canjoena - stock.adobe.com
Disaster-Recovery-Planung: IT und IT-Team berücksichtigen
DR-Pläne müssen sehr detailliert sein, da ein Recovery oft anders als erwartet abläuft. Ein guter Plan berücksichtigt Geschäftsprozesse, Technologien und den Personalaufwand.
Wenn es um Disaster Recovery geht, konzentrieren sich die meisten Pläne auf die zentrale Aufgabe, die Daten zu sichern und wiederherzustellen. Aber ein Recovery läuft nicht immer schnell oder leicht ab, und Probleme, die mit der vorangegangenen Katastrophe zusammenhängen, können es komplizierter als erwartet gestalten. Deshalb müssen DR-Pläne oft hinter die Oberfläche schauen und die Geschäftsprozesse insgesamt sowie ferner die mit ihnen beschäftigten Personen berücksichtigen.
Folgt man Fachleuten und Analysten, verbindet ein guter Plan für Disaster Recovery technische Ziele mit den Vorgaben für Business Continuity und den normalen Erfahrungen, wie man ein Geschäft am Laufen hält oder nach einer Krise neu startet.
Eric Leland, Partner bei der Consulting-Firma FivePaths, ist der Ansicht, dass in einem geschäftsorientierten Disaster-Recovery-Plan erfahrenes Personal eine besondere Rolle spielen muss, weil diese Personen auch die Antworten auf kommende Katastrophen wissen: „Egal, wie beschäftigt ein Unternehmen mit anderen Aufgaben ist, Leute mit DR-Know-how müssen immer zur Verfügung stehen.“ Unternehmen brauchen laut Leland eine gut definierte und erprobte Roadmap für alle kritischen Aufgaben, die während eines Recovery zu erfüllen sind – eine Roadmap, bei der auch nicht-technisches Personal einspringen kann.
Wenn Reisen erforderlich sind, weiß man nie, welche Team-Mitglieder in der Lage sind, den Desaster-Ort zu erreichen. Wenn Mitarbeiter ohne technisches Wissen als erste ankommen können, sollte ein Plan vorhanden sein, wie sie die Prozesse für Business Continuity und Disaster Recovery (BC/DR) starten können.
Es reicht nicht aus, sich nur Gedanken über das Recovery zu machen, wenn eine Katastrophe ausbricht. Für viele Firmen ist es lebenswichtig, einen Fortgang der Prozesse und normaler Operationen während einer Krise zu garantieren. „Ein Plan für Disaster Recovery sollte besonders jene Systeme im Auge haben, die einen Fortgang der Geschäfte erlauben“, bemerkt Leland.
Geschäftsprozesse berücksichtigen
Wie der Gartner-Analyst Mark Jaggers erläutert, ist es für manche Unternehmen nicht länger entscheidend, über eine physische Ersatzseite für erste Notmaßnahmen zu verfügen, wenn es die Möglichkeit eines entfernten Zugriffs gibt. Doch können andere Probleme dann ein Recovery erschweren.
Zum Beispiel vernachlässigen DR-Planungen oft Überlegungen zur Netzwerkbandbreite, zu den Latenzen, Security-Einstellungen sowie zu den User- und Verwaltungsberechtigungen, was dann zu DR-Fehlern oder sonstigen Ausfällen führen kann. „Hier handelt es sich um Dinge, die oft nur auf Annahmen beruhen – und wenn man sie nicht regelmäßig testet, wird es zu Überraschungen führen“, sagt Jaggers. „Es gibt zum Beispiel sehr oft die Annahme, dass Mitarbeiter in einer DR-Situation über die wichtigen Informationen wie die richtigen Passwörter Bescheid wissen – aber das Gegenteil kann der Fall sein.“
Deshalb muss ein DR-Plan mit einer Aufzählung der Geschäftsprozesse und der mit ihnen verbundenen Applikationen beginnen, argumentiert Jaggers. Und er fügt hinzu, dass diese Aufzählung auf einem Business-Continuity-Plan und einer sorgfältigen Business Impact Analysis begründet sein sollte.
Laut Leland ist es hilfreich, die Fortsetzung des Geschäfts zu planen, so dass man dann nachvollziehen kann, an welchen Stellen DR in diesen Plan passt und welche Aspekte von DR besonders relevant für das Geschäft insgesamt sind. Jedoch ist Leland der Ansicht, dass dies nicht bedeutet, Business Continuity sei notwendigerweise wichtiger als Disaster Recovery. Er fügt hinzu: „Es bedeutet, dass Business Continuity den Rahmen dafür angeben sollte, auf was sich Disaster Recovery zu konzentrieren hat.“
Langfristige Ausfallsicherheit
Leland geht davon aus, dass BC/DR besonders erfolgreich ist, wenn die normalen Arbeiten erledigt sind, um den Plan in Gang zu setzen und bei allen Beteiligten im Bewusstsein zu verankern. „Dies ist eine überschaubare und zu handhabende Investition in Zeit, um das Risiko einer teuren Konfusion in einer Notfallsituation zu vermeiden“, führt er aus. Ein Unternehmen muss kontinuierlich seinen Plan für ein Business Disaster Recovery neu gestalten, um ihn sicher und zugänglich zu machen. Andernfalls hätte das IT-Team womöglich mit fehlenden oder nicht korrekten Informationen zu kämpfen, wenn es ein schnelles und komplettes Recovery umsetzen möchte. Leland empfiehlt, den DR-Plan auf folgende Punkte hin zu überprüfen:
- Sind die Notfall-Kontakte auf dem neuesten Stand?
- Funktionieren die Backups wirklich, nachdem sie durchgeführt wurden?
- Spiegeln gespiegelte Systeme wirklich die Daten?
- Besitzt man die richtigen Kontaktinformationen von Hersteller und Versicherung?
- Ausdrucke des DR-Plans sind jedes Mal angefertigt und ordentlich abgelegt worden, wenn ein Update des Plans erstellt wurde?
Jenseits der Technologie, gibt Greg Schulz, Senior Advisory Analyst bei StorageIO, zu bedenken, sollten Geschäft und IT die Sicherheit der Mitarbeiter während eines potentiellen Ausfalls garantieren: „Sind sie geschützt, und weiß das Unternehmen, wo sie sich gerade aufhalten?“
Weil unerwartete Ereignisse die besten Planungen undurchführbar machen können, setzt sich Schulz auch für von ihm so genannte „Virtual Recovery Kits“ oder „Jumpstart Tool Boxes“ ein. Damit sind verschiedene Recovery Tools und Anweisungen wie zum Beispiel sichere File-Sharing Sites gemeint, die an einem sicheren Ort aufbewahrt werden. Diese Tool-Boxen können auch an mehreren Orten abgelegt sein, so dass einzelne Personen auf dieser Basis einen Recovery-Start versuchen können, einschließlich der Öffnung von Systemen und Daten und der Wiederaufnahme der gewohnten Geschäftsoperationen.
Laut Schulz sollte sich ein Plan für Business Disaster Recovery auch um die Bedürfnisse der Angestellten jenseits der IT kümmern: „Man verfügt eventuell über die Daten, die Schlüsselwörter und Einstellungen. Aber wie bekommen die Mitarbeiter den Zugang zu ihnen, wie schaffen sie das Log-in und wo werden sie arbeiten?“
Da nur sehr wenige Katastrophen wirklich so ablaufen, wie man sich das vorher vorgestellt hatte, wird es immer unerwartete Herausforderungen geben, die man dann bewältigen muss, meint Jaggers. Auch deshalb ist es wichtig, den Plan vorab praktisch anzuwenden und auszuüben: „So wird Vertrauen in die Fähigkeiten des Unternehmens erzeugt, sich vorzubereiten, und es wird zugleich der praktische Umgang mit den verschiedenen Notfallaktivitäten verstärkt.“.