Disaster Recovery – Vorbereitung auf den Ernstfall

Erdbeben, Überschwemmungen, Pandemien oder Blitzeinschläge uvm. Events wie diese sind aus Unternehmenssicht ein Desaster, denn sie können den gesamten Betrieb zum Erliegen bringen. In der Disaster Recovery – auf deutsch Katastrophenwiederherstellung – geht es darum, auf diese Art von Vorfällen vorbereitet zu sein und im Ernstfall den Schaden so gering wie möglich zu halten.

  • Disaster Recovery beschreibt den Prozess zur Aufrechterhaltung des Betriebs im Katastrophenfall und folgt dabei immer einem ähnlichen Ablauf.
  • Das Vorgehen im Katastrophenfall ist im Disaster Recovery Plan definiert.
  • Im Rahmen eines Business Impact Assessments definieren Sie zunächst die gravierendsten möglichen Desaster, die Ihr Unternehmen zum Erliegen bringen könnten, und definieren dann das jeweilige Vorgehen, sollten diese eintreten.
  • Auch in der ISO 27001 findet Disaster Recovery Erwähnung und ist somit spätestens vor einer Zertifizierung Pflicht.

Das bedeutet Disaster Recovery

Disaster Recovery beschreibt den gesamten Prozess zur Aufrechterhaltung bzw. dem Wiederaufbau des Betriebs im Katastrophenfall. Darunter fällt oft auch die Wiedergewinnung von verloren gegangenen Daten – bekannt als Data Recovery – doch Disaster Recovery umfasst ein weiteres Feld.

Zum Beispiel war die Coronapandemie eine Katastrophe für viele Unternehmen, auch wenn dabei keine Daten verloren gegangen sind. Vielmehr ging es darum, das Unternehmen auch bei durch Krankmeldungen stark geschrumpfter Belegschaft weiterzuführen. Disaster Recovery beschränkt sich also nicht auf IT-Systeme.

Die Verantwortung für Disaster Recovery liegt beim Disaster Recovery Board, i. d. R. bestehend aus…

Zu den gängigen Methoden der Disaster Recovery gehören:

  • Backups
  • Hot Standby (das redundante Vorhalten von Infrastruktur, die beim Ausfall von Komponenten automatisch umschaltet)
  • Cold Standby (Redundanz, die sich nicht automatisch umschaltet)
  • Vorgehaltenes Personal
  • Der Notfallkoffer
  • Ein Ersatzrechenzentrum (kann per LKW bereitgestellt werden)
  • Notstromaggregate

Die 6 Schritte der Disaster Recovery

Egal, welcher Katastrophenfall eintritt, der Ablauf zur Disaster Recovery folgt immer demselben groben Muster:

Schritt 1: Katastrophenerkennung durch die Verantwortlichen

Ein möglicher Katastrophenfall wird erkannt, an das Disaster Recovery Board herangetragen und von diesem als solcher eingestuft.

Schritt 2: Containment

Containment bedeutet die Eingrenzung der Katastrophe. Bei einem Hackerangriff könnte das Containment beispielsweise darin bestehen, die gesamte IT vom Netz zu nehmen.

Schritt 3: Sofortmaßnahmen

Zu den Sofortmaßnahmen gehört alles, was den Betrieb kurzfristig wiederherstellen kann, zum Beispiel die Datenwiederherstellung durch Backups.

Schritt 4: Langfristige Maßnahmen

Manche Katastrophenfälle wie die Coronapandemie dauern mehrere Monate an. Auch Ransomware-Angriffe können Unternehmen oder Verwaltungen wochenlang außer Gefecht setzen, wie im Fall des Landes Kärnten (Österreich), das über Wochen von Hackern lahmgelegt wurde. Bei den langfristigen Maßnahmen geht es darum, das Geschäft auch bei einer lang andauernden Katastrophenlage aufrechtzuerhalten. Zum Beispiel, indem kurzfristig neue Server hinzugekauft werden.

Schritt 5: Abschluss nach Bewältigung des Desasters

Irgendwann geht jede Katastrophe vorbei und der Normalbetrieb kann wieder aufgenommen werden. Der Abschluss eines Katastrophenfalls gleicht dem Aufräumen nach einer Party: Überblick verschaffen, Aufräumen, Reparieren.

Schritt 6: Lessons learned

In den „Lessons learned“ wird zunächst die Ursache für den Katastrophenfall gefunden. Viele Desaster – wie beispielsweise Naturkatastrophen – werden sich auch mit dem besten Risikomanagement nicht vermeiden lassen. Dann geht es in den Lessons learned darum herauszufinden, wie beim nächsten Mal noch besser reagiert werden könnte. Lässt das Desaster sich allerdings auf eine Lücke im Risikomanagement zurückführen, muss diese gefunden und geschlossen werden.

Aufbau eines Disaster Recovery Prozesses

Wenn Sie in Ihrem Unternehmen erstmalig einen Prozess zur Disaster Recovery aufbauen wollen, empfiehlt sich im Rahmen eines sogenannten Business Impact Assessments der Blick auf fünfzehn bis zwanzig fundamentale Risiken, die Ihr Unternehmen zum Erliegen bringen könnten. Dazu gehören womöglich Naturereignisse wie Erdbeben, Überschwemmungen oder Blitzeinschläge, aber auch IT-Vorfälle wie Ransomware-Attacken. Je nach Standort und Branche können auch politische Ereignisse wie ein Bürgerkrieg in die Liste mit aufgenommen werden.

Für die von Ihnen definierten Ereignisse sollten Sie einen Plan entwickeln, der es Ihnen ermöglicht, bis zur Aufhebung des Katastrophenfalls „durchzuhalten“, also Ihre Betriebsprozesse weiterlaufen zu lassen. Das ist Ihr Disaster Recovery Plan. 

Der Disaster Recovery Plan als Herzstück der Katastrophenvorbereitung

Mit dem Disaster Recovery Plan erstellen Sie das wichtigste Dokument im Umgang mit Katastrophen. Weil unklar ist, ob im Ernstfall eine Internetverbindung besteht, sollte der Disaster Recovery Plan immer sowohl digital als auch in Papierform vorliegen.

Der Disaster Recovery Plan besteht aus…

  • dem oben genannten Business Impact Assessment mit den wichtigsten 15-20 Szenarien, die sich schwerwiegend auf Ihr Unternehmen auswirken können,
  • einer Beschreibung der Infrastruktur und der bereits existierenden Maßnahmen zur Datenrettung (wie ein redundantes Rechenzentrum, eine Firewall, etc.),
  • dem allgemeinen Ablauf im Katastrophenfall,
  • und einer Beschreibung des speziellen Ablaufs für jedes einzelne Szenario, inkl. Ablaufdiagramm.

Außerdem sollten Sie die Kontaktdaten des Senior Managements mit hinzufügen. Der ausgedruckte Disaster Recovery Plan kommt dann in einen Notfallkoffer.

Notfallkoffer sollten physisch an verschiedenen Orten versteckt werden. Neben dem Disaster Recovery Plan gehören ein Telefon, eine Kreditkarte, ein Laptop sowie Notizblock und Kugelschreiber zur Standardausstattung.

Disaster Recovery in der ISO 27001

Die Umsetzung von Disaster Recovery ist für jedes Unternehmen eine gute Idee. Es minimiert die Wahrscheinlichkeit, dass ein Unternehmen durch ein unvorhergesehenes Ereignis handlungsunfähig wird und infolgedessen Insolvenz anmelden muss. Kurz: Disaster Recovery ist die Vorbereitung auf den Worst Case.

Und spätestens dann, wenn Sie Ihr Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 zertifizieren lassen wollen, kommen Sie nicht mehr daran vorbei, Disaster Recovery in Ihrem Unternehmen umzusetzen.

Im Anhang   der ISO 27001 finden sich konkrete Handlungsanweisungen zum Business Continuity Management (BCM), also dem Management der Aufrechterhaltung des Geschäftsbetriebs in – so heißt es im Text – „widrigen Situationen“. (In der neuen ISO 27001:2022 rutschen die Handlungsanweisungen zum BCM in Anhang A.5.30.)

Disaster Recovery Software erleichtert die Vorbereitung auf Katastrophenfälle

Disaster Recovery Software dokumentiert die Abhängigkeiten zwischen Information Assets und zeigt so Schwachstellen auf. Es ist zum Beispiel kritisch, wenn zu viele Mitarbeiter für ihre Arbeit auf denselben Server zugreifen müssen. Fällt dieser aus, liegt der Betrieb unter Umständen lahm.

Außerdem hilft Disaster Recovery Software bei der Fehlersuche nach einem Vorfall. Sie kann feststellen, welche Komponente ausgefallen ist. Solche Produkte sind allerdings recht kostspielig.

Fazit

Planung ist die halbe Miete. Und Disaster Recovery ist nichts anderes als die Planung für den Worst Case. Katastrophen können jedes Unternehmen und jede Organisation ohne Vorwarnung treffen. Um Kurzschlussreaktionen und Panik zu vermeiden, wird im Rahmen der Disaster Recovery schon vorab definiert, welche Schritte im Ernstfall zu durchlaufen sind.

Sie arbeiten gerade daran, Ihre Disaster Recovery aufzubauen und streben eine Zertifizierung nach ISO 27001 oder TISAX an? Dann unterstützen wir Sie gerne.

 

Hier kostenloses Erstgespräch vereinbaren

 

Über den Autor

Lernen Sie DataGuard kennen

Jetzt unverbindlich beraten lassen

Ihre Vorteile auf einen Blick

  • Unterstützung durch Rechtsexperten und umfassende Compliance-Plattform
  • Kontinuierliche Unterstützung auf Ihrem Weg zur ISO 27001 und TISAX-Zertifizierung
  • Vereinfachtes und digitalisiertes Informationssicherheits-Managementsystem (ISMS)
  • Erhöhte Opt-in-Raten durch zentralisiertes Consent & Preference Management
  • Mehr Kundenvertrauen und Wachstum, weniger Risiken

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000