Cyberangriffe, Naturkatastrophen, pandemiebedingte Betriebsausfälle – der IT-Betrieb ist steigenden und schwer kalkulierbaren Risiken ausgesetzt. Unabhängig von der Größe und Branche kann jedes Unternehmen betroffen sein. Um nach einem IT-Sicherheitsvorfall so schnell wie möglich wieder geschäftsbereit zu sein, brauchen Verantwortliche einen vollständigen Notfallplan. Wir haben mit Walter Bühner, Senior Consultant für IT-Security bei der DGC, über die Inhalte erfolgreicher Disaster Recovery gesprochen:
Was versteht man unter Disaster Recovery im Bereich Cyber Security?
Bezogen auf IT-Security bezeichnet der Begriff Disaster Recovery die Fähigkeit einer Organisation oder einer Person, auf die Folgen eines Vorfalls zu reagieren und den Zugriff zu der eigenen IT-Infrastruktur wiederzuerlangen – mit dem Ziel, die Funktionsfähigkeit der Systeme wiederherzustellen.
Kritische Events können Cyberangriffe, Naturkatastrophen wie das Hochwasser im Ahrtal oder Unterbrechungen der Geschäftstätigkeit sein, wie sie im Zuge der Covid-19-Pandemie auftraten. Am konkreten Beispiel einer Ransomware-Attacke beschreibt Disaster Recovery die Möglichkeiten eines Unternehmens, die von der Malware lahmgelegten Systeme möglichst schnell und sicher wiederherzustellen und funktionsfähig zu machen, damit der Geschäftsbetrieb aufgenommen werden kann.
Damit das gelingt, sollten geeignete Methoden und Maßnahmen in einem Disaster Recovery Plan (DRP) zusammengefasst werden. Dieser dokumentierte und strukturierte Plan zur Notfall-Wiederherstellung ist Teil der Business Continuity, die übergeordnet für die Aufrechterhaltung und Fortführung der Geschäfte im Krisenfall sorgen soll.
Disaster Recovery Plan: Was sollten Unternehmen beim Aufsetzen beachten?
Ein Disaster Recovery Plan, auch IT-Notfallwiederherstellungsstrategie genannt, enthält konkrete Handlungsempfehlungen, Zuständigkeiten und Kontaktinformationen, um Unternehmen nach einem Event zum schnellen und richtigen Handeln zu befähigen. Dabei gilt es fünf wichtige Grundpfeiler einzubeziehen:
1. Zusammenstellung des Disaster Recovery Teams
Wer im Vorfeld festlegt, welche Personen im Unternehmen mit der Notfallwiederherstellung befasst sein sollen, ist klar im Vorteil. Dadurch können Reaktionszeiten und Schäden an IT-Ressourcen minimiert werden. Das Disaster Recovery Team besteht idealerweise aus verschiedenen Experten und Entscheidungsträgern, um eine größtmögliche Effizienz zu gewährleisten. Ein Krisenmanager übernimmt die leitende Rolle für die Koordination und Problemlösung. Für eine Bewertung des Disaster Recovery Plans sorgt der Business Continuity-Experte: Dieser prüft die gewählten Maßnahmen, um sicherzustellen, dass die getroffenen Entscheidungen den Anforderungen aus dem Business Impact gerecht werden. Nicht fehlen dürfen zudem das IT-Infrastrukturteam und das Anwendungsteam: Während die einen Experten auf die Wiederherstellung von Infrastrukturkomponenten wie Server oder Speicher spezialisiert sind, sorgen die anderen dafür, dass Applikationen wiederhergestellt und eingebunden werden.
2. Risikoeinschätzung einzelner IT-Assets und Assetgruppen
Welche Hardware, Softwaresysteme und Informationen existieren im Unternehmen? Welchen konkreten Risiken sind diese Assets oder Assetgruppen ausgesetzt – und wie hoch ist die Eintrittswahrscheinlichkeit dieser Gefahrenszenarien? Im Rahmen eines strategischen IT-Risikomanagements sollten sich Verantwortliche einen Gesamtüberblick über sämtliche IT-Assets verschaffen und damit verbundene Risiken durchleuchten.
3. Identifizierung von geschäftskritischen Assets
In einem nächsten Schritt gilt es geschäftskritische Assets und damit jeweils verbundene Risiken für den Betrieb zu bestimmen. Diese variieren je nach Branche und Geschäftsmodell. Zwei Beispiele aus der Praxis: Bei einem großes Medienhaus, das Printmedien herausgibt, werden die Druckerpressen die geschäftskritischen Assets sein, auf die auch im Rahmen des Disaster Recovery Plans besonderes Augenmerk gelegt werden sollte. Bei einem Online-Reiseveranstalter oder einer Autovermietung hingegen sind es vor allem die Buchungssysteme, für die ein Notfallplan gebraucht wird.
4. Entwicklung einer Backup-Strategie
Nach einem Datenverlust und Datendiebstahl sind Backups von unbezahlbarem Wert, da auf der Basis einer aktuellen und vollständigen Datensicherung ein Großteil der unternehmenskritischen Daten wiederhergestellt werden kann. Daher sollten sämtliche Daten regelmäßig und gemäß einer festgelegten Backup-Strategie kopiert und an einem sicheren externen Speicherort abgelegt werden. Eine moderne Backup-Lösung bietet beispielweise die Cloud.
5. Festlegen des Test- und Optimierungszyklus
Unternehmen sollten den Test- und Optimierungszyklus ihrer Disaster Recovery festlegen. Hierbei geht es zunächst darum, zu bestimmen, in welchen zeitlichen Abständen der festgelegte Disaster Recovery Plan überprüft werden soll. Zudem sollte der Umgang mit konkreten Testergebnissen geklärt werden. Idealerweise werden die Ergebnisse zur Optimierung des Plans genutzt, um für den Ernstfall gewappnet zu sein.
RTO vs. RPO: Wie können Unternehmen die eigene RTO berechnen und Ausfallzeiten definieren
Wichtiger Bestandteil von Disaster Recovery ist Transparenz: Unternehmen sollten wissen, wie viel IT-Ausfallzeit und verlorene Datenmenge sie verkraften können, ohne irreparablen Schaden zu nehmen. Zur Berechnung werden die Recovery Time Objective (RTO) und das Recovery Point Objective (RPO) herangezogen. Der RTO-Wert gibt den maximalen Zeitraum vor, in dem eine Infrastruktur, ein System oder einzelne Prozesse ausfallen dürfen. Der RPO-Wert bezieht sich hingegen auf die Menge an Daten, die innerhalb eines für ein Unternehmen relevanten Zeitraums verlorengehen darf, ohne für signifikanten Schaden zu sorgen. Beide Kennzahlen sind unerlässlich für eine DRP-Planung – für eine erfolgreiche Ermittlung sollten Verantwortliche folgende Fakten und Unterschiede beachten:
Verwendungszweck kennen
Der RPO wird für die Entwicklung einer Backup-Strategie unter Beachtung des Datenverlustes verwendet, der während eines Events auftreten kann. Die RTO hingegen wird für die Planung der gesamten Disaster Recovery genutzt und hilft hier, eine Strategie zu finden.
Prioritäten
RTO-Werte sind fokussiert auf die Produktivität und den Einfluss eines Events auf Kunden des Unternehmens. Die Werte beschreiben unter anderem die Zeit, die ein System bzw. eine Applikation benötigt, um wieder einsatzfähig zu sein und welchen Einfluss ein Ausfall auf die Produktivität hat.
RPO-Werte beschäftigen sich dagegen nur mit dem Datenverlust, der auftreten kann – und mit der Frage, welchen Einfluss dieser Datenverlust auf Kundenbeziehungen und Vorgänge haben kann.
Kosten
Die Kosten von RTO sind generell höher als die Kosten von RPO, da RTO die komplette IT-Infrastruktur betrachtet und RPO lediglich das Element des Datenverlustes.
Automation
RPO-Werte sind generell einfacher zu automatisieren, da diese lediglich eine gute Backup-Planung mit sinnvollen Intervallen sowie eine Backup-Strategie für das Wiederherstellen voraussetzen. Bei RTO ist dies nicht oder nur zum Teil möglich, da hier sämtliche Infrastrukturen betrachtet werden.
Kalkulation
RPOs können durch die Beobachtung des Datenverbrauchs sowie der Planung eines Backupsystems und Intervalls errechnet werden. RTOs sind schwerer zu ermitteln, da hier viele verschiedene Faktoren wie z.B. der Tag, an dem ein Vorfall eintritt, Uhrzeit, Kapazitäten des Netzwerks etc. zusammenkommen.
Für eine realistische Kalkulation beider Werte sollten untersuchte Daten in kritische und nicht kritische Daten unterteilt werden, um hieraus die passende Priorität sowie das passende Ziel herauszufinden.
Wie gering ist die RTO (Recovery Time Objective) wirklich?
Die theoretisch geplante RTO gibt die maximal verkraftbare Zeitspanne vor, die ein System, eine Infrastruktur oder eine Anwendung nach einem Störfall ausfallen darf. Doch kann dieser Vorgabe auch in der Realität entsprochen werden? Wie viele Sekunden, Minuten und Stunden dauert es wirklich, bis die eigene IT-Infrastruktur wieder betriebsfähig ist – vielleicht länger als im DRP definiert? Um die tatsächliche Wiederherstellungszeit – die sogenannte Recovery time actual (RTA) – mit dem vorher festgelegten RTO-Wert zu vergleichen und daran anzunähern, ist es unerlässlich, regelmäßig Notfall-Trainings durchzuführen. Nur so lässt sich realistisch herausfinden, wie effektiv die einzelnen DRP-Komponenten arbeiten.
Wie kann ein Disaster Recovery Plan getestet werden und wie unterstützt die DGC dabei?
Ein Disaster Recovery Plan wird, wie schon kurz erwähnt, am besten im Rahmen von Notfall-Übungen getestet, bei denen ein eintretendes Event wie ein Ransomware-Angriff simuliert wird. Diese Übungen sollten mehrmals im Jahr erfolgen sowie die entsprechenden Zeiten getrackt werden, um mögliche Probleme und entsprechende Maßnahmen zu identifizieren. Das gelingt am besten in vertrauensvoller Zusammenarbeit mit einem erfahrenen Dienstleister.
Die IT-Sicherheitsexperten im Cyber Defense Operation Center (CDOC) der DGC unterstützen Unternehmen bei der Erarbeitung eines Information Security Management Systems (ISMS) und Disaster Recovery Plans und erarbeiten maßgeschneiderte Notfallübungen. Im Rahmen der (weitgehend) unangekündigten Übungen wird das definierte Vorgehen im Notfall (Incident Response) getestet und gemeinsam der Disaster Recovery Plan durchgegangen. So gelingt es, mögliches Optimierungspotenzial zu ermitteln – beispielsweise im Hinblick auf das Erreichen der RTO-Vergabe.
Sie stehen vor der Aufgabe, einen verlässlichen Disaster Recovery Plan zu entwickeln oder müssen Ihr IT-Sicherheitskonzept optimieren?
Unsere Experten beraten Sie gerne – kontaktieren Sie uns gleich.
