Disaster-Recovery-Plan zu Deutsch: Katastrophen-Wiederherstellungsplan oder -Konzept. Eine (IT-) Katastrophe wünscht sich keiner. Und doch ist die schon oft auch bei großen “sicheren” Firmen vorgekommen. Ein Disaster-Recovery-Plan ist die beste Vorbereitung auf so einen Ernstfall – egal ob kleines Einzelunternehmen oder Marktriese. Was ist das? Was wird dort aufgeschrieben? Wie erstelle ich so einen Plan sinnvoll und wie sieht so ein Plan in der Praxis aus?
Disaster-Recovery-Konzept- Was ist das?
Ein Disaster-Recovery-Plan ist ein Dokument, mit dem sich eine Firma auf Katastrophenfälle vorbereitet. Es ist Teil des Business Continuity Managements, allerdings fokussierter. Er enthält detaillierte Reaktionen auf Stromausfälle, Cyber-Attacken oder auch Naturkatastrophen wie Überschwemmung. Im Mittelpunkt steht dabei die IT-Infrastruktur. Die Maßnahmen, die nach einem Ausfall von Komponenten in der Informationstechnik eingeleitet werden sollen, werden aufgezählt. Dazu zählt sowohl die Datenwiederherstellung als auch das Ersetzen nicht mehr benutzbarer Infrastruktur, Hardware und Organisation.
Ziel ist es, die Folgen der schädlichen Ereignisse so gering wie möglich zu halten. Deshalb zeigt der DR-Plan, wie der reguläre Betrieb, oder zumindest wichtige Abläufe, schnellstmöglich wieder aufgenommen werden können.
Der Gedanke dahinter
Störungen führen zu Umsatzeinbußen, Markenschäden und unzufriedenen Kunden. Und je länger die Wiederherstellungszeit ist, desto größer sind die negativen Auswirkungen auf das Geschäft. Daher sollte ein guter Disaster-Recovery-Plan eine schnelle Wiederherstellung nach Störungen ermöglichen, unabhängig von der Quelle der Störung. Alle Maßnahmen sind daher so beschrieben, dass sie Schritt für Schritt durch die Verantwortlichen abzuarbeiten sind. Meldewege, Eskalationsstufen und Definitionen der Verantwortlichkeiten im Katastrophenfall sind Teil des Inhalts. Je besser die Anleitung, desto besser und schneller kann im Ernstfall reagiert werden.
Natürlich verläuft nicht immer alles nach Plan. Einige Maßnahmen werden vielleicht überflüssig, andere zusätzlich notwendig. Es muss klar erkennbar sein, wo Maßnahmen hinzugefügt oder übersprungen werden könnten. Für ein einfaches Auslesen, welche Schritte notwendig sind, ist die Struktur durch ein Flussdiagramm mit Legende ein bewährtes Mittel.
7 Schritte zum perfekten Konzept
Struktur ist das Fundament eines erfolgreichen Disaster-Recovery-Konzepts. Daher muss bereits die Erstellung des Projekts systematisch und gut organisiert erfolgen. Wie setzen wir das um? Mit einem 5-Schritte-Plan.
Risikobewertung
Ein erster Schritt sollte eine gründliche Untersuchung der potenziellen Risiken für den normalen Geschäftsbetrieb sein. Dazu gehören Einflüsse von außen wie z.B. Hacker-Angriffe bis hin zu Umweltkatastrophen. Hier eine (unvollständige) Liste von möglichen Bedrohungen:
- Überschwemmung
- Feuer
- Sabotage
- Stromausfall
- Netzwerkausfall
- Virusbefall
- DDoS Attacke
- Internetausfall
- Zero-Day Exploit
- Hardware-Diebstahl
- Ransomware
Für jede dieser Risiken sollte darüber nachgedacht werden, wie hoch die Wahrscheinlichkeit eines solchen Vorfalls ist, wie groß der Einfluss auf den normalen Geschäftsbetrieb wäre, und welche Maßnahmen ergriffen werden sollen im Falle einen solchen Ereignisses. Dies hat einen großen Einfluss auf den weiteren Inhalt eines Notfall-Plans.
Aktivierung
Hier sollte festgelegt werden, wann der vorliegende Notfall-Plan greift. Soll er bereits bei kleineren Vorkommnissen in Effekt gehen, oder erst bei größeren Ereignissen? Hier ein paar Beispiele:
- Totalausfall der Kommunikation
- Totalausfall der Stromversorgung
- Überflutung des Geländes
- Verlust des Gebäudes
- Erpressung
Basierend auf der Art der Firma oder des Geschäftszweigs werden andere Faktoren zu berücksichtigen sein, für die Erstellung eines solchen Plans.
Notfallteam
Es muss festgelegt werden, wer wann welche Maßnahmen ergreift, basierend auf der Art des Ereignisses. Dieser Personenkreis, der bei solch einem Vorfall sofort aktiv wird, ist das Notfall-Team.
Jeder in der Firma sollte wissen, wer zu diesem Team gehört. Das Disaster Recovery Konzept enthält die Kontaktinformationen aller Mitglieder des Notfall-Teams und deren Vertretungen, sollten diese nicht erreichbar sein. Ebenso sollten die Kontaktinformationen zu wichtigen Diensten außerhalb der Firma in einem Notfall-Plan enthalten sein. So geht keine Zeit verloren mit der Suche nach externen Dienstleistern. Solche externen Dienstleister sind zum Beispiel:
- Stromversorger
- Telefondienstleister
- Internetdienstleister
- Gebäudeschutz
- Versicherung
Wiederherstellungsplan
Es ist wichtig sofort alle wichtigen Daten des betroffenen Systems zur Hand zu haben. Deshalb sollte ein Verzeichnis der verschiedenen Hardware bereitgehalten werden. Darin sind z.B. enthalten:
- LAN
- Server
- Kommunikationsmittel
- …
Der Plan sollte außerdem Informationen enthalten, um diese Systeme schnell wiederherzustellen oder einen möglichen Ersatz zu besorgen und einzurichten.
Dokumente
Hier sind die detaillierten Formulare aufgeführt. Dazu gehören z.B.:
- Schadensbewertung: Schnell eine Übersicht des entstandenen Schadens erhalten
- Handlungsformular: Wie Anfangs schon erwähnt, wird festgelegt, was wann wie gemacht wird
- Überwachung der Wiederherstellung: Hier wird der Fortschritt der Wiederherstellungsaufgaben dokumentiert (nach Reihenfolge der vorher festgelegten Priorität)
- …
Notfalltest / -übung
Jeder Notfall-Plan ist nur so gut wie die Informationen, die er enthält. Deshalb ist eine regelmäßige Prüfung und/oder Revision wichtig: Sind die Kontaktinformationen auf dem neuesten Stand? Gab es Mitarbeiterwechsel? Ist z.B. der Stromanbieter noch derselbe? usw.
Damit schnell gehandelt wird, muss jeder Mitarbeiter wissen, was im Notfall von ihm erwartet wird. Und dazu gehört Übung. Es muss festgelegt werden, wie oft solche Übungen durchgeführt werden. Das Ergebnis solcher Übungen sollte schriftlich festgehalten werden und gegebenenfalls müssen, basierend auf den daraus gezogenen Lehren, Änderungen oder Ergänzungen im Notfall-Plan gemacht werden.
Abschlussbericht
Nach jedem Notfall sollte ein detaillierter Bericht verfasst werden. Dort wird dokumentiert was passiert ist, welche Maßnahmen wann und von wem ergriffen wurden und welche Auswirkungen das hatte, positive wie negative. Dabei geht es nicht darum “Schuldige” zu finden. Es geht darum, für die Zukunft zu lernen und nötigenfalls Vorkehrungen zu treffen, um für künftige Ereignisse gewappnet zu sein.
Dieser Abschlussbericht sollte der Geschäftsführung vorgelegt werden. Es sollte aber nicht vergessen werden andere Geschäftszweige (falls vorhanden) auch darüber in Kenntnis zu setzen, um ähnliche Vorkommnisse dort zu verhindern.
Starten Sie das Disaster-Recovery-Konzept – Projekt
Wie bei den meisten Projekten ist der Start die schwierigste Hürde. Haben Sie genug Ressourcen das Projekt allein zu stemmen? Soll das Projekt ganz an Externe abgegeben werden? Oder genügt es vielleicht, einfach einen Online-Plan auszudrucken und auszufüllen?
Unsere Erfahrung sagt: Alles ganz schlechte Ideen.
Warum?
- Neben dem Alltagsgeschäft noch so ein Projekt 100% richtig und zügig abzuarbeiten ist nicht realisierbar. Und auch wenn ein(ige) Mitarbeiter extra dafür Zeit schaffen können: Können diese mit einem klaren Auge wirklich alles beachten? Oder kann nicht doch eine Alltagsblindheit manchmal zuschlagen? Haben die betroffenen Personen schon viel Erfahrung mit solchen Projekten und können projektkritische Fragen stellen?
- Kann ein externer Dienstleister das Unternehmen mitsamt allen geschäftskritischen Faktoren direkt so bewerten, dass ein wirklich guter Plan erstellt werden kann?
- Gibt es wirklich diesen EINEN Plan? Der Schuh, der jedem passt? Oder ist ihr Unternehmen nicht doch eher etwas, das individuell betrachtet werden muss? Da kein anderer Betrieb 100% so strukturiert und aufgebaut ist wie Ihres?
Unsere Lösung:
Nur wenn gut informierte Mitarbeiter mit einem erfahrenen externen Dienstleister einen solchen Disaster-Recovery-Plan Hand in Hand erstellen, kann ein wirklich guter Plan entstehen. Dadurch wird der kritische und erfahrene Blick von außen und das Wissen um interne Strukturen vereint. So wird sichergestellt, dass das Unternehmen sowohl ganzheitlich als auch jeder Geschäftsbereich für sich gesehen, gesichert wird.
Cheers!