Was ist Disaster Recovery as a Service (DRaaS)?

Recovery Time Objective (RTO): RTO beschreibt die Zeit, die benötigt wird, um Geschäftsprozesse nach einem ungeplanten Vorfall wiederherzustellen. In einem DRaaS-Modell enthalten die Service Level Agreements (SLAs) das RTO und erklären, wie der MSP und das Unternehmen zusammenarbeiten werden, um es zu erreichen.

Recovery Point Objective (RPO): Das RPO bezeichnet die Datenmenge, die einem Unternehmen bei einem Notfall verloren gehen darf, damit eine Wiederherstellung noch möglich ist. Einige Unternehmen verlangen, dass ihre Daten ständig in ein Remote-Rechenzentrum kopiert werden, um im Falle einer Sicherheitsverletzung die Kontinuität zu gewährleisten; andere können ein RPO von einigen Minuten (oder sogar Stunden) tolerieren. Die Klärung der Erwartungen an das RPO eines Unternehmens ist ein entscheidender Schritt bei der Einrichtung einer DRaaS-Lösung.

Geschäftskontinuitätsplan: Wie DRPs, RTOs und RPOs sind auch Geschäftskontinuitätspläne (BCPs) von entscheidender Bedeutung für den DRaaS-Prozess. BCPs werfen in der Regel einen breiteren Blick auf verschiedene Bedrohungen und Lösungsoptionen als ein DRP und konzentrieren sich darauf, was ein Unternehmen und ein DRaaS-Anbieter tun müssen, um nach einem Vorfall die grundlegenden Geschäftsfunktionen wiederherzustellen. Im Rahmen des DRaaS-Modells wird der BCP eines Unternehmens in der Regel von dem MSP, der die DRaaS-Services bereitstellt, in enger Absprache mit der Unternehmensleitung entwickelt.

DRaaS beruht auf der Sicherung kritischer Systeme, damit diese nach einem ungeplanten Vorfall wiederhergestellt werden können. Die Wahl des Speicherorts und der Art des Backups, das verwendet werden soll, zählt zu den wichtigsten Entscheidungen, die ein Unternehmen während des DRaaS-Prozesses treffen wird. Es stehen drei Optionen zur Auswahl: Rechenzentrums-, Cloud- und Hybrid-Backups.

Rechenzentrum

Wenn sich ein Unternehmen dafür entscheidet, seine kritischsten Daten über ein Rechenzentrum zu sichern, werden die Daten extern verschoben, um sie vor einer Naturkatastrophe oder einem lokalen Cyberangriff zu schützen. Aufgrund des Bedarfs an mehr Infrastruktur – wie z. B. externe Einrichtungen und physische Server, Systeme und Mitarbeiter – sind Backups im Rechenzentrum oft die teuerste Option. Darüber hinaus ist die Wiederherstellung von Daten aus einem externen Rechenzentrum langwieriger als die Wiederherstellung aus der Cloud und kann manchmal Tage oder sogar Wochen dauern.

Cloud

Cloud-Notfallwiederherstellungspläne sind oft am besten skalierbar und am kostengünstigsten, da sie keine physische Infrastruktur und keinen Support benötigen. Cloud-basierte DR-Pläne speichern kritische Daten in der Cloud, sodass ein Unternehmen eine Virtual Machine-Instanz erstellen kann, die im Katastrophenfall innerhalb von Minuten – oder sogar Sekunden – eingeschaltet werden kann.

Hybrid Cloud

Hybride DRaaS-Pläne nutzen sowohl eine Public-Cloud-Umgebung als auch ein Rechenzentrum für Backup-Zwecke. Hybrid-Cloud-Dienste sind die flexibelste der drei verfügbaren Optionen, und sie eignen sich gut für kleine bis mittlere Unternehmen (KMUs), die DRaaS-Funktionen auf Unternehmensebene benötigen, ohne in physische Infrastruktur zu investieren.

Viele Unternehmen, für die DRaaS in Frage kommt, ziehen auch Backup-as-a-Service (BaaS) als kostengünstigere Option in Betracht. BaaS ist ein verwalteter Service, der von einem Drittanbieter bereitgestellt wird und Unternehmen bei der Wiederherstellung ihrer wertvollsten Daten nach einem Vorfall unterstützt. BaaS-Lösungen speichern Daten an einem sicheren, externen Ort – oft in der Cloud –, wo sie vor verschiedenen Bedrohungen geschützt sind. 

BaaS-Daten-Backups können alles umfassen, was für ein Unternehmen von Wert ist, wie Dateien, Datensätze und sogar ganze Workloads. Wie DRaaS ist auch BaaS ein Service, der von einem MSP bereitgestellt wird und einem SLA unterliegt, in dem alle Verantwortlichkeiten und Erwartungen beider Parteien festgelegt sind.

BaaS- und DRaaS-Lösungen unterscheiden sich in drei wesentlichen Punkten, die es zu berücksichtigen gilt:

Backup-Anforderungen: Während DRaaS sowohl Daten als auch Infrastruktur sichert, sichert BaaS nur Daten. DRaaS-MSPs übernehmen in der Regel die Verantwortung dafür, dass kritische Infrastrukturen wie Server, Bürogebäude und Netzwerke während und unmittelbar nach einem Vorfall verfügbar und für die Benutzer zugänglich bleiben. BaaS-Anbieter bieten solche Dienstleistungen nicht an.

Wiederherstellungszeit: BaaS-Anbieter können Daten wiederherstellen und eine Datenwiederherstellung durchführen, aber aufgrund der Menge der betroffenen Daten dauert dies länger als bei einem DRaaS-Anbieter. BaaS-Bereitstellungen verarbeiten in der Regel größere Datenmengen als DRaaS-Bereitstellungen. Sie planen und messen ihre RPOs und RTOs in Stunden und Tagen. DRaaS-Anbieter können RPO und RTO in Minuten und manchmal sogar in Sekunden messen.

Preis der Lösung: BaaS ist deutlich günstiger als DRaaS. Dies ist in erster Linie auf die Kosten der eingesetzten Ressourcen zurückzuführen. Bei einer DRaaS-Bereitstellung zahlen Unternehmen zusätzlich zu den Speicherressourcen für Ressourcen wie Replikationssoftware und Recheninfrastruktur, während bei einer BaaS-Bereitstellung das Unternehmen nur für Speicherressourcen bezahlt. 

Der Hauptunterschied besteht darin, dass BCPs tendenziell proaktiv sind, während DRPs eher reaktiv sind. Es ist gut, dies bei der Erstellung der beiden Teile Ihres BCDR-Plans im Hinterkopf zu behalten, denn es bestimmt, wie die beiden Prozesse zueinander in Beziehung stehen.

Eine starke Geschäftskontinuitätsstrategie konzentriert sich auf Prozesse, Verfahren und Aufgaben, die für den Geschäftsbetrieb vor, während und unmittelbar nach einer Katastrophe entscheidend sind. Die DR-Planung ist eher darauf ausgerichtet, auf einen Vorfall zu reagieren und geeignete Maßnahmen zur Wiederherstellung zu ergreifen. 

Beide Prozesse hängen stark von zwei kritischen Komponenten ab, dem Recovery Time Objective (RTO) und dem Recovery Point Objective (RPO):

• Recovery Time Objective (RTO): RTO bezeichnet die Zeit, die benötigt wird, um Geschäftsprozesse nach einem ungeplanten Vorfall wiederherzustellen. Die Festlegung eines angemessenen RTO ist eine der ersten Maßnahmen, die Unternehmen ergreifen müssen, wenn sie ihren DRP erstellen. 
• Recovery Point Objective (RPO): Das RPO Ihres Unternehmens bezeichnet die Datenmenge, die bei einem Notfall verloren gehen darf, damit eine Wiederherstellung noch möglich ist. Da der Datenschutz eine Kernkompetenz vieler moderner Unternehmen ist, kopieren manche Unternehmen ihre Daten ständig in ein entferntes Rechenzentrum, um im Falle eines massiven Datenlecks die Kontinuität zu gewährleisten. Andere legen ein tolerierbares RPO von wenigen Minuten (oder sogar Stunden) fest, damit Geschäftsdaten von einem Backup-System wiederhergestellt werden können, in dem Wissen, dass sie alles wiederherstellen können, was in dieser Zeit verloren gegangen ist.

1. Durchführung einer Analyse der Auswirkungen auf das Geschäft (BIA)

Um einen effektiven BCP zu erstellen, müssen Sie zunächst die verschiedenen Risiken verstehen, mit denen Ihr Unternehmen konfrontiert ist. Die Analyse der Auswirkungen auf das Geschäft (Business Impact Analysis, BIA) spielt eine entscheidende Rolle beim Risikomanagement und der Resilienz von Unternehmen. Die BIA ist der Prozess der Identifizierung und Bewertung der potenziellen Auswirkungen einer Katastrophe auf den normalen Betrieb.

Eine starke BIA beinhaltet einen Überblick über alle potenziell bestehenden Bedrohungen und Sicherheitslücken – intern und extern – sowie detaillierte Pläne zu deren Abschwächung. Darüber hinaus muss die BIA ermitteln, mit welcher Wahrscheinlichkeit ein Ereignnis eintritt, damit das Unternehmen entsprechend Prioritäten setzen kann.

2. Maßnahmen erarbeiten

Sobald Ihre BIA abgeschlossen ist, besteht der nächste Schritt beim Erstellen Ihres BCP darin, effektive Reaktionen auf jede der von Ihnen identifizierten Bedrohungen zu planen. Unterschiedliche Bedrohungen erfordern natürlich unterschiedliche Strategien zur Notfallwiederherstellung. Daher sollte jede Ihrer Reaktionen einen detaillierten Plan umfassen, wie das Unternehmen eine bestimmte Bedrohung erkennen und damit umgehen wird.

3. Wichtige Aufgaben und Zuständigkeiten identifizieren

In diesem Schritt legen Sie fest, wie wichtige Mitglieder Ihres Teams reagieren werden, wenn sie mit einer Krise oder einem störenden Ereignis konfrontiert sind. Hier werden die Erwartungen an jedes Teammitglied dokumentiert sowie die Ressourcen, die es benötigt, um seine Aufgaben zu erfüllen.

Dies ist ein guter Punkt im gesamten Prozess, um zu überlegen, wie Einzelpersonen bei Eintreten eines Vorfalls kommunizieren werden. Bei einigen Bedrohungen werden wichtige Netzwerke – wie Mobilfunk- oder Internetverbindungen – abgeschaltet, daher ist es wichtig, dass Ihre Mitarbeiter über zuverlässige alternative Kommunikationsmethoden verfügen.

4. Den Plan testen und aktualisieren

Um handlungsfähig zu sein, müssen Sie Ihren BCDR-Plan ständig praktisch üben und verfeinern. Durch wiederkehrende Tests und Schulungen der Mitarbeiter wird eine reibungslose Umsetzung im Katastrophenfall gewährleistet. Proben Sie realistische Szenarien wie Cyberangriffe, Brände, Überschwemmungen, menschliches Versagen, massive Stromausfälle und andere relevante Bedrohungen, damit die Teammitglieder Sicherheit bei der Ausführung ihrer Aufgaben und beim Übernehmen ihrer Verantwortlichkeiten entwickeln können.

Wie BCPs erfordern auch DRPs eine Analyse der Auswirkungen auf das Geschäft (BIA) – die Beschreibung von Aufgaben und Verantwortlichkeiten sowie ständige Tests und Verfeinerungen. Aber weil DRPs von Natur aus reaktiver sind, liegt der Schwerpunkt eher auf Risikoanalysen und auf Daten-Backup und Wiederherstellung. Die Schritte 2 und 3 der DRP-Entwicklung, die Durchführung der Risikoanalyse (RA) und die Erstellung eines Asset-Bestands sind in keiner Weise Bestandteil der Entwicklung eines BCP. 

Hier ist ein weit verbreiteter fünfstufiger Prozess zur Erstellung eines DRP:

1.    Durchführung einer Analyse der Auswirkungen auf das Geschäft

Beginnen Sie wie in Ihrem BCP-Prozess jede Bedrohung, der Ihr Unternehmen ausgesetzt sein könnte, zu bewerten und sich klar zu machen, welche Auswirkungen sie haben könnte. Überlegen Sie, wie sich potenzielle Bedrohungen auf den täglichen Betrieb, die regulären Kommunikationskanäle und die Sicherheit der Mitarbeiter auswirken könnten.

Weitere Überlegungen für eine starke BIA sind Einnahmeverluste, Kosten für Ausfallzeiten, Kosten für die Wiederherstellung des guten Rufs (Öffentlichkeitsarbeit), Verlust von Kunden und Investoren (kurz- und langfristig) sowie etwaige Strafen aufgrund von Compliance-Verstößen.

2.    Analyse der Risiken

DRPs erfordern in der Regel eine sorgfältigere Risikobewertung als BCPs, da sie sich auf die Wiederherstellung nach einer potenziellen Katastrophe konzentrieren sollen. Berücksichtigen Sie bei der Risikoanalyse (RA) im Rahmen der Planung die Wahrscheinlichkeit eines Risikos und die potenziellen Auswirkungen auf Ihr Unternehmen.

3.    Erstellen eines Asset-Bestands

Um einen wirksamen DRP zu erstellen, müssen Sie genau wissen, was Ihr Unternehmen besitzt, welchen Zweck und welche Funktion diese Assets haben und in welchem Zustand sie sich befinden. Eine regelmäßige Bestandsaufnahme der Assets hilft bei der Identifizierung von Hardware, Software, IT-Infrastruktur und allem anderen, was Ihr Unternehmen besitzen könnte und was für Ihren Geschäftsbetrieb wichtig ist. Sobald Sie Ihre Assets identifiziert haben, gruppieren Sie sie in drei Kategorien – kritisch, wichtig und unwichtig:

• Kritisch: Kennzeichnen Sie nur solche Assets als kritisch, die für den normalen Geschäftsbetrieb erforderlich sind.
• Wichtig: Weisen Sie diese Kennzeichnung den Assets zu, die Sie mindestens einmal täglich verwenden und deren Ausfall Auswirkungen auf den Geschäftsbetrieb hätte (ohne diesen jedoch vollständig lahmzulegen).
• Unwichtig: Hierbei handelt es sich um Assets, die Ihr Unternehmen nur selten verwendet und die für den normalen Geschäftsbetrieb nicht unbedingt erforderlich sind.

4.    Zuweisung von Aufgaben und Zuständigkeiten

Genau wie bei der Entwicklung Ihres BCP müssen Sie die Zuständigkeiten klar umreißen und sicherstellen, dass die Teammitglieder über das verfügen, was sie zur Erfüllung ihrer Aufgaben benötigen. Ohne diesen entscheidenden Schritt weiß niemand, wie man sich im Katastrophenfall verhält. Im Folgenden finden Sie einige Aufgaben und Verantwortlichkeiten, die Sie beim Erstellen Ihres DRP berücksichtigen sollten:

• Vorfallsberichterstatter: Eine Person, die die Kontaktinformationen der relevanten Parteien verwaltet und bei Störfällen mit Unternehmensführern und Stakeholdern kommuniziert.
• DRP-Supervisor: Der DRP-Supervisor stellt während eines Vorfalls sicher, dass die Teammitglieder die ihnen zugewiesenen Aufgaben ausführen. 
• Asset-Manager: Jemand, dessen Aufgabe es ist, kritische Assets zu sichern und zu schützen, wenn eine Katastrophe eintritt. 
• Verbindungsperson zu Dritten: Diese Person stimmt sich mit allen Drittanbietern oder Dienstleistern ab die Sie im Rahmen Ihres DRP beauftragt haben, und informiert die Beteiligten entsprechend über den Verlauf des DRP. 

5.    Testen und verfeinern

Wie Ihr BCP erfordert auch Ihr DRP ständiges Üben und Verbesserungen, um effektiv zu sein. Üben Sie es regelmäßig und aktualisieren Sie es gemäß aller wichtigen Änderungen, die vorgenommen werden müssen. Wenn Ihr Unternehmen beispielsweise nach der Erstellung Ihres DRP ein neues Asset erwirbt, müssen Sie dieses in Ihren Plan aufnehmen, damit es in Zukunft geschützt ist.

Self-Service-DRaaS bietet Unternehmen die Geschäftstools und Ressourcen, die sie zum Erstellen und Verwalten ihres eigenen DRP benötigen. Es eignet sich gut für technologisch fortschrittliche Unternehmen mit dedizierten internen IT-Teams, die ein hohes Maß an Kontrolle über ihre Prozesse benötigen. 

Da es so einfach ist, bietet Self-Service-DRaaS günstigere Optionen als andere Pläne und ist weitaus flexibler. Unternehmen sollten sich jedoch bewusst sein, dass sie bei einer Self-Service-DRaaS-Lösung während der Planungs-, Test- und Verwaltungsphasen ihres DRP auf sich allein gestellt sind.

Unterstützte DRaaS ist eine gute Art von Wiederherstellungsdienst für Unternehmen, die ihren Kontrollbedarf mit belastbarer Unterstützung durch einen externen MSP in Einklang bringen müssen. Bei unterstützter DRaaS hilft der MSP beim Erstellen, Planen, Implementieren, Testen und Verfeinern des DRP und bietet während des gesamten Prozesses wertvolle Fachkompetenz und Anleitung.

Verwaltete DRaaS ist eine vollständig ausgelagerte DRaaS-Lösung, bei der der MSP die volle Kontrolle und Verantwortung für die Entwicklung und Implementierung des DRP eines Unternehmens übernimmt. Verwaltete DRaaS ist eine gute Wahl für Unternehmen, die keine eigenen IT-Abteilungen haben. Sie bietet das belastbarste verfügbare DRaaS-Angebot. Wenig überraschend ist es oft auch das teuerste.