Nutzen Sie diesen Disaster-Recovery-Plan für Ihr KMU

Warum sollte ein DR-Plan speziell für kleine Unternehmen erstellt werden?

Unabhängig von der Art und Größe des Unternehmens bietet ein Notfallplan einen strukturierten Ansatz für die Reaktion auf ungeplante Zwischenfälle, die eine IT-Infrastruktur bedrohen. Dazu können Bedrohungen für Software, Netzwerke, Prozesse und Mitarbeiter gehören.

Die wichtigsten Gründe für die Implementierung eines IT-Notfallplans sind der Schutz der Investitionen einer Organisation in ihre technologische Infrastruktur und ihre Fähigkeit, Geschäfte zu tätigen. In Anbetracht der Tatsache, dass Unternehmen jeder Größe von Technologie abhängig sind, sollten Disaster-Recovery-Pläne auf der Prioritätenliste eines jeden CIOs stehen. Die Unterstützung durch die Geschäftsleitung ist der wichtigste Ausgangspunkt für einen DR-Plan für kleine Unternehmen, insbesondere im Hinblick auf die Finanzierung und das Projektbudget. 

Um einen Disaster-Recovery-Plan anzulegen,
können Sie hier mit einem Klick
eine Vorlage eines DRP herunterladen,
anpassen und nutzen.

Ausgangspunkt: Zielsetzung und Analysen

Sobald die Geschäftsleitung der Entwicklung eines Notfallplans zugestimmt hat, sollten IT- und DR-Teams zunächst eine Risikobewertung durchführen, um potenzielle Bedrohungen für die IT-Infrastruktur zu ermitteln. Eine Risikobewertungkann auch dazu dienen, potenzielle Schwachstellen und einzelne Fehlerquellen zu ermitteln, die eine Störung oder einen Ausfall verursachen könnten.

Ziel einer Risikobewertung ist es, festzustellen, welche Infrastrukturelemente das größte Risiko für die Geschäftstätigkeit des Unternehmens darstellen. Für ein kleines Unternehmen mit weniger als 100 Mitarbeitern könnte dies jede Hardware im Rechenzentrum, die wichtigsten Anwendungen des Unternehmens und die Netzwerkressourcen sein. Wenn das Unternehmen externe Cloud-Ressourcen nutzt, sollten bei der Bewertung die Risiken berücksichtigt werden, die die Fähigkeit zur Wiederherstellung nach einem Vorfall beeinträchtigen könnten.

Wenn sich ein interner oder externer Vorfall negativ auf die IT-Infrastruktur auswirkt, kann das Unternehmen gefährdet sein, was zu Geschäftseinbußen und Rufschädigung führen kann. Die Identifizierung von Risiken und Bedrohungen für die Infrastruktur ist eine der wichtigsten Aufgaben. Für kleinere Organisationen mit weniger Ressourcen ist die Aufmerksamkeit für Details entscheidend.

Es kann ratsam sein, eine Business Impact Analysis (BIA) durchzuführen, bei der die wichtigsten Aktivitäten der Organisation ermittelt werden. In der BIA werden auch die Schlüsselfunktionen mit den zu ihrer Unterstützung erforderlichen Technologien in Beziehung gesetzt. Zusammen mit den Daten aus der Risikobewertung führen diese Informationen zu einem DR-Plan, der sich auf den Schutz der wichtigsten Systeme und Funktionen konzentriert.

Was brauchen Sie für einen Disaster-Recovery-Plan?

Es ist wichtig, dass die richtigen Akteure am Planungsprozess beteiligt sind und ein Team bereit ist, auf Systemunterbrechungen zu reagieren. Die Koordinierung mit den Leitern der Geschäftsbereiche, insbesondere mit denjenigen, die für die geschäftskritischen Funktionen verantwortlich sind, hilft dabei, die technologischen Anforderungen festzulegen, die zur Aufrechterhaltung der Geschäftsabläufe erforderlich sind. Leitende Angestellte legen die Ziele für die Wiederherstellungszeit (Recovery Time Objectives, RTO) und die Prioritäten für die Wiederherstellungfest.

Der DR-Planungsprozess identifiziert kritische IT-Systeme und Netzwerke, verknüpft sie mit geschäftskritischen Funktionen, legt Prioritäten für die Wiederherstellungszeiten fest und beschreibt die Schritte, die für den Neustart, die Neukonfiguration und die Wiederherstellung des Betriebs erforderlich sind.

Ein umfassender IT-Notfallplan enthält auch relevante Lieferantenkontakte und Quellen von Fachwissen für die Wiederherstellung von gestörten Systemen.

In der heutigen Geschäftswelt nutzen sowohl große als auch kleine Unternehmen Cloud-basierte Dienste, um bestehende IT-Ressourcen zu ergänzen. Die Datenspeicherung ist eine der wichtigsten Anwendungen für Cloud-Dienste, und viele Cloud-Anbieter offerieren eigene DR-Dienste. Die Flexibilität und die relativ geringen Kosten der Cloud-DR machen sie zu einer guten Option für kleine Unternehmen.

Neben dem sicheren Schutz von Daten, Datenbanken und Anwendungen müssen auch die Hardwaregeräte in einem DR-Plan geschützt werden. Die Bereitstellung von ein oder zwei Ersatzservern für den Fall, dass ein vorhandener Serverausfällt, ist eine Möglichkeit, die Folgen eines Geräteausfalls zu minimieren. Eine Notstromversorgung, zum Beispiel durch unterbrechungsfreie Stromversorgungssysteme (USV), ist ebenfalls unerlässlich.

Wenn man bedenkt, wie viel Technologie für kleine Unternehmen heute aus gehosteten Quellen bereitgestellt werden kann, könnte man das Argument anführen, dass eine interne DR für KMUs unnötig ist. Eine solche Entscheidung sollte sorgfältig und in Absprache mit Drittanbietern getroffen werden, um sicherzustellen, dass diese die technologischen Anforderungen eines Unternehmens unterstützen können.

Einschränkungen und Vorteile eines DR-Plans 

Zu den weniger greifbaren Vorteilen eines DR-Plans gehört die Sicherheit. Abgesehen davon ist es gut zu wissen, wie man mit Unterbrechungen von IT-Systemen umgeht und sie wieder in den Normalzustand versetzt. In Situationen, in denen sich die Technologie vor Ort befindet, ist ein Notfallplan – selbst wenn er nur aus ein paar Seiten besteht, auf denen steht, wer anzurufen ist und welche Systeme zuerst zu reparieren sind – weitaus besser als gar kein Plan.

Im Gegensatz dazu müssen kleine und mittlere Unternehmen, die für den Großteil ihrer Infrastruktur gehostete Systeme verwenden, wissen, wen sie anrufen, was sie sagen und wie sie übergangsweise arbeiten können, während der Drittanbieter den Schaden behebt.

Eine der wichtigsten Aktivitäten, die im Rahmen eines DR-Plans durchgeführt werden müssen, ist ein regelmäßiger Test. Dadurch wird festgestellt, ob die richtigen Systeme angesprochen werden und die Wiederherstellungsschritte validiert wurden. Regelmäßige Tests stellen sicher, dass die Sicherungssysteme und -daten zugänglich sind und dass das Unternehmen über Kontaktinformationen für alle notwendigen Parteien innerhalb und außerhalb des Unternehmens verfügt.

Bedauerlicherweise ist das Testen vielleicht die Aktivität, die die meisten KMUs nicht durchführen, was das Risiko von Schäden durch ein Störungsereignis erhöht.

Eine weitere Herausforderung bei DR-Plänen besteht darin, sie auf dem neuesten Stand zu halten. Änderungen in der Technologie, die Installation neuer Patches, Änderungen an Speichergeräten, Aktualisierungen wichtiger Anwendungen und andere Updates sollten in DR-Pläne aufgenommen werden und bedürfen besonderer Berücksichtigung.

Zusätzliche Ressourcen für die Entwicklung eines IT-DR-Plans 

Neben der Planvorlage in diesem Artikel ist die Sonderveröffentlichung 800-34 des National Institute for Standards and Technology, Contingency Planning for Information Technology Systems, eine hilfreiche Ressource für die Erstellung eines DR-Plans.

Dieser Standard deckt mehrere Bereiche der Notfallplanung ab, die Unternehmen in einen Plan aufnehmen können. Zu den hilfreichen Ergänzungen aus diesem Standard könnten folgende gehören:

• Fügen Sie der Risikobewertung eine Komponente zur Schwachstellenbewertung hinzu, um mögliche Schwachstellen zu identifizieren und zu beseitigen.
• Identifizierung präventiver Kontrollen, die die Auswirkungen von Systemunterbrechungen reduzieren, die Systemverfügbarkeit erhöhen und die Lebenszykluskosten senken können.
• Durchführung von Tests, Schulungen und Übungen, um die Wirksamkeit des Plans und die allgemeine Bereitschaft des Unternehmens zu verbessern.
• Betrachten Sie den Plan als ein lebendiges Dokument, das regelmäßig überprüft und aktualisiert werden muss, um mit Systemänderungen und Geschäftsanforderungen Schritt zu halten.

Erwägungen für kleine und mittlere Unternehmen (KMU) 

Dieser Artikel befasst sich mit Disaster Recovery aus einer allgemeinen Perspektive, doch die KMU-Vorlage ist so konzipiert, dass sie flexibel und dennoch umfassend genug ist, um die wichtigsten geschäftlichen und technologischen Probleme zu behandeln, mit denen ein Unternehmen im Katastrophenfall konfrontiert werden könnte. Ein KMU könnte entscheiden, dass der Schwerpunkt auf der Wiederherstellung kritischer System- und Netzwerkressourcen liegt. In diesem Fall können andere Abschnitte der Vorlage weggelassen werden.

Die Personalgröße kann in einem KMU eine Herausforderung darstellen. In manchen Unternehmen gibt es vielleicht nur einen oder zwei Mitarbeiter, die die Wiederherstellungsmaßnahmen leiten können. Unternehmen mit einer ein- oder zweiköpfigen IT-Abteilung sind möglicherweise überfordert, auf einen Vorfall zu reagieren.

Es könnte notwendig sein, die Daten und Verfahren des Disaster-Recovery-Plans in einem ein- oder zweiseitigen Dokument zusammenzufassen. Solange die Notfallkontakte für die Krisenkommunikation auf dem neuesten Stand, die Verfahren aktuell und Backup-Ressourcen vorhanden sind, können kleine und mittlere Unternehmen wahrscheinlich alle Störfälle überstehen. Größere Katastrophenszenarien sind eventuell nicht dadurch abgedeckt und sollten gesondert einer Prüfung unterzogen werden, um dann einen separaten Plan anzufertigen.

Verwendung der Vorlage 

Die oben verlinkte Vorlage ist so konzipiert, dass sie für die meisten KMU flexibel ist, und die Benutzer können Abschnitte löschen, die nicht auf ihr Unternehmen zutreffen. Zu den wichtigsten Abschnitten, die überprüft werden sollten, gehören Notfallkontakte, Wiederherstellungs- und Erneuerungsverfahren sowie alle anderen Aktivitäten, die erforderlich sind, um die IT-Infrastruktur wieder in den Normalzustand zu versetzen.

Im Folgenden finden Sie eine Zusammenfassung der Planvorlage und ihrer Abschnitte:

1. Absichtserklärung zur Informationstechnologie. Hier werden die Rahmenbedingungen und die Richtung des Plans festgelegt.
2. Grundsatzerklärung. Es ist wichtig, eine genehmigte Erklärung über die Richtlinien der Organisation bezüglich der Bereitstellung von Notfallwiederherstellungsdiensten aufzunehmen.
3. Zielsetzungen. Diese beschreiben die Hauptziele des Plans.
4. Kontaktinformationen der wichtigsten Mitarbeiter. Die Daten der wichtigsten Kontaktpersonen sollten zu einem frühen Zeitpunkt in den Plan aufgenommen werden. Es handelt sich dabei um die Informationen, die am ehesten sofort benötigt werden und leicht auffindbar sein müssen.
5. Planübersicht. Hier werden die grundlegenden Aspekte des Plans beschrieben.
6. Notfallmaßnahmen. Hier wird beschrieben, was unmittelbar nach dem Eintreten eines Ereignisses zu tun ist.
7. Disaster-Recovery-Team. Hier werden die Mitglieder und Kontaktinformationen des Notfallteams aufgeführt.
8. Notfallalarm, Eskalation und Aktivierung des Notfallplans. Hier werden die Schritte aufgeführt, die in der frühen Phase des Vorfalls bis zur Aktivierung des DR-Plans zu unternehmen sind.
9. Medien. Hier finden Sie Tipps für den Umgang mit den Medien während und nach einer Krise.
10. Versicherung. Hier werden der Versicherungsschutz für die IT-Umgebung und andere relevante Policen zusammengefasst.
11. Finanzielle und rechtliche Fragen. Hier werden Maßnahmen für den Umgang mit finanziellen und rechtlichen Fragen aufgeführt.
12. DR-Plan-Übung. Dies unterstreicht die Bedeutung von DR-Planübungen.
13. Anhang A - Vorlagen für technologische Disaster-Recovery-Pläne. Dieser Abschnitt enthält Mustervorlagen für eine Vielzahl von technologischen Wiederherstellungsmaßnahmen. Für einige Organisationen können diese Vorlagen bereits als DR-Plan ausreichen.
14. Anhang B - Vorgeschlagene Formulare. Dies sind gebrauchsfertige Formulare, die das Ausfüllen des Plans erleichtern.