Go to Top

Wie man einen Disaster Recovery Plan für ein KMU schreibt (mit kostenloser Vorlage)

Disaster Recovery Plan

Egal, wie groß oder klein Ihr Unternehmen ist, wahrscheinlich sind Sie stark von einer funktionierenden IT abhängig, damit das Geschäft problemlos läuft. Und jedes IT-System, egal ob es sich um ein mobiles Gerät, einen E-Mail-Server oder eine Cloud-basierte Anwendung handelt, ist störanfällig.

Dies ist eine zunehmend große Herausforderung für Unternehmen. Laut einer Studie von EMC von Dezember 2014 kosten Datenverlust und Ausfallzeiten 1, 7 Billionen US Dollar im Jahr. Darüber hinaus zeigt ein Bericht des Ponemon Institute und Emerson Network Power von 2013, dass die durchschnittlichen Ausfallzeiten pro Minute bei einem Rechenzentrum bei erstaunlichen $ 7.900,- liegen. In der heutigen – von Daten abhängigen – Welt könnte ein Versagen zur schnellen Wiederherstellung der IT-Funktionsfähigkeit dazu führen, dass das Unternehmen ernsthaft gefährdet wird.

Die Praxis, wie man sich am besten auf Ausfallzeiten vorbereiten kann, und welche die notwendigen Schritte sind, um eine rasche Rückkehr zur Normalität zu gewährleisten, wird als Disaster Recovery (DR) Planung bezeichnet. Leider ist das Erstellen eines effektiven DR Plans keine einfache Angelegenheit, besonders dann, wenn es sich um ein kleines Unternehmen handelt und wenig Zeit für diese Aufgabe zur Verfügung steht. Um einen guten Plan zu entwerfen benötigt man Zeit, Wissen und Erfahrung, und auch den Return on Investment (ROI) zu messen kann dabei schwierig werden.

Zum Glück steht Hilfe zur Verfügung. Eine schnelle Google-Suche sollte eine Reihe von Quellen für Unternehmen für einen DR Planungsprozess offenlegen, einschließlich DR-Plan-Vorlagen, die ein breites Spektrum bezüglich Länge und Komplexität abdecken. Darüber hinaus hat Kroll Ontrack auch eine eigene Disaster Recovery Plan-Vorlage speziell für KMUs entwickelt.

Was ist ein Disaster Recovery Plan überhaupt?

Ein DR-Plan besteht aus den Richtlinien und Verfahren, denen eine bestimmte Einheit – in Ihrem Fall Ihr Unternehmen – folgen müssen, wenn die IT-Services gestört sind. Dies könnte z.B. aufgrund einer Naturkatastrophe (Wasser-, Brandschaden), passiert sein, als Folge technischen Versagens oder durch menschliche Faktoren wie versehentliches Fehlverhalten, Sabotage, Viren, Ransomware oder Cyber-Crime. Die Grundidee eines Disaster Recovery Plans ist, dass die betroffenen Geschäftsprozesse so schnell wie möglich wiederhergestellt werden, indem sie entweder sofort wieder zum Laufen gebracht werden oder auf ein Notfallsystem gewechselt wird.

Ihr Disaster Recovery Plan sollte folgende Aspekte berücksichtigen:

  • IT Services: Welche Geschäftsprozesse werden von welchen Systemen unterstützt? Wo liegen die Risiken?
  • Wer sind die Akteure, sowohl im Geschäfts- als auch im IT-Bereich, bei dem Disaster Recovery Prozess?
  • Lieferanten: Welche externen Lieferanten müssten Sie im Fall eines IT-Ausfalls kontaktieren? Ihren Datenrettungsdienstleister zum Beispiel.
  • Orte: Wo werden Sie arbeiten, wenn Ihr normaler Arbeitsplatz nicht mehr genutzt werden kann oder unzugänglich ist?
  • Training: Welche Schulungen und Dokumentationen werden für den Ernstfall zur Verfügung gestellt?

Im Fokus der meisten DR-Plänen stehen zwei wichtige KPIs (Key Perfomance Indikators/Leistungskennzahlen), die typischerweise individuell auf verschiedene IT-Dienstleistungen angewandt werden: Recovery Point Objective (RPO) und Recovery Time Objective (RTO). Lassen Sie sich von dem Fachjargon nicht verunsichern, denn die Begriffe beschreiben eigentlich ganz einfache Dinge:

  • RPO: Beschreibt den Zeitraum zwischen zwei Datensicherungen und somit das „Höchstalter“eines Backups, bevor es aufhört, nützlich zu sein. Wenn Sie sich z.B. leisten können, einen kompletten Tag an Daten aus Ihrem Systemzu verlieren, stellen Sie den RPO auf 24 Stunden ein.
  • RTO: Die maximale Zeitdauer, die vergehen darf, bis das Backup eingespielt wird und der normale Betrieb wieder aufgenommen werden kann.

Den perfekten Disaster Recovery Plan strukturieren

Selbst der DR Plan eines KMU kann ein umfangreiches und komplexes Dokument sein. Allerdings folgen die meisten einer ähnlichen Struktur und umfassen Definitionen, Pflichten, Schritt-für-Schritt-Reaktionsverfahren und Wartungsarbeiten. In unserer Vorlage haben wir die folgende Gliederung verwendet:

  • Einführung: Eine Zusammenfassung der Ziele des Plans einschließlich aller abgedeckten IT-Services sowie die RPOs und RTOs für die verschiedenen Dienste und Prüf- und Testaktivitäten.
  •  Rollen und Verantwortlichkeiten: Eine Liste der internen und externen Akteure, die in den einzelnen DR Prozessen eingebunden sind, komplett mit ihren Kontaktinformationen und einer Beschreibung ihrer Aufgaben.
  • Ereignisreaktion: Wann sollte der DR Plan ausgelöst werden und wie und wann sollten Mitarbeiter, Management, Partner und Kunden informiert werden?
  • DR Prozesse: Sobald der DR Plan ausgelöst wird, können die Akteure die entsprechenden Prozesse für jede der betroffenen IT-Dienstleistungen starten. In diesem Abschritt werden die Verfahren Schritt-für-Schritt beschrieben.
  • Anhänge: Eine Sammlung von anderen Listen, Formularen und Dokumenten, die für den DR Plan von Bedeutung sind – wie beispielsweise alternative Arbeitsorte, Versicherungspolicen und der Lagerung und Verteilung von DR Ressourcen.

Ihren Disaster Recovery Plan mit Leben füllen

Wie fast jedes Verfahrensdokument, ist auch ein DR-Plan nutzlos, wenn er die meiste Zeit seines Lebens irgendwo in einer Schublade liegt. Es macht keinen Sinn einen Plan zu entwerfen, wenn nicht ausreichende Mittel für die Schulung der beteiligten Mitarbeiter über den Sinn und Zweck dieses Vorhabens eingesetzt werden und ohne den Mitarbeitern zudem ihre eigenen Rollen und Verantwortlichkeiten für den Fall eines IT-Ausfalls zuzuweisen.

Den Plan stets auf dem neusten Stand zu halten ist ebenfalls wichtig! Je mehr Zeit vergeht und Ihr Unternehmen wächst, desto wichtiger wird es, neue Systeme und IT-Dienstleistungen in Ihrem Plan zu integrieren. Achten Sie darauf alle betroffenen Akteure von den Änderungen und Ergänzungen zu informieren.

Schlussendlich ist absolut wichtig, dass Sie Ihren DR-Plan auch testen und wissen, ob Ihre RPO und RTO Leistungskennzahlen der Realität standhalten oder ob Ihre Verfahren für den Zweck überhaupt geeignet sind. Es kann verlockend sein, den DR Plan etappenweise zu testen, aber vernachlässigen Sie auf keinen Fall ihn auch von Zeit zu Zeit komplett zu prüfen. So können Sie schon im Vorfeld den Plan auf Herz und Nieren testen und eventuell auftretende Schwierigkeiten beim reibungslosen Ablauf aller notwendigen Prozesse, rechtzeitig beheben.

 

Laden Sie sich hier die kostenlose Disaster Recovery Plan Vorlage herunter…

Bildnachweis: Rainer Sturm/pixelio.de