Disaster Recovery – Vorbereitung auf den Ernstfall

Erdbeben, Überschwemmungen, Pandemien oder Blitzeinschläge und vieles mehr - solche Ereignisse stellen aus Unternehmenssicht eine Katastrophe dar, denn sie können den ganzen Betrieb zum Stillstand bringen. Bei der Disaster Recovery, auch als Katastrophenwiederherstellung bezeichnet, geht es darum, auf solche Vorfälle vorbereitet zu sein und im Ernstfall den Schaden so gering wie möglich zu halten.

  • Disaster Recovery beschreibt den Prozess zur Aufrechterhaltung des Betriebs im Katastrophenfall und folgt dabei immer einem ähnlichen Ablauf.
  • Das Vorgehen im Katastrophenfall ist im Disaster Recovery Plan definiert.
  • Im Rahmen eines Business Impact Assessments definieren Sie zunächst die gravierendsten möglichen Desaster, die Ihr Unternehmen zum Erliegen bringen könnten, und definieren dann das jeweilige Vorgehen, sollten diese eintreten.
  • Auch in der ISO 27001 findet Disaster Recovery Erwähnung und ist somit spätestens vor einer Zertifizierung Pflicht.

Das bedeutet Disaster Recovery

Disaster Recovery beschreibt den gesamten Prozess zur Aufrechterhaltung bzw. dem Wiederaufbau des Betriebs im Katastrophenfall. Darunter fällt oft auch die Wiedergewinnung von verloren gegangenen Daten – bekannt als Data Recovery – doch Disaster Recovery umfasst ein weiteres Feld.

Zum Beispiel war die Coronapandemie eine Katastrophe für viele Unternehmen, auch wenn dabei keine Daten verloren gegangen sind. Vielmehr ging es darum, das Unternehmen auch bei durch Krankmeldungen stark geschrumpfter Belegschaft weiterzuführen. Disaster Recovery beschränkt sich also nicht auf IT-Systeme.

Die Verantwortung für Disaster Recovery liegt beim Disaster Recovery Board, i. d. R. bestehend aus…

Zu den gängigen Methoden der Disaster Recovery gehören:

  • Backups
  • Hot Standby (das redundante Vorhalten von Infrastruktur, die beim Ausfall von Komponenten automatisch umschaltet)
  • Cold Standby (Redundanz, die sich nicht automatisch umschaltet)
  • Vorgehaltenes Personal
  • Der Notfallkoffer
  • Ein Ersatzrechenzentrum (kann per LKW bereitgestellt werden)
  • Notstromaggregate

Die 6 Schritte der Disaster Recovery

Egal, welcher Katastrophenfall eintritt, der Ablauf zur Disaster Recovery folgt immer demselben groben Muster:

Schritt 1: Katastrophenerkennung durch die Verantwortlichen

Ein möglicher Katastrophenfall wird erkannt, an das Disaster Recovery Board herangetragen und von diesem als solcher eingestuft.

Schritt 2: Containment

Containment bedeutet die Eingrenzung der Katastrophe. Bei einem Hackerangriff könnte das Containment beispielsweise darin bestehen, die gesamte IT vom Netz zu nehmen.

Schritt 3: Sofortmaßnahmen

Zu den Sofortmaßnahmen gehört alles, was den Betrieb kurzfristig wiederherstellen kann, zum Beispiel die Datenwiederherstellung durch Backups.

Schritt 4: Langfristige Maßnahmen

Manche Katastrophenfälle wie die Coronapandemie dauern mehrere Monate an. Auch Ransomware-Angriffe können Unternehmen oder Verwaltungen wochenlang außer Gefecht setzen, wie im Fall des Landes Kärnten (Österreich), das über Wochen von Hackern lahmgelegt wurde. Bei den langfristigen Maßnahmen geht es darum, das Geschäft auch bei einer lang andauernden Katastrophenlage aufrechtzuerhalten. Zum Beispiel, indem kurzfristig neue Server hinzugekauft werden.

Schritt 5: Abschluss nach Bewältigung des Desasters

Irgendwann geht jede Katastrophe vorbei und der Normalbetrieb kann wieder aufgenommen werden. Der Abschluss eines Katastrophenfalls gleicht dem Aufräumen nach einer Party: Überblick verschaffen, Aufräumen, Reparieren.

Schritt 6: Lessons learned

In den „Lessons learned“ wird zunächst die Ursache für den Katastrophenfall gefunden. Viele Desaster – wie beispielsweise Naturkatastrophen – werden sich auch mit dem besten Risikomanagement nicht vermeiden lassen. Dann geht es in den Lessons learned darum herauszufinden, wie beim nächsten Mal noch besser reagiert werden könnte. Lässt das Desaster sich allerdings auf eine Lücke im Risikomanagement zurückführen, muss diese gefunden und geschlossen werden.

Aufbau eines Disaster Recovery Prozesses

Wenn Sie in Ihrem Unternehmen erstmalig einen Prozess zur Disaster Recovery aufbauen wollen, empfiehlt sich im Rahmen eines sogenannten Business Impact Assessments der Blick auf fünfzehn bis zwanzig fundamentale Risiken, die Ihr Unternehmen zum Erliegen bringen könnten. Dazu gehören womöglich Naturereignisse wie Erdbeben, Überschwemmungen oder Blitzeinschläge, aber auch IT-Vorfälle wie Ransomware-Attacken. Je nach Standort und Branche können auch politische Ereignisse wie ein Bürgerkrieg in die Liste mit aufgenommen werden.

Für die von Ihnen definierten Ereignisse sollten Sie einen Plan entwickeln, der es Ihnen ermöglicht, bis zur Aufhebung des Katastrophenfalls „durchzuhalten“, also Ihre Betriebsprozesse weiterlaufen zu lassen. Das ist Ihr Disaster Recovery Plan. 

Der Disaster Recovery Plan als Herzstück der Katastrophenvorbereitung

Mit dem Disaster Recovery Plan erstellen Sie das wichtigste Dokument im Umgang mit Katastrophen. Weil unklar ist, ob im Ernstfall eine Internetverbindung besteht, sollte der Disaster Recovery Plan immer sowohl digital als auch in Papierform vorliegen.

Der Disaster Recovery Plan besteht aus…

  • dem oben genannten Business Impact Assessment mit den wichtigsten 15-20 Szenarien, die sich schwerwiegend auf Ihr Unternehmen auswirken können,
  • einer Beschreibung der Infrastruktur und der bereits existierenden Maßnahmen zur Datenrettung (wie ein redundantes Rechenzentrum, eine Firewall, etc.),
  • dem allgemeinen Ablauf im Katastrophenfall,
  • und einer Beschreibung des speziellen Ablaufs für jedes einzelne Szenario, inkl. Ablaufdiagramm.

Außerdem sollten Sie die Kontaktdaten des Senior Managements mit hinzufügen. Der ausgedruckte Disaster Recovery Plan kommt dann in einen Notfallkoffer.

Notfallkoffer sollten physisch an verschiedenen Orten versteckt werden. Neben dem Disaster Recovery Plan gehören ein Telefon, eine Kreditkarte, ein Laptop sowie Notizblock und Kugelschreiber zur Standardausstattung.

Disaster Recovery in der ISO 27001

Die Umsetzung von Disaster Recovery ist für jedes Unternehmen eine gute Idee. Es minimiert die Wahrscheinlichkeit, dass ein Unternehmen durch ein unvorhergesehenes Ereignis handlungsunfähig wird und infolgedessen Insolvenz anmelden muss. Kurz: Disaster Recovery ist die Vorbereitung auf den Worst Case.

Und spätestens dann, wenn Sie Ihr Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 zertifizieren lassen wollen, kommen Sie nicht mehr daran vorbei, Disaster Recovery in Ihrem Unternehmen umzusetzen.

Im Anhang   der ISO 27001 finden sich konkrete Handlungsanweisungen zum Business Continuity Management (BCM), also dem Management der Aufrechterhaltung des Geschäftsbetriebs in – so heißt es im Text – „widrigen Situationen“. (In der neuen ISO 27001:2022 rutschen die Handlungsanweisungen zum BCM in Anhang A.5.30.)

Disaster Recovery Software erleichtert die Vorbereitung auf Katastrophenfälle

Disaster Recovery Software dokumentiert die Abhängigkeiten zwischen Information Assets und zeigt so Schwachstellen auf. Es ist zum Beispiel kritisch, wenn zu viele Mitarbeiter für ihre Arbeit auf denselben Server zugreifen müssen. Fällt dieser aus, liegt der Betrieb unter Umständen lahm.

Außerdem hilft Disaster Recovery Software bei der Fehlersuche nach einem Vorfall. Sie kann feststellen, welche Komponente ausgefallen ist. Solche Produkte sind allerdings recht kostspielig.

Fazit

Planung ist die halbe Miete. Und Disaster Recovery ist nichts anderes als die Planung für den Worst Case. Katastrophen können jedes Unternehmen und jede Organisation ohne Vorwarnung treffen. Um Kurzschlussreaktionen und Panik zu vermeiden, wird im Rahmen der Disaster Recovery schon vorab definiert, welche Schritte im Ernstfall zu durchlaufen sind.

Sie arbeiten gerade daran, Ihre Disaster Recovery aufzubauen und streben eine Zertifizierung nach ISO 27001 oder TISAX® an? Dann unterstützen wir Sie gerne.

 

Hier kostenloses Erstgespräch vereinbaren

 

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren

Privacy
InfoSec
Consent Management
General enquiry
Whistleblowing
Compliance
0-25
26-250
251-500
501-2000
2001-10000
>10000