You can more - Fotolia

Mit diesen zehn Tipps können Sie einen Business Continuity-Plan umsetzen

Business Continuity und Disaster Recovery betreffen nicht allein die Technik. Mit diesen zehn Tipps sind Sie vor bösen Überraschungen gefeit.

Business Continuity – also die Planung, Vorbereitung und Implementierung ausfallsicherer Geschäftssysteme, um gegen unvorhergesehene Ausfallzeiten gewappnet zu sein, wird häufig als IT-Problem betrachtet. Deshalb überlassen es die meisten Unternehmen auch der IT-Abteilung, eine Lösung dafür zu finden. Das führt zwangsläufig zum Einsatz verschiedener taktischer Lösungen ohne eine maßgebliche Gesamtstrategie, die eine gemeinsame Richtung vorgibt.

In Wirklichkeit ist die Business Continuity, so wie es der Begriff schon andeutet, ein Problem, das das gesamte Unternehmen betrifft und daher auch als Ganzes und von allen Benutzern und nicht nur von den System-Administratoren angegangen werden sollte.

Mithilfe dieser Checkliste können Unternehmen herausfinden, ob ihr aktueller Plan für die Business Continuity solide ist:

  • Erfordert der Plan erhebliches manuelles Eingreifen?
  • Nehmen Sie bei Ihrem Plan einen Datenverlust bei kritischen Systemen von mehr als ein paar Sekunden in Kauf?
  • Kann der Zugang zu kritischen Systemen in wenigen Minuten wiederhergestellt werden?
  • Wird eine aktuelle Technologie bei den Backup- und Wiederherstellungslösungen eingesetzt, die den Plan für die Business Continuity unterstützt?

Wenn eine dieser Fragen mit Nein beantwortet wurde, ist das Risiko hoch, dass Datenverluste und Ausfallzeiten drohen. Alle sprechen darüber, wie Disaster Recovery richtig geht. Aber man sollte auch ein Auge darauf haben, was passieren kann, wenn Disaster Recovery nicht richtig durchgeführt wird. Deshalb haben wir zehn Tipps zusammengestellt, um Unternehmen in ihrer Planung und Entscheidungsfindung zu unterstützen.

1. Das Geschäft im Mittelpunkt – und nicht die Technologie

Sie sollten immer im Blick behalten, dass es bei der Disaster Recovery darum geht, eine geschäftliche Anforderung zu erfüllen. Deshalb müssen den Überlegungen auch geschäftliche Anforderungen zugrunde gelegt werden. Bevor man versucht herauszufinden, wie man Disaster Recovery implementieren sollte, muss man nach dem „Warum“ fragen.

Sprechen Sie mit Führungsverantwortlichen in Ihrem Unternehmen, um zu verstehen, was für sie wichtig ist. Sie können nur wissen, welche Systeme die wichtigsten sind, wenn Sie die Anwender im Unternehmen fragen. Wenn Sie die Anforderungen des Unternehmens verstehen, können Sie entsprechende Prioritäten festlegen, die Sie zudem bei der Auswahl der Technologie unterstützen.

2. Es kann eine Katastrophe sein – muss aber nicht

Wenn Sie an Disaster Recovery denken, haben Sie wahrscheinlich Wirbelstürme, Überschwemmungen, Terrorangriffe und Ähnliches vor Augen, nicht aber, dass ein Software-Upgrade schief geht oder dass ein Hardwarefehler in einer kritischen Netzwerkkomponente auftritt. Normalerweise wird für ein Worst-Case-Szenario geplant, aber man stolpert über die trivialen alltäglichen Fehler. Bei Ihrer Planung müssen Sie alle Eventualitäten berücksichtigen – vom alltäglichen bis zum katastrophalen Ereignis.

3. Wie können Sie Budgets verteilen, ohne die Kosten für Ausfälle zu kennen?

Allzu oft weisen Unternehmen ein Budget für die Disaster-Recovery-Planung zu, bevor sie überhaupt das finanzielle Risiko von Ausfallzeiten und Datenverlusten für das Unternehmen ermittelt haben. Beziffern Sie zuerst, wie viel Geld Sie durch einen Ausfall kritischer Systeme verlieren würden, erst dann können Sie ermitteln, wie viel Sie ausgeben sollten, um diese Verluste zu verhindern. Ihr Budget richtet sich also nach den potentiellen Kosten eines Ausfalls. Denken Sie daran, bei Ihren Kostenberechnungen für Ausfallzeiten auch die Einhaltung von rechtlichen Vorschriften zu berücksichtigen. Oft wird die Nichterfüllung gesetzlicher Verpflichtungen mit Geldstrafen belegt.

4. Risikobewertung ist nötig

Was als Katastrophenfall oder Desaster gilt, kann von einem Unternehmen zu einem anderen und selbst von Abteilung zu Abteilung variieren. Einige Ereignisse, beispielsweise Erdbeben, können so katastrophale Folgen haben, dass sich das Unternehmen ganz offensichtlich schützen muss. Andere Ereignisse scheinen zunächst nichts Besonderes zu sein, zum Beispiel eine ausgefallene Netzwerkhardware. Dennoch können sie enorme finanzielle Auswirkungen haben. Wenn Sie an Disaster Recovery denken, sollten Sie sich unbedingt folgende Fragen stellen: Wogegen sollen wir uns schützen? Übersehen Sie auch das augenscheinlich Banale nicht. Geringfügige Verluste aufgrund alltäglicher Probleme können sich schnell summieren.

5. Haben Sie einen DR-Plan?

Wenn Ihr Disaster Recovery-Plan nichts weiter als eine Haftnotiz auf den Backup-Bändern unter dem Bett Ihres System-Administrators ist, haben Sie ein Problem. Es klingt zwar erstaunlich, aber eine überraschend große Anzahl Unternehmen verfügt über gar keinen Disaster-Recovery-Plan. Wichtig ist, dass Sie ein formales Dokument ausarbeiten, in dem alle Anwendungen, Hardware, Anlagen, Service Provider, Mitarbeiter und Prioritäten aufgeführt sind. Und Sie müssen von allen Verantwortlichen im Unternehmen entsprechende Unterstützung einholen. Der Plan muss alle funktionalen Bereiche umfassen und klare Richtlinien dahingehend enthalten, was vor, während und nach einem Notfall zu geschehen hat.

6. Wir haben einen Plan, aber den haben wir nie getestet

Ein Disaster-Recovery-Plan ist nur dann sinnvoll, wenn er auch funktioniert. Und dies lässt sich nur sicherstellen, indem Sie ihn testen. Den Plan unter simulierten Notfallbedingungen zu testen, ist zwar wichtig, kann aber auch eine Herausforderung darstellen. Disaster Recovery-Tests sind kostspielig und ziehen wichtige Zeit- und Personalressourcen aus dem Tagesbetrieb ab. Es bleibt aber dabei: Ohne vollständig auf Anwendungsebene getestete Wiederherstellung stehen Sie bei einem echten Notfall vor einem Problem. Halten Sie Ausschau nach Datensicherungslösungen, die es Ihnen ermöglichen, Umgebungen für unterbrechungsfreies Testing Ihrer Disaster Recovery-Pläne einzurichten.

7. Wer ist für was verantwortlich?

Ein echtes Notfallereignis läuft immer chaotisch ab und stiftet viel Verwirrung. Wenn die wichtigen Mitarbeiter nicht wissen, welche Zuständigkeiten sie im Notfall haben, dauert die Wiederherstellung unnötig lange und geht mit zahlreichen Schwierigkeiten einher. In Ihrem Disaster-Recovery-Plan müssen die Rollen und Verantwortlichkeiten jeder beteiligten Person klar dargelegt sein. Dies beinhaltet auch, was zu tun ist, wenn die zuständigen Mitarbeiter nicht verfügbar sind. Diese Personen sollten außerdem an den Tests Ihres Disaster-Recovery-Plans beteiligt werden.

8. Was ist RPO? Und was ist RTO?

Es werden zwei Messgrößen verwendet, um die Toleranz einer Anwendung bezüglich Ausfallzeit und Datenverlust zu messen: Recovery Point Objective (RPO) und Recovery Time Objective (RTO). RPO ist ein Messwert für Datenverlust. Je größer der RPO, desto mehr Datenverlust wird von jeder Anwendung toleriert, bevor es für das Unternehmen problematisch wird. Stellen Sie ihn sich als Zeitpunkt vor, bis zu dem Sie Daten erfolgreich wiederherstellen können. Alle Daten zwischen diesem Punkt und dem Eintritt des Notfalls sind verloren. RTO ist ein Messwert für die Zeitdauer, die ein Computer, IT-System, Netzwerk oder eine Anwendung nach einem Absturz ausfallen darf.

9. Die Wiederherstellung dauert länger als Sie denken

Es ist wichtig zu wissen, wie lange die Wiederherstellung grundlegender Geschäftssysteme dauern wird. Auch wenn Sie auf ausgelagerte Backup-Kopien zugreifen können, heißt dies nicht, dass Sie die Anwendungen rechtzeitig wiederherstellen können. Können Sie Daten schnell genug wiederherstellen und Systeme schnell genug wieder bereitstellen, um den Anforderungen der Anwender in Unternehmen gerecht zu werden? Verfügen Sie über ausreichend Bandbreite, um Daten von einem Cloud Service Provider zurückzuspielen? Wenn Sie wissen, wie lange die Wiederherstellung von Anwendungen dauert und welche Folgen der Ausfall für das Unternehmen hat, entscheiden Sie sich vielleicht für eine andere Technologie.

10. Zurück zur Normalität

Bei der Disaster-Recovery-Planung wird eine Komponente häufig vernachlässigt: die Rückkehr zum Produktionssystem nach einem Failover zu einem Notfallstandort. Der Grund liegt auf der Hand. Wenn wir an einen Notfall denken, geht es uns dabei primär darum, unsere wertvollen Assets zu schützen. Wenig Gedanken machen wir uns darüber, was mit diesen Assets passiert, nachdem das Notfallereignis vorbei ist. Die Fähigkeit des Failback zu den Produktionssystemen ist ebenso wichtig wie die Fähigkeit zum Failover. Sofern es nicht sorgfältig geplant wurde, verfügt ein Backup-Rechenzentrum voraussichtlich nicht über dieselbe Kapazität oder Performance wie der Produktionsstandort. Ohne Failback-Plan führen Sie zwar vielleicht einen erfolgreichen ersten Failover durch, fahren dann aber zunehmend Verluste ein, wenn Ihr Unternehmen seinen Betrieb wochenlang auf der Basis eines unzulänglich provisionierten Backup-Standorts aufrechterhalten muss.

„Sie sollten immer im Blick behalten, dass es bei der Disaster Recovery darum geht, eine geschäftliche Anforderung zu erfüllen.“

Andreas Hellriegel, Arcserve

xxx

Ausfallzeiten und Datenverluste gehören für jedes Unternehmen, das sich auf IT stützt, zum Geschäftsrisiko dazu. Wie dieses Risiko mit der richtigen Technologie abgefangen werden kann, sollte bereits ganz früh in der Softwareentwicklung- und bei der Bereitstellung überlegt werden. Wenn Sie das Schutzlevel kennen, das eine Anwendung benötigt, können Sie auch die entsprechenden Ressourcen zuweisen. Sobald eine Anwendung von den Anwendern im Unternehmen produktiv genutzt wird, müssen die zugehörigen RPO- und RTO-Werte klar identifiziert und die richtigen Business Continuity-Lösungen implementiert werden, um im Falle eines Ausfalls eine Wiederherstellung garantieren zu können.

Über den Autor:
Andreas Hellriegel ist Senior Sales Director DACH bei Arcserve.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Der Unterschied zwischen Business Continuity und Resilience

Essential Guide: Alles zu Business Continuity und Disaster Recovery

Kann man einen Business-Continuity-Plan ohne Risikobewertung entwickeln?

So aktualisiert man den Disaster-Recovery- und Business-Continuity-Plan

Artikel wurde zuletzt im Februar 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Disaster Recovery

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close