IT-Ausfälle und Datenverluste kommen schneller als man vermutet. Sie können aus den vielfältigsten Gründen verursacht werden. Das reicht von Hardware- oder Softwarefehlern, über zielgerichtete Hackerangriffe und Ransomware bis hin zu menschlichem Versagen und Havarien.

Wenngleich sich die überwiegende Zahl der Betriebe inzwischen über die Gefahren bewusst sind, werden an vielen Orten nur unzureichende Vorkehrungen zur Datensicherung und Datenwiederherstellung für den Katastrophenfall ergriffen – insbesondere bei der Verwendung von Cloud-Diensten und Software-as-a-Service Lösungen.

Erst kürzlich führte ein Großbrand im Rechenzentrum der OVHcloud schmerzlich vor Augen, wie relevant ein leistungsfähiges Cloud-Backup und Disaster-Recovery-Konzept ist.

Denn der Brand hat nicht nur mehrere tausend Server komplett zerstört, außerdem auch alle möglichen Daten zahlreicher Unternehmen und Organisationen, unwiederbringlich vernichtet – gerade derer, die aus Kostengründen und dem Glauben an die Sicherheit der Cloud überhaupt keine Backup und Disaster-Recovery-Vorkehrungen ergriffen haben.

Die goldene 3-2-1-Regel für Backups

Eine wirksame und kontinuierliche Datensicherung ist unerlässlich, wenn es um die Aufrechterhaltung der Geschäftskontinuität, den Schutz der Daten und die Absicherung vor größeren Bedrohungen und Havarien geht.

In der Regel sollten Betriebe dabei die 3-2-1-Backup-Regel befolgen.

Kurzgefasst definiert die Regel, dass Firmen

• ihre Geschäftsdaten in dreifacher Ausführung,
• auf zwei verschiedenen Speichertechnologien aufbewahren sollen,
• wovon eine Kopie extern aufbewahrt wird.

Das Schöne an der 3-2-1-Backup-Richtlinie ist, dass sie einfach zu verstehen, zu pflegen und auch beim Backup von Cloud-Diensten nutzbar ist.

Allerdings sollten Firmen darauf achten, dass die Originaldaten und Backups nicht beim gleichen Anbieter, in derselben Serverfarm oder auf demselben Server gesichert werden, sondern an mehreren verschiedenen, physikalisch voneinander unabhängigen Rechenzentren.

Durch diese Maßnahme verhindern Unternehmen nicht nur gravierende Datenverluste, wie im Fall OVHcloud, sondern auch eine lange Ausfallzeit im Ernstfall und finanzielle Einbußen. Darüber hinaus erfüllen sie die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO und die Sicherheit der Verarbeitung nach Art. 32 DSGVO.

Minutenschnelle Datenwiederherstellung dank durchdachten Notfallplänen!

Schon geringe IT-Ausfälle können sich zu einer Bedrohung entwickeln.
Nicht erst seit dem Großbrand beim größten Cloudanbieter Europas, OVHcloud in Frankreich, ist verständlich, dass eine möglichst schnelle Data Recovery für die Geschäftskontinuität unverzichtbar ist.

Die Datenrettung sollte prinzipiell auf Grundlage eines definierten und -insbesondere eines dokumentierten Notfallplans erfolgen.

Bei der Erstellung eines Disaster-Recovery-Plans sollten Unternehmen unter anderem folgende Dinge beachten:

1. Untersuchung der Unternehmensprozesse
Im ersten Schritt müssen die Firmen den Geltungsbereich des Notfallmanagements definieren und alle problematischen Geschäftsprozesse identifizieren, die für das Unternehmen von essenzieller Relevanz sind.

2. Risikoanalyse und Kalkulation der finanziellen Effekte
Nachdem alle kritischen Geschäftsprozesse identifiziert wurden, sollten Unternehmen eine Risikoanalyse durchführen und nach Möglichkeit die Kosten beziffern, die exemplarisch Ausfallzeiten nach sich ziehen. Auf dieser Basis kann entschlossen werden, welche Gegenmaßnahmen in welchem Umfang zutreffend sind.

3. Definition von Verantwortlichkeiten und Einbindung der Kollegen
Um eine wirksame Steuerung und Überwachung des Notfallmanagements sicherzustellen, müssen Firmen, Zuständigkeiten und Prozesse definieren, die im Schadensfall erforderliche Schritte zur Wiederherstellung starten können. Das setzt logischerweise voraus, dass die elementaren Kollegen über sämtliche Schritte und Zielsetzungen des Notfallmanagements im Bilde sind.

4. Festsetzung der Variablen Recovery Point Objective und Recovery Time Objective
Um einen geeigneten Notfallwiederherstellungsplan konzipieren zu können, der die Geschäftskontinuität nach einem unerwarteten Vorfall aufrechterhält, müssen Betriebe verschiedene Messgrößen bestimmen. Die Kennziffern der Recovery Time Objective (RTO) und Recovery Point Objective (RPO) sind wesentliche Parameter für eine Notfallplanung.

• Beim RTO handelt es sich um die für die Wiederherstellung der Daten vorgegebene Zeit, das heißt, die Zeit, die vom Eintritt der Beschädigung bis zur gesamten Wiederherstellung des Systems höchstens vergehen darf.
• Beim RPO geht es um die Frage, wie hoch der maximal hinnehmbare Datenverlust im Zweifel sein darf, der zwischen einer Sicherung und der Störung des Systems entsteht.

5. Kontinuierliche Kontrolle und Tests
Um die Nützlichkeit des Notfallmanagements zu prüfen, sollten Betriebe in turnusmäßigen Abständen Übungen und Test vornehmen, die einen IT- oder Server-Ausfall vortäuschen. Abhängig von den Testergebnissen kann an einer fortlaufenden Verbesserung der implementierten Backup- und Disaster-Recovery-Strategie gearbeitet werden.

Ein Backup- und Disaster-Recovery-Konzept ist keine Möglichkeit, sondern Notwendigkeit!

Cloud-Dienstleistungen und Applikationen „as a Service“ sind aus dem Geschäftsalltag nicht mehr wegzudenken. Allerdings führt der Komfort und die Rund-um-die Uhr-Verfügbarkeit der Daten dazu, dass Betriebe vergessen, dass sich hinter der Cloud, letztlich ein physischer Ort verbirgt – und dieser ebenso anfällig für Störungen und Ausfälle ist.

Aufgrund dessen sollten Firmen zwingend ihre bereits existierende Backup und Disaster-Recovery-Strategie reflektieren, bei Bedarf modernisieren- und insbesondere regelmäßig prüfen, um an einer fortlaufenden Verbesserung der implementierten Backup- und Disaster-Recovery-Strategie zu arbeiten.

Denn bekanntlich können Unternehmen nur mit einer effizienten und regelmäßigen Datensicherung sowie einer minutenschnellen und zuverlässigen Datenwiederherstellung, die Ausfallzeit im Ernstfall minimieren und die Geschäftskontinuität sowie die Verfügbarkeit und Integrität der Geschäftsdaten sicherstellen.

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.