Von: Torben Hundt
Etwa 43 Prozent der Unternehmen, die einen Disaster-Fall erleben, öffnen nie wieder ihre Pforten. Zirka 29 Prozent schließen innerhalb von zwei Jahren. Zu diesen Zahlen kommen Studien des Disaster Recovery Journals aus dem Jahr 2000. Damit es nicht so weit kommt, ist ein ausgefeilter Recovery-Plan nötig. Nur damit ist es möglich, den Betrieb innerhalb einer definierten Zeitspanne wieder aufzunehmen.
Bislang räumen jedoch viele Unternehmen diesem Thema nur einen untergeordneten Stellenwert ein, vergleichbar etwa mit dem Backup in seinen Anfängen. Ein Disaster-Recovery-Plan ist vergleichbar mit einer Haftpflichtversicherung: Obwohl wir hoffen, dass wir sie nicht brauchen, geben wir viel Geld dafür aus. Wenn doch etwas passiert, sind wir froh, dass wir sie haben. Mit einem Disaster-Recovery-Konzept ist für den Ernstfall alles vorausgeplant, getestete Prozeduren ermöglichen eine schnelle Wiederherstellung des Betriebes.
In den USA sind die Unternehmen hierfür stärker sensibilisiert als in Europa. Zudem schreiben gesetzliche Auflagen der US-Regierung Banken und Krankenhäusern vor, dass sie zum Schutz der Kunden Sicherheitsmaßnahmen implementieren müssen. In Europa sieht der Gesetzgeber keine derartigen Verpflichtungen vor, und nur wenige große Unternehmen sahen bisher die Notwendigkeit, sich derart aufwändig zu schützen. Allerdings ist zu beobachten, dass vermehrt Unternehmen von ihren Geschäftspartnern entsprechende Lösungen verlangen, zum Beispiel im Zuge der ISO-9001-Zertifizierung.
Der Schutz von Daten ist mittlerweile überlebenswichtig geworden, denn unsere Gesellschaft und auch die Unternehmen hängen immer mehr von Informationen ab. Sind diese Daten erst einmal verloren und können nicht wieder beschafft werden, so ist zum einen die Geschäftsgrundlage verloren, zum anderen aber auch der Ruf und das Vertrauen der Kunden.
Begriffsklärung
Die Begriffe "Disaster Recovery" und "Business Continuity" werden meist nicht klar getrennt, obwohl es sich um zwei grundsätzlich unterschiedliche Ansätze zur Sicherung des Betriebsflusses handelt.
- Disaster Recovery:
Als Disaster Recovery wird der Prozess bezeichnet, der einen Betriebsablauf oder ein ganzes Unternehmen nach einem Disaster innerhalb einer definierten Zeitspanne wieder verfügbar macht. Diese Zeitspanne ist vom Wert des jeweiligen Prozesses abhängig und wird vom Unternehmen definiert. Da ein Disaster auch den Verlust einer ganzen Niederlassung bedeuten kann, umfassen derartige Lösungen auch Offsite-Strategien. Die maximale Zeitspanne richtet sich nach Parametern wie Ausfallkosten, Einnahmenverlusten, vertraglichen Bedingungen oder auch gesetzlichen Regelungen.
- Business Continuity:
Business Continuity oder Business Continuity Planning bezeichnet einen Prozess, der die Wahrscheinlichkeit reduziert, dass eine Gefahr für das Unternehmen, vorwiegend im Bereich der Datenhaltung, besteht. Zudem hält dieser Prozess die Schäden eines aufgetretenen Ereignisses gering und stellt Recovery-Prozeduren bereit, falls Prozesse und Daten wiederhergestellt werden müssen. Technische Methoden hierfür sind unter anderem Clustering, Raid-Systeme und Remote Copy. Im Allgemeinen handelt es sich um eine redundante Auslegung der Hardware zur Erhöhung der Verfügbarkeit und um die Bereitstellung von Backups zur Wiedereinspielung von Datenbeständen.
- Disaster:
Unter einem Disaster versteht man ein Ereignis, das den Betrieb eines Systems oder eines Unternehmens unterbricht oder gar nicht mehr ermöglicht. Das können menschliches oder technisches Versagen, Sabotage, lokale Ereignisse wie Großbrände oder Überflutungen, Naturkatastrophen oder politische Unruhen sein. Viele Dienstanbieter bezeichnen nur einen Totalausfall eines Unternehmens oder einer Niederlassung als ein Disaster. Letztlich hängt diese Definition vom jeweiligen Unternehmen ab.
Business Continuity ist folglich mehr als nur die Bereitstellung hochverfügbarer Umgebungen. Es soll vielmehr eine umfassende Lösung anbieten, die zum einen die Systeme bezüglich ihrer Ausfallwahrscheinlichkeit und möglicher Folgeschäden verbessert, aber auch Disaster-Recovery-Strategien parat hält, falls Daten und Prozesse wiederhergestellt werden müssen. Die technischen Ansätze für hochverfügbare Systeme sind bekannt und werden vielfach angeboten. Disaster-Recovery-Lösungen sind demgegenüber allerdings komplizierter, da sie für jede Umgebung individuell angepasst werden müssen. Jedes Unternehmen hat eine andere Struktur, andere Prozessflüsse und stellt andere Ansprüche an die Sicherheit der Daten. Das liegt unter anderem daran, dass jeder die Relevanz seiner verwalteten Informationen anders definiert. Demzufolge gibt es keine allgemein gültige Lösung. Auch das Kosten-Nutzen-Verhältnis darf nicht außer Acht gelassen werden. Je verfügbarer eine Umgebung sein soll, desto höher werden die Kosten.
Die Erstellung eines Disaster-Recovery-Plans (DRP) ist ähnlich wie die Planung einer Backup-Lösung nicht trivial. Ein Grund dafür ist, dass DRPs auf Backups aufsetzen. Der gesamte Recovery-Prozess ist allerdings um einiges komplizierter als das reine Restore, zumal er auch größere Katastrophen abdecken muss. Es ist dabei zudem nötig, sämtliche Einflüsse zu betrachten, also sowohl technische als auch menschliche und natürliche. Die Entwicklung einer durchdachten Lösung dauert von der Projektinitiierung bis zur Abnahme je nach Größe von drei Monaten bis zu einem Jahr. Bei komplexen Strukturen kann es auch sinnvoll sein, für verschiedene Bereiche einzelne Lösungen zu implementieren. (cl)
Zur Person
Torben Hundt
ist bei der Onsite Computer GmbH als Trainer und Berater im Bereich Sekundärspeicher und Business Continuity tätig.