Was Sie für Ihre Disaster-Recovery-Planung benötigen

Einige Fakten werden bei der Planung für Business Continuity (BC) und Disaster-Recovery (DR) oft übersehen. Zehn Tipps, wie sie die Lücken schließen.

Dieser Artikel behandelt

Disaster Recovery

Aktuellen Berichten zufolge macht die Hälfte aller kleinen und mittelständischen Unternehmen keine Pläne für Business Continuity im Krisenfall (BC) oder Disaster-Recovery (DR). Diejenigen, die Vorsorge treffen, finden im Ernstfall oft heraus, dass bestimmte Informationen fehlen oder gewisse Bereiche nicht abgedeckt sind. Es wird unterschätzt wie wichtig es ist, die Implementierung der Business-Continuity- und Disaster-Recovery-Planung regelmäßig zu prüfen. Zudem werden die Auswirkungen menschlicher Fehler und Flüchtigkeitsfehler während des Planungsprozesses verkannt.

Die nachfolgende Liste enthält zehn Kriterien, die Unternehmen bei ihren DR-Plänen, Richtlinien, Verfahren und Dokumentationen oft übersehen.

1. Authentifizierungs- und Verifizierungs-Tools

Oft entdeckt das IT-Team das Fehlen von Kopien essenzieller SSL-Zertifikate, wichtiger Passwörter oder physische Zugangsgeräte erst dann, wenn die Wiederherstellung bereits im Gange ist.

Lösungsvorschlag: Sorgen Sie für einen sicheren und externen Aufbewahrungsort der physischen Geräte. Kümmern Sie sich außerdem um sicheres Online-Storage für Ihre Passwörter und Zertifikate bei einem externen Drittanbieter. Testen Sie unbedingt deren Wiederherstellung und Anwendung in der Praxis. Das sollte ein Teil Ihrer DR- und BC-Planung sein.

2. Kontakte, Informationen und Methoden

In überraschend vielen Fällen stellen Mitarbeiter fest, dass sie Ansprechpartner nicht erreichen können, welche im Business-Continuity- oder Disaster-Recovery-Plan genannt werden. Oft sind zu wenige Ansprechpartner aufgeführt. Daher lässt sich nicht gewährleisten, dass im Ernstfall auch tatsächlich jemand erreichbar ist. Zudem verlässt man sich bei der Personaleinsatz-Planung zu oft auf jemanden, der den Kontakt per Telefon, E-Mail oder auf andere Weise manuell herstellt.

Lösungsvorschlag: Stellen Sie sicher, dass eine ausreichende Anzahl an Kontakten vorhanden ist. Dadurch lassen sich die Vorgaben für Recovery Time Objectives - RTO und Recovery Point Objectives - RPO einhalten. Wichtige Ansprechpartner sollten mithilfe eines sicheren externen E-Mail-Kontos per E-Mail und Pager benachrichtigt werden. Einige bekannte Anbieter sind Yahoo!, Google Mail oder MSN. Hier können Sie Passwörter mithilfe von Tools wie http://angel.net/~nic/passwd.sha1.1a.html verschlüsseln. Dann stellen Sie Konto und Passwort allen verantwortlichen Mitarbeitern auf der Liste des Notfall-Plans zur Verfügung.

3. Geografische Risiken und Faktoren

Firmen arbeiten in Erdbebenzonen, Hochwassergebieten, in feuergefährdeten Bereichen und gelegentlich sogar in Kriegsgebieten. Dabei planen sie nicht angemessen für Naturkatastrophen oder vom Menschen verursachte Desaster. Beurteilen sie Ihre Situation sorgfältig und stellen Sie die wahrscheinlichsten Katastrophen so genau wie möglich während des Praxistrainings nach. Stellen Sie sicher, dass externe oder weiter abgelegene Alternativteams einsatzfähig sind, falls lokale Mitarbeiter nicht erreichbar sind.

4. Wiederherstellung einzelner Computer

Während der Wiederherstellung müssen individuelle und IT-Ressourcen des Unternehmens wie Server und Storage-Farmen (SANs oder NAS-Server) wieder einsetzbar sein und eine normale Arbeitsumgebung für Mitarbeiter schnellstmöglich bereit stellen. Aus diesem Grund sollte gewährleistet sein, dass wichtige Mitarbeiter während des Wiederherstellungsprozesses Zugang zu Desktop- oder Notebook-Rechnern haben. Andere wichtige Mitarbeiter benötigen Computer während Sie den normalen Betriebszustand wieder aufbauen. Beachten Sie dieses Problem bei Ihrer Planung.

5. Sorgen Sie für eine ausreichende Notfall-Stromversorgung und damit verbundene Einrichtungen

Viele Unternehmen stellen fest, dass sie während des Wiederherstellungsprozesses über keine ausreichende Stromversorgung oder entsprechende Anlagen verfügen. Dieses Problem kann die Wiederherstellung oder Kontinuität genauso vereiteln, wie die Einschränkung anderer wichtiger Ressourcen. Mithilfe von Praxistrainings lassen sich solche Probleme identifizieren und Lösungen finden. Ein Mangel an ausreichender Stromversorgung und entsprechenden Einrichtungen zeigt sich während der Praxis-Tests. Die Arbeitsteams scheitern an der Wiederherstellung der Systeme, wenn die Stromversorgung unzureichend ist. Das gilt auch für andere Probleme mit den damit verbundenen Anlagen.

6. Legen Sie die Prioritäten für die Wiederherstellung fest

Einige Server benötigen Zugang zu einem Storage-Server oder einer Storage-Farm, bevor sie bestimmte Dienste oder Informationen bereit stellen können. In diesem Fall müssen diese Ressourcen zur Verfügung stehen, bevor oder während die Server online gehen. Generell werden die meisten Netzwerk-Ressourcen erst dann erreichbar sein, wenn die Directory-Services bereitstehen. Daher sollten diese zuerst wiederhergestellt werden. Identifizieren und berücksichtigen Sie die wichtigsten Abhängigkeiten, wenn Sie Wiederherstellungsprozesse und -abläufe beschreiben und dokumentieren.

7. Sorgen Sie für gute Dokumentationen und Anleitungen zur Wiederherstellung

Neben der Klärung wichtiger Abhängigkeiten, wie oben beschrieben, stellen viele Unternehmen währen der Wiederherstellung fest, dass einige Prozesse und Abläufe fehlen. Manchmal sind detaillierte Beschreibungen oder wichtige Informationen nicht vorhanden. Erarbeiten Sie einen Leitfaden und gehen Sie diesen Schritt für Schritt während des Praxistrainings durch.  Diese Vorgehensweise hilft Ihnen, Versäumnisse und andere Missstände aufzudecken. Sie können diese dann korrigieren, bevor es zu einem echten Krisenfall oder einer Betriebsunterbrechung kommt.

8. Exerzieren Sie die DR- und BC-Pläne regelmäßig durch

Zumindest einmal im Jahr sollten Unternehmen ihre DR- und BC-Pläne im Training komplett umsetzen. Dabei ist es wichtig Probleme, Versäumnisse, Missstände und Fehler vollständig und gewissenhaft für schnelle Nachbesserungen aufzuzeichnen. Es gibt in diesem Zusammenhang keinen Ersatz für gründliche Praxis-Tests.

9. Halten Sie Ihre DR- und BC-Pläne auf dem aktuellen, korrigierten Stand

Es ist extrem wichtig, Abläufe einzuführen, bei denen Mitarbeiter regelmäßig über den aktuellen Stand der Planung berichten müssen. Dieses Team sollte auch für die nötigen Anpassungen sorgen, um die Pläne auf aktuelle organisatorische und technische Gegebenheiten abzustimmen. Außerdem ist es wichtig, regelmäßige Audits durchzuführen. Damit können Sie überprüfen, wie gut Pläne und Realität übereinstimmen.

10. Regelmäßige Aufmerksamkeit und Beteiligung

Führungskräfte, IT-Personal, gehobene Abteilungsleiter und andere Mitarbeiter müssen hinsichtlich der Anforderungen, Prioritäten und Informationen zum Thema Disaster-Recovery und Business Continuity auf dem Laufenden bleiben. Einige Unternehmen gehen sogar noch einen Schritt weiter und machen die Teilnahme an Recovery-Trainings verpflichtend. Bei jährlichen oder periodischen Leistungs-Evaluierungen und Gehalts-Besprechungen spielen diese dann eine wichtige Rolle. Diese Verknüpfung von Gehaltserhöhungen und DR- und BC-Training ist eine sehr starke Motivation. Auf diesem Weg wird sichergestellt, dass die DR- und BC-Pläne einer Firma auch im Katastrophenfall erlauben, zur Tagesordnung zurückzukehren.

Über den Autor:

Ed Tittel ist ein langjähriger freiberuflicher Autor und Trainer. Er hat sich auf Themen rund um Netzwerke, Informations-Security und Markup-Sprachen spezialisiert. Darüber hinaus schreibt er für zahlreiche TechTarget.com-Websites. Vor Kurzem hat er seine Arbeit an der 4. Ausgabe der CISSP Study Guide für Sybex / Wiley abgeschlossen.

Artikel wurde zuletzt im August 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Disaster Recovery

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close