Was heute bei einer IT-Katastrophe gilt

An der IT hängt mehr und mehr das Schicksal der Betriebe, je mehr Geschäftsmodelle digitalisiert werden. Bedeutet aber auch, dass ein Unternehmen nahezu vernichtet werden kann, wenn der Katastrophenfall wie etwa ein Hacker-Angriff eintritt. Daher setzen die meisten auf Backup- und Desaster Recovery-Lösungen als Bestandteil einer Security-Strategie.

Als Katastrophenfall werden aber nicht nur Cyberangriffe gewertet, sondern auch Naturgewalten wie Überschwemmungen, Brände oder Erdbeben. Egal wie, das Geschäft muss weiterlaufen, und zwar schnellstmöglich, denn jede verlorene Minute bedeutet verlorener Umsatz.

Im Rahmen der Desaster Recovery (Wiederherstellung nach einer Katastrophe), werfen die Experten mittlerweile mit vielen – den meisten Menschen noch unbekannten – Begriffen um sich. Zunächst einmal nutzen fast alle Unternehmen ein Backup nach der 3-2-1-Regel. Das bedeutet, sie haben drei Sicherungskopien auf zwei verschiedenen Medien und an zusätzlich einem externen Ort.

Einfach geht nicht, das Thema ist komplex

Andere haben darüber hinaus kostspielige Strategien, um den Geschäftsbetrieb aufrechtzuerhalten (Business Continuity) und die IT-Systeme besonders widerstandsfähig zu machen (IT-Resilienz). Entscheidend ist für die Unternehmen erstens die Kennzahl RPO (Recovery Point Objective). Mit ihr wird ausgedrückt, wie viele Daten zur Not verloren gehen können. RPO ist also der Zeitraum, der zwischen zwei Datensicherungen liegt.

Zweitens geht es um die Kennzahl RTO (Recovery Time Objective). Sie legt fest, wie viel Zeit nach einer Katastrophe vergehen darf, bis die Systeme wieder in Betrieb genommen werden müssen. Einige Firmen können an dieser Stelle Wochen aushalten, bei anderen darf der Betrieb keine Sekunde ausfallen.

Eins ist sicher: Die Dynamik in diesem Bereich ist groß. Früher habe die Installation eines Backup-Konzepts bis zu sieben Arbeitstage gebraucht, heute gehe das in ein bis zwei Stunden. Das erzählt Jürgen Neureuther, Leiter der Business Unit Storage Solutions bei ADN. Er sagt auch, dass Kunden alles am liebsten so einfach haben wollen, als würden sie eine App installieren. Das allerdings sei nicht möglich – zu komplex ist das Thema.

Risikoanalyse fehlt in Firmen oft

Im Cloud-Zeitalter sind allein die Daten eines Unternehmens überall verteilt. Diese im Griff zu behalten, ist laut Neureuther die eigentliche Herausforderung. Darum spreche man auch nicht mehr so viel über „Backup and Recovery“, sondern von einem holistischen Datenmanagement.

Matthias Robbe, IT-Consultant bei Bechtle Münster, glaubt, dass es vor allem vier Herausforderungen gibt. Nummer 1 wäre die Organisation im Tagesbetrieb, bevor überhaupt ein Problem eintritt. Die Schwierigkeit sei, dass viele Unternehmen weder RPO noch RTO festlegen. Aus diesen bedeutenden Kennzahlen würden sich aber die Anforderungen an das Backup und die Recovery ergeben.

Dazu hin würde es bei vielen an einer Risikoanalyse fehlen, in der die Infrastruktur kritisch herausgearbeitet wird, so Robbe. Auch auf nötige Trainings werde verzichtet.

Nummer 2 dreht sich um die Reaktionen auf einen Notfall. Man brauche ein ganzheitliches Notfallmanagement, doch das würde vielen Unternehmen fehlen. Prozesse sowie Zuständigkeiten seien intern und extern nicht definiert.

Glasfaser muss sein

Das Thema Offline-Backup ist laut Matthias Robbe Nummer 3. Wie kann das letzte, nicht beschädigte oder ausgespähte Backup gefunden und wiederhergestellt werden? Das ist die Frage an dieser Stelle.

Nummer 4 dreht sich um das Klassifizieren von Backup- und Wiederherstellungszeiten. Die beste Version wäre es, alle Maschinen innerhalb von 24 Stunden ohne Datenverlust wieder online zu stellen. Alles auf einmal wieder zu aktivieren, sei aber praktisch unmöglich, also müsse es klare Prioritäten geben.

Experten sehen zwei weitere Probleme: die Zeiten der Backup-Fenster und verfügbare Internet-Bandbreiten. Cloud-Sicherungen schön und gut, aber wenn nicht alle Standorte mit Glasfaser arbeiten können, bringt das nicht viel.

Verantwortung liegt beim Nutzer

Out-of-the-Cloud-Lösungen werden wohl die künftigen Hauptprodukte sein. Die althergebrachten Backup- und Archivierungslösungen bringen zwar im Moment Geld, weisen aber nur wenig Wachstumspotenzial auf. In diesem Zusammenhang spielt die Cloud-basierte Kommunikation – die besonders für das Homeoffice wichtig ist – eine immer größere Rolle. Warum: Weil die Verantwortung auch beim Nutzer liegt.

Das ist selbst bei Microsoft 365 so. Für den Schutz der Ransomware und für das Backup ist der Nutzer verantwortlich. Microsoft kümmert sich zwar um die Datensicherung, aber nicht alle Fälle sind abgedeckt. Wenn es etwa um gelöschte Daten geht, oder Mitarbeiter, die mit Absicht Daten löschen, ist Microsoft fein raus.

Generell gilt: Unternehmen, die sich entsprechend vorbereiten, können Notfälle und Krisen überstehen.

Stefan Lanz

Autor:
Stefan Lanz
Ich bin IT-Experte für Digitale Transformation, Daten- und IT-Sicherheit. Ich bin IT-Sicherheitsbeauftragter, IT-Sachverständiger, Datenschützer, Coach und Berater für Unternehmen seit 1995. Mehr zu mir finden Sie hier.