Disaster Recovery und Backup in einem Plan zusammenbringen
Unternehmen sollten Backup und Disaster Recovery in einem gemeinsamen Wiederherstellungsplan von Daten einsetzen, auch wenn es manchmal zu Redundanzen kommen kann.
Disaster Recovery (DR) und Backup dienen ähnlichen – aber unterschiedlichen – Aufgaben beim Schutz der Daten. Aber es scheinen noch immer einige Zweifel darüber zu bestehen, dass beide Ansätze in einen Plan für Data Protection aufgenommen werden sollten, was Unternehmen zu einigen gefährlichen Entscheidungen veranlassen könnte.
In der Untersuchung The State of IT Resilience Report: 2019 von IDC geben 94 Prozent der Unternehmen an, getrennte Prozesse für Disaster Recovery und Backup wären redundant. Während der Bericht womöglich bestehende Einstellungen der Anwender widerspiegelt, sprechen sich dagegen einige Analysten deutlich für die Notwendigkeit klarer und vielfältiger Ansätze von Data Protection aus, die sowohl Backup und DR umfassen.
Im Folgenden befassen sich drei Analysten kritisch mit dem Gedanken der Redundanz von Backup- und DR-Tools und wie die Entwicklung von Business Continuity und Disaster Recovery (BC/DR) diese Sichtweise beeinflusst.
BC/DR versus Backup?
„Alles, was wir vor 15 Jahren hatten, war Backup. Jeder machte seine Backups, und wenn etwas schief ging, hoffte man“, sagt Steven Hill, Senior Analyst für Applied Infrastructure und Storage Technologies bei 451 Research, das zu S&P Global Market Intelligence gehört. Dieser Ansatz hat sich dramatisch mit dem Aufkommen von BC/DR geändert.
Backup bestehe aus einer Handlung, sagt Hill, „während BC/DR mehr eine Formel ist, die sich aus einander folgenden Aktionen zusammensetzt, die den Schutz aller oder von Teilen der IT-Umgebungen eines Unternehmens zum Ziel haben.“ Backup ist das Fundament davon, führt er aus, denn es drehe sich dabei alles um die Daten, die man verlieren könne: „Ohne Daten besitzt man heute nichts mehr.“
Aber es reicht nicht mehr für ein Unternehmen, nur ein Backup und dann ein Restore zu machen. „Das kann einigermaßen für eine bestimmte Anwendung und ihre Daten funktionieren, aber in einer zunehmend komplexen Geschäftsumgebung sind die verschiedenen Systeme oft wechselseitig voneinander abhängig“, fügt Hill hinzu.
Das hängt damit zusammen, dass sich ein Backup nicht um alles kümmert, sagt Hill: „Man braucht einen Plan für alle Aspekte, einschließlich aller Verbindungen und physischer sowie logischer Herausforderungen“, ergänzt er – sowie auch anderer Faktoren, die für den Fortgang der Arbeiten gebraucht werden, wenn etwas schief geht.
Ein Backup kümmert sich um die grundlegenden Prozesse, so dass man keine Daten verliert. Aber wenn man geschützt sein will, muss man grundsätzlicher an die Sache herangehen. Hill erläutert: „Ich habe mit einer Menge von Unternehmen gesprochen, die einem voller Stolz ihre Speichersysteme für Backup gleich neben ihren hauptsächlichen, produktiven IT-Anlagen zeigen.“
Aber was passiert, wenn es zu einem größeren Sturm oder zu einem elektrischen Problem kommt? Was wird das für das benachbarte Backup-System bedeuten? Mit anderen Worten – so Hill – bedeutet das, dass Backup und Recovery jeweils nur die Hälfte einer Gleichung ausmachen und dass der gesamte Prozess gründlich durchdacht sein muss.
Backup steht für den Aspekt von Datenschutz bei BC/DR, fügt Hill hinzu, aber in der Praxis gelte noch immer die traditionelle 3-2-1-Regel: „Und dies bedeutet drei Kopien der Daten: zwei lokale Systeme und eine Kopie an einem anderen Ort.“
Geschäftsanforderungen bewerten
Für Nik Simpson, Research Vice President bei Gartner, hängt es von den Geschäftsanforderungen ab, wie genau das Gleichgewicht zwischen Disaster Recovery und Backup ausfällt. Für kleine und mittlere Unternehmen (KMUs) bestand der DR-Plan traditionell darin, „Restores von unseren Tapes aus auszuführen“ – „und das kann nun einmal sehr lange dauern und umständlich sein“, ergänzt Simpson. Auf der anderen Seite reicht das traditionelle Backup nicht aus, wenn die RTO-Anforderungen (Recovery Time Objective) in Minuten oder Sekunden gemessen werden.
Zum Glück, sagt Simpson, habe heute jedes Unternehmen mehr Optionen als in der Vergangenheit, besonders wenn man die Public Cloud nutzt: „Um Disaster Recovery durchzuführen, benötigt man nicht länger ein zweites Rechenzentrum mit IT-Ausrüstung, die fast die ganze Zeit nicht gebraucht wird.“ Für KMUs rechtfertige das keine größeren Investitionen in einen eigenen DR-Plan, da es nun flexible und kostengünstige Alternativen gebe.
Außerdem gibt es laut Simpson wegen der Virtualisierung mehr Überschneidungen zwischen Business Continuity und DR. In der Vergangenheit – führt er aus – konnte man ein Backup nur auf einem Server durchführen. Durch Virtualisierung ist es wesentlich leichter geworden, Image Recoverys auszuführen, indem Maschinen lauffähig gemacht werden. Und das hat die Türen für ehrgeizigere Ziele bei Recovery Point Objective (RPO) und RTO geöffnet, was in der Vergangenheit schwierig oder unmöglich gewesen wäre.
Simpson ergänzt, dass einige Backup-Plattformen bereits für Continuous Data Backup geeignet sind: „Damit kann man einen Recovery Point innerhalb von Minuten erreichen. Sie stellen ein wesentlich flexibleres Tool als in der Vergangenheit dar.“
Kleine Unternehmen stehen vor Budgetproblemen
Christophe Bertrand, Senior Analyst bei der Enterprise Strategy Group, berichtet, dass es viele Unternehmen – besonders die kleineren – trotz der Gespräche über BCDR vernachlässigen, robuste Kapazitäten gegen Cyberattacken und besonders gegen Ransomware-Angriffe aufzubauen. Bertrand erläutert: „Dies entspricht einer Katastrophe wie bei einer beschädigten Datenbank, obwohl natürlich die Ursache eine andere ist.“
Wenn man die Beschädigung der Datenbank aufgehalten hat, muss man durch einen Backup- und Recovery-Prozess hindurchgehen, sagt Bertrand. Ein zusätzliches kulturelles Problem kann einige kleinere Unternehmen daran hindern, in BC/DR zu investieren: „Jüngere Mitarbeiter, selbst solche in der IT, neigen zu dem Glauben, sie könnten alles wiederherstellen, aber so funktioniert es nicht in der realen Welt“, fügt Bertrand hinzu.
Simpson von Gartner ist durchaus der Ansicht, dass viele Unternehmen nun allmählich die Notwendigkeit von sowohl Disaster Recovery als auch von Backup verstehen. Es könne jedoch durchaus sein, dass kleinere Unternehmen noch nicht herausgefunden haben, wie sie DR zu einem vernünftigen Preis umsetzen können.
Eines ist dabei sicher: Mit der Zeit werden sich Unternehmen aggressivere RPO- und RTO-Ziele setzen. Simpson erklärt: „Die Tage sind vorbei, an denen man einfach ein paar Tage nicht vor Ort sein konnte. Heute gibt es Tools, die nicht mehr eine Stange Geld kosten und mit denen man Backup und mehr in einer relativ kurzen Zeitspanne erhält.“