Guido Vrola - Fotolia
Darum sind Disaster-Recovery-Implementierungen essentiell
Die Auswirkungen des Klimawandels und Cyberangriffe zwingen heute auch RZ-Betreiber an bisher als sicher erachteten Standorten dazu, das Thema Disaster Recovery zu adressieren.
Immer mehr potentielle Risiken, beispielsweise Ransomware oder Naturkatastrophen, bedrohen die IT. Daher implementieren in den vergangenen Jahren auch mehr Anwender Disaster Recovery (DR).
Eine wichtige Rolle spielt dabei auch der Einfluss der Cloud: Cloud Services und -Anbieter eröffnen nach Auffassung vieler IT-Spezialisten den Unternehmen neue, kostengünstigere Wege, Disaster-Recovery-Pläne umzusetzen.
„Disaster Recovery ist jetzt umsetzbar“, sagt etwa George Crump, Chief Steward bei Storage Switzerland. „Vor zehn Jahren war Replikation eine nahezu mystische Kunst, heute dagegen hat jeder ein Replikations-Tool. Zudem werden diese Tools billiger und leisten immer mehr.“
Laut Crump können Unternehmen heute die Public Cloud als DR-Lokation verwenden. Außerdem bieten immer mehr Firmen DRaaS (Disaster Recovery as a Service) an. Solche Services senken den Aufwand und damit die Schwelle für den Einstieg in DR. Früher habe DR immer ein zweites Rechenzentrum erfordert, sagt Crump. Die einzige sinnvolle Vorgehensweise nach einem katastrophalen Zwischenfall habe ganz einfach darin bestanden, alle Daten so schnell wie möglich aus Sicherungskopien wiederherzustellen. Bei einigen Unternehmen werden diese Kopien noch auf Magnetbändern gehalten. Mit dem Aufkommen der Cloud ist es nicht mehr nötig, Daten auf physischen Medien zu halten. Gleichzeitig können Daten mit Hilfe von Cloud-DR schneller wieder hergestellt werden.
Mit sinkendem DR-Aufwand steigen die potentiellen Kosten eines Verzichts auf DR. Auch das führt zu verstärktem DR-Einsatz. Immer häufigere, raffiniertere Cyberangriffe und schwere Naturkatastrophen haben bewirkt, dass Organisationen DR inzwischen ernster nehmen.
„Die Nachrichten über neue Risiken helfen uns“, sagt Crump „Das entstehende öffentliche Bewusstsein über neue Risiken bewirkt, dass die Leute ernsthafter über DR nachdenken.“
An Kunden in Regionen, die ein geringes Risiko für Naturkatastrophen besitzen, ließ sich laut Crump DR bislang nur schwer verkaufen, da sich Anwender dort sicher fühlten. Aber mit professionellen Ransomware-Angriffen in den Schlagzeilen sehen solche Anwender nun, dass Cyberangriffe ihr Rechenzentrum genauso außer Gefecht setzen können wie Überflutungen oder Brände, so dass kein Ort mehr sicher ist.
Wenn Marc Staimer, Präsident und Gründer von Dragon Slayer Consulting in Beaverton, Oregon, Kunden auf DR anspricht, denken sie inzwischen normalerweise eher an Cyberangriffe als an Naturkatastrophen.
„Im Moment ist Ransomware das wichtigste Thema, sagen die Zahlen“, erklärt Staimer. „Wo immer ich das Thema Datenschutz anschneide, kommt das Gespräch auf Ransomware. Nicht auf Naturkatastrophen.“
Hierzulande sorgen auch gesetzliche Regeln für einen DR-Aufschwung: Das IT-Sicherheitsgesetz schreibt vor, dass Unternehmen, die wichtige Funktionen für lebenswichtige Infrastrukturen Deutschlands wahrnehmen, etwa Versorger, Nahrungsmittelerzeuger oder Ähnliches, über eine besonders sichere Infrastruktur verfügen müssen. Dazu gehört gegebenenfalls auch Disaster Recovery – in einem Rechenzentrum, das nach aktuellen Definitionen mindestens 200 Kilometer vom Primär-RZ entfernt sein muss. In vielen Fällen lässt sich das am einfachsten über Ressourcen bei einem entsprechend weit entfernten und als hochsicher zertifizierten Cloud-Provider garantieren – erst recht, wenn sich kleinere, aber nichtsdestotrotz infrastrukturwichtige Unternehmen absichern müssen.
Kleinere Unternehmen investieren seltener in DR
Tatsächlich nutzen laut Staimer zumindest in den USA mehr kleinere Unternehmen DR, weil as-a-Service-Angebote sie davon befreien, sich um viele aufwändige Themen im Zusammenhang mit selbst realisierten DR-Standorten zu kümmern: den Flächen- und Strombedarf, die Dimensionierung von Hardware, ihr Erwerb und ihre Verwaltung an entfernten Orten, an denen womöglich anderweitige IT-Ressourcen fehlen.
Allerdings trifft Stamer immer wieder auf kleine Firmen, die überhaupt keinen DR-Plan haben, ganz einfach, weil DR aus Geschäftsperspektive lediglich als Kostenfaktor wahrgenommen wird. Das Geld, das man in DR steckt, erhöht nicht den Gewinn des Unternehmens.
„Raten Sie mal, was passiert, wenn in einer solchen Firma ein Desaster zuschlägt! Dann wird investiert“, sagt Staimer.
Tatsächlich sei in mittleren und kleinen Unternehmen die Wahrscheinlichkeit, unvorbereitet von einem Desaster getroffen zu werden, am höchsten, betont Greg Arnette, Technologie-Promotor bei Barrracuda, einem Anbieter von Datenschutz- und Sicherheitslösungen aus Campbell, Kalifornien. Weil ihnen die Ressourcen großer Unternehmen fehlten, verzichteten derartige KMUs eher auf DR.
Bisher betrachteten solche Unternehmen das vorhandene traditionelle Backup ganz schlicht als ausreichend, wenn Business-Continuity- und DR-Pläne zu teuer für sie waren.
Inzwischen haben laut Arnette Managed Service Provider (MSPs) diesen Markt erkannt und bereichern ihre Portfolios um Business Continuity- und DR-Services.
„Die Verfügbarkeit von BC und DR in Form eines günstigen, Pay-as-you-go und Cloud-fähigen Services ist für KMUs besser geeignet, besonders wenn sie ihren IT-Bedarf ohnehin weitgehend mit Hilfe von MSPs decken“, sagt Arnette.
Zwar seien die Risiken durch die allgegenwärtige Bedrohung durch Cyberangriffe nicht zu unterschätzen. Doch der Klimawandel und sein Einfluss auf Gebiete, die bisher als sicher oder risikoarm galten, sei laut Arnette eine ganz reale Bedrohung. Unternehmen in diesen Regionen sähen sich gezwungen, eine DR-Strategie zu implementieren, obwohl sie darüber bislang niemals nachgedacht hätten.
„Stürme und Ereignisse, die IT-Systeme stören, nehmen zahlenmäßig und hinsichtlich ihrer Schwere zu“, sagt er. „Organisationen, die sich bisher nicht um das Thema gekümmert haben, müssen sich jetzt damit befassen, denn das sich ändernde Klima führt zu mehr potentiell beeinträchtigenden Wetterereignissen.“
Auch die neue deutsche Regel, dass bei höchstverfügbaren Rechenzentren die DR-Lokation mindestens 200 Kilometer entfernt sein muss, ist möglicherweise darauf zurückzuführen. Denn während ein Sturm fünf Kilometer weiter sehr wahrscheinlich genauso wüst wütet, ist das 200 Kilometer weit weg weniger wahrscheinlich.
Laut Arnette bleiben die goldenen DR-Regeln und praxisbewährte Vorgehensweisen auch bei diesen Szenarien aber dieselben. Dazu gehören Tipps wie sicherzustellen, dass der DR-Standort nicht am selben Stromnetz hängt oder von derselben Internetverbindung versorgt wird. Nun gehe es, so Arnette, darum, dass die Verantwortlichen für den Schutz der IT-Ressourcen sie endlich verinnerlichen und anwenden.