Disaster Recovery Planning: Ein kurzes How-To

15. September 2022
Damian Gorski
Just 4 People Disaster Recovery Planning Visualisierung

Je digitaler, desto gefährdeter

Die Digitalisierung nimmt Fahrt auf: In zahlreichen Fällen hat die Covid-Pandemie wie ein Katalysator für entsprechende Vorhaben und Projekte gewirkt.

Damit einhergehend steigen auch die Risiken durch Cyber-Bedrohungen – und sie steigen überproportional zum Digitalisierungsgrad aufgrund weiterer Faktoren, welche die Attraktivität des “Geschäfts Cybercrime” zusätzlich steigern. An dieser Stelle sei auf die Lageberichte des BSI verwiesen (Link); die hier geschilderten Entwicklungen zeugen zudem leider von immer noch mangelndem Problembewusstsein.

Vor dem Hintergrund des wachsenden Handlungsbedarfs und unter dem Eindruck von zahlreichen Beispielen erfolgreicher Cyberattacken in der jüngsten Vergangenheit stellen sich viele IT-Verantwortliche die Frage: Wie wappne ich mein Unternehmen für einen Bad/Worst Case und was muss ich beachten ?

Vorbereitung ist das halbe Leben

… wie der Volksmund so schön sagt. Für das Szenario eines Cyberangriffs bedeutet Vorbereitung mehr, nämlich im äußersten Fall das Überleben des Unternehmens.

Disaster Management ist hier das relevante  Stichwort, und wesentlicher Bestandteil dessen ist die Planung der Wiederherstellung von Daten und Infrastruktur, neudeutsch Disaster Recovery Planning.

Das Ziel dieser Planung sollte nicht reduziert werden auf Maßnahmen zur Wiederherstellung: Die  Bestimmung von Prioritäten, Verantwortlichkeiten und benötigten Ressourcen  ist ebenso notwendig zur Definition von belastbaren Recovery-Prozessen. So können, auf Grundlage von spezifischen Recovery-Strategien, Notfallpläne für verschiedene Bereiche, Standorte und Szenarien erstellt werden mit dem Ziel der Schadensminimierung.

Der Weg zum Plan

Das Ziel ist also definiert, nun geht es um den Weg: Woran sollte sich die Erstellung einer Notfallplanung orientieren?

Nachfolgend möchte ich einige Leitplanken aufzeigen, die als Kriterien dienen und – in der entsprechenden Reihenfolge betrachtet – methodische Orientierung bieten können.

Im ersten Schritt ist eine Analyse der Szenarien erforderlich.

Im Rahmen dieser sollten die wahrscheinlichsten Ursachen von Notfällen identifiziert werden. Ein einfaches Beispiel hierfür sind geologische oder geografische Rahmenbedingungen (z.B. durch Erdbeben gefährdete Gebiete), aber auch der Grad der Cyber-Resilienz der Infrastruktur, IT-Sicherheitsbewusstsein der Mitarbeitenden und die individuelle kriminelle Bedrohungslage sollten kalkuliert werden. Hierüber können dann – zu einem gewissen Grand – Eintrittswahrscheinlichkeiten und Szenarien bestimmt werden.

Somit ist der übergroße Begriff “Worst Case” eingedampft auf Notfälle, mit welchen das Unternehmen wahrscheinlich konfrontiert ist, es liegen Indikatoren für Vorhersagbarkeit und Schweregrad vor.
Nun können im nächsten Schritt potenzielle Auswirkungen betrachtet werden. Konkret: Welche Ausfälle können toleriert werden? Als Ergebnis dieser Risikobewertung sollten verkraftbare Ausfallzeiten (Recovery Time Objective, kurz: RTO) und Ausmaße des Datenverlustes (Recovery Point Objective, kurz: RPO) bestimmt worden sein. Sie wissen also im Notfall, was wie schnell wieder hergestellt werden muss, sodass ein signifikanter Schaden vom Unternehmen abgewendet wird.

Mit diesen Ziel-Vorgaben können schließlich kritische Faktoren beleuchtet werden: Sind die vorhandenen personellen Ressourcen ausreichend, um entsprechend auf einen Notfall zu reagieren? Ist die Backup-Strategie angemessen hinsichtlich Dimensionierung und Verfügbarkeit? Kann ggf. schnell genug Hard- und Software wieder beschafft werden? Ist die Bandbreite der Leitungen groß genug, um die definierten Recovery-Ziele zu erreichen?

Jeder weiß, was zu tun ist

Das Ergebnis der oben genannten Analysen und Bewertungen soll zum einen eine managementtaugliche Entscheidungsgrundlage sein, sofern die erarbeitete Recovery-Strategie mit den vorhandenen Ressourcen nicht umsetzbar ist. Zum anderen sind sie Grundlage für die Erarbeitung eines Drehbuchs für den Fall der Fälle.

Selbstredend ist jedes Unternehmen und jede Bedrohungslage zu spezifisch, als dass seriös eine Notfallplan-Blaupause empfohlen werden könnte.
Aber einige, allgemein gültige “Qualitätskriterien” möchte ich hier nennen.

Es sollten alle Ressourcen benannt sein. Dies beinhaltet sowohl Mitarbeitende mit ihren jeweiligen Rollen als auch Tools, sowie eine Liste der betroffenen Hard- und Software, welche die definierten RTOs und RPOs  sowie gegenseitige Abhängigkeiten aufführt. Das Kernstück des Plans bilden detaillierte, schrittweise dokumentierte Verfahren zur Wiederherstellung. Hierbei sollten Sie die Dokumentation des Fortschritts für reibungslose Übergaben nicht vergessen (auch der nächste Audit kommt bestimmt) und funktionsfähige Kommunikationswege/-ketten bestimmen.

Und schließlich gibt es einige “Kleinigkeiten” , die man gerne übersieht, wie z.B. nicht (mehr) zugängliche Anmeldeinformationen oder schlicht die Zugänglichkeit des Notfallplans. Deswegen gilt, bei aller Sorgfalt in der Vorbereitung: Übung macht den Meister und Generalproben sind durchaus zielführend – deshalb sind auch Prüfverfahren ein fester Bestandteil eines Notfallplans.

Dies hat die positiven Nebeneffekte, dass auch die Aktualität des Plans verprobt werden kann und er, wie Ihre Infrastruktur auch, die notwendigen Updates erhält – und dass schließlich jeder weiß: Sie haben einen Plan!

Sie sehen Handlungsbedarf bei Ihrer digitalen Widerstandsfähigkeit? Gerne unterstützen wir Sie bei diesem sowie weiteren strategischen und operativen Themen des IT-Managements. Nehmen Sie einfach Kontakt auf – wir freuen uns auf Ihre Fragen.

Damian Gorski

Weitere Blogbeiträge

Person die den J4P Digi-Check am Laptop ausfüllt
Sep 20 2023

Mit dem J4P Digi-Check den digitalen Status Ihres Unternehmens feststellen

Wie gelingt der Weg in die digitale Zukunft und wo steht mein Unternehmen? Diese Frage stellen sich viele mittelständische Unternehmen (KMU) und stehen dabei vor der...
zwei Laptops von J4P die zur spende an Labdoo gesendet werden
Aug 30 2023

Unsere Laptop Spende an Labdoo

J4P und Labdoo: gemeinsam für Bildung Als Innovative Strategie- und Managementberatung sind die modernen Technologien und Ausstattung ein wesentlicher Bestandteil in...
Marketing Afterwork im J4P Kretiv-Loft
Jul 03 2023

Neues Format – Marketing Afterwork

Nachdem im letzten Jahr der IT Manager Afterwork erfolgreich ins Leben gerufen wurde, so wurde im Mai 2023 ein weiteres Format im Just 4 People Loft aus der Taufe...
IT Manager Afterwork - Employer Branding
Jul 03 2023

IT Manager Afterwork – Employer Branding

Der dritte IT Manager Afterwork im Just 4 People Loft stand am 28. Juni ganz unten dem Motto „Employer Branding – Talente finden und binden“. Karin Bacher von Karin...
Oberbürgermeister Peter Boch und Wirtschaftsförderer im J4P Kretiv-Loft zu besuch
Mrz 31 2023

Oberbürgermeister und Wirtschaftsförderung Pforzheim im J4P Loft

Im März durften wir den Pforzheimer Oberbürgermeister Peter Boch, Wirtschaftsförderer Markus Epple und den Direktor der WSP Oliver Reitz bei uns im Loft willkommen...
Just 4 People Team in J4P Team Hoodies
Mrz 08 2023

Just 4 People Team Hoodies

Jeder aus dem Just 4 People Team erhielt einen bestickten Hoodie im J4P Design. Die Kollegen tragen regelmäßig im Büro oder in Teams-Sessions das neue...
Neuer Raum für frische Ideen - Unser J4P Kreativ-Loft
Nov 21 2022

Neuer Raum für frische Ideen

Hatten die pandemiebedingten Homeoffice-Phasen in den letzten Jahren auch Vorteile? Wir meinen: Ja! Damit ist nicht unbedingt der nahtlose morgendliche Wechsel aus dem...
Just 4 People IT Visualisierung
Okt 19 2022

Warum digitale Geschäftsmodelle?

Spätestens mit Corona hat sich die Digitalisierung der Geschäftswelt in den Köpfen der Verantwortlichen durchgesetzt. Insofern verwundert es nicht, dass viele...
IT After Work im Just 4 People Kretiv-Loft
Sep 19 2022

IT After Work – Reger Austausch in unserem Kreativ Loft

Der IT After Work ist ein Erfahrungsaustausch von IT-lern, für IT-ler. Er wird organisiert von der Medien-IT-Initiative Pforzheim, zusammen mit dem Wirtschaft und...
Just 4 People Collaboration Tools in der Praxis Visualisierung
Jun 27 2022

Collaboration-Tools in der Praxis: Was hat sich für J4P im Alltag bewährt?

In den vergangenen zwei Jahren hat jeder Bürotätige mit Collaboration-Tools zu tun bekommen. Das Ziel dabei war klar: Trotz Pandemie den Betrieb irgendwie am Laufen...