DR Disaster Recovery.

Disaster Recovery ist die IT-fokussierte Teilmenge des BCM: Wiederherstellung von Infrastruktur, Anwendungen und Daten nach einer Betriebsunterbrechung. RPO, RTO und Runbooks sind hier angesiedelt. Ein DR-Plan, der nie vollständig getestet wurde, ist Fiktion. ISO 24762 deckte diesen Bereich früher ab; die aktuelle Praxis verweist auf ISO 22301 in Verbindung mit den operativen Runbooks.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyResilience & continuityAll entries

Die Einschätzung der Cyber Academy

Disaster Recovery ist die IT-fokussierte Teilmenge des BCM: Wiederherstellung von Infrastruktur, Anwendungen und Daten nach einer Betriebsunterbrechung. RPO, RTO und Runbooks sind hier angesiedelt. Ein DR-Plan, der nie vollständig getestet wurde, ist Fiktion. ISO 24762 deckte diesen Bereich früher ab; die aktuelle Praxis verweist auf ISO 22301 in Verbindung mit den operativen Runbooks.

Wo die Notfallwiederherstellung innerhalb der Kontinuität angesiedelt ist

Die Notfallwiederherstellung ist der technische Maschinenraum des Business Continuity Managements. Das Business Continuity Management fragt, wie die Organisation ihre kritischen Aktivitäten während einer Störung weiterhin erbringt, und umfasst dabei Menschen, Standorte, Lieferanten und Prozesse. Die Notfallwiederherstellung beantwortet eine engere Frage: Wie bringen wir die IT zurück. Server, Netzwerke, Anwendungen, Datenbanken und die Daten selbst. Wenn ein Rechenzentrum überflutet wird, ein Ransomware-Stamm die Produktion verschlüsselt oder eine Cloud-Region ausfällt, ist der DR-Plan das Dokument und das eingeübte Reaktionsvermögen, das die Systeme in einer bekannten Reihenfolge bis zu einem bekannten Zeitpunkt wieder zum Laufen bringt.

Diese Unterscheidung ist wichtig, weil die beiden oft verwechselt werden. Ein Kontinuitätsplan kann manuelle Behelfslösungen beschreiben, die einen Dienst am Leben halten, während die IT ausgefallen ist. Ein DR-Plan hat diesen Luxus nicht. Er wird ausschließlich danach beurteilt, ob die Systeme zurückkommen, wie schnell und wie viele Daten verloren gingen. Die Notfallwiederherstellung als Teilmenge der Kontinuität und nicht als Synonym zu behandeln, hält den Geltungsbereich ehrlich und verhindert, dass Teams annehmen, ein wiederhergestellter Server bedeute einen wiederhergestellten Geschäftsdienst.

RTO, RPO und das Runbook

Zwei Kennzahlen bestimmen jede DR-Entscheidung. Das Recovery Time Objective (RTO) ist die maximal tolerierbare Zeit, die ein System ausfallen darf, bevor die Auswirkung untragbar wird. Das Recovery Point Objective (RPO) ist die maximal tolerierbare Menge an Datenverlust, ausgedrückt als Zeitfenster, was in der Praxis vorgibt, wie häufig Sie replizieren oder sichern. Ein RTO von vier Stunden mit einem RPO von fünfzehn Minuten ist eine ganz andere Architektur, und ein ganz anderes Budget, als ein RTO bis zum nächsten Geschäftstag mit einer täglichen Sicherung. Diese Ziele sollten aus einer Business-Impact-Analyse stammen, nicht aus dem Komfortlevel des Infrastrukturteams.

  • Das RTO bestimmt die Wiederherstellungsarchitektur: Hot-Standby und Replikation für enge Ziele, Wiederherstellung aus dem Backup für entspanntere Ziele.
  • Das RPO bestimmt die Datenschutzstrategie: synchrone Replikation, Snapshots oder periodische Backups.
  • Das Runbook verwandelt diese Ziele in ein getestetes, schrittweises Wiederherstellungsverfahren, dem jemand unter Stress tatsächlich folgen kann.

Normen, Bedrohungen und aktuelle Praxis

Die Normenlandschaft hat sich verändert. ISO/IEC 24762 gab einst dedizierte Leitlinien für ICT-Notfallwiederherstellungsdienste, wurde jedoch zurückgezogen, und die aktuelle Praxis verweist zurück auf ISO 22301 für das Business-Continuity-Managementsystem, wobei ISO/IEC 27031 die ICT-Bereitschaft für die Geschäftskontinuität abdeckt.

In diesem Modell ist die Notfallwiederherstellung keine eigenständige Disziplin; sie ist die operative Schicht, die die Kontinuitätsstrategie umsetzt, geregelt durch dasselbe Managementsystem und dieselbe Risikobereitschaft. Regulierte Sektoren bringen ihren eigenen Druck mit: Das Resilienzregime des EU-Finanzsektors zum Beispiel erwartet von den Unternehmen den Nachweis, dass Wiederherstellung und Kontinuität für kritische Funktionen getestet und nicht bloß dokumentiert sind.

Die moderne Notfallwiederherstellung wird zudem durch die Bedrohungen geprägt, die sie abfangen muss. Insbesondere Ransomware hat das Drehbuch neu geschrieben, denn wenn Ihre Backups aus der Produktionsumgebung erreichbar und beschreibbar sind, verschlüsselt ein Angreifer auch diese. Fachleute bevorzugen heute unveränderliche und isolierte Backups, segmentierte Wiederherstellungsumgebungen und Clean-Room-Neuaufbauten, damit die Wiederherstellung nicht einfach erneut infiziert.

Cloud und Infrastructure-as-Code haben manche Wiederherstellung schneller automatisierbar gemacht, sie führen jedoch eigene Single Points of Failure auf Ebene der Region, des Kontos und der Identität ein. Die Disziplin ist dieselbe wie eh und je: Kennen Sie Ihre Ziele, schützen Sie Ihre Daten, damit sie den Notfall überstehen, schreiben Sie ein Runbook, dem jemand folgen kann, und weisen Sie nach, dass es funktioniert, bevor Sie es brauchen.

Frequently asked questions

01Was ist der Unterschied zwischen Notfallwiederherstellung und Business Continuity?

Business Continuity ist die umfassende Disziplin, kritische Geschäftsaktivitäten während einer Störung am Laufen zu halten, und umfasst Menschen, Prozesse, Standorte und Lieferanten. Die Notfallwiederherstellung ist die IT-fokussierte Teilmenge: das Wiederherstellen von Infrastruktur, Anwendungen und Daten. Die Notfallwiederherstellung liefert den technischen Teil der Kontinuitätsstrategie.

02Was ist der Unterschied zwischen RTO und RPO?

Das RTO gibt an, wie lange ein System ausfallen darf, bevor die Auswirkung untragbar ist, und bestimmt damit die Wiederherstellungsgeschwindigkeit. Das RPO gibt an, wie viele Daten Sie sich zu verlieren leisten können, gemessen als Zeitfenster, und bestimmt damit, wie oft Sie replizieren oder sichern.

03Ist ISO 24762 weiterhin die Referenz für die Notfallwiederherstellung?

Nein. ISO/IEC 24762 wurde zurückgezogen. Die aktuelle Praxis verankert die Notfallwiederherstellung in ISO 22301 für das Kontinuitätsmanagementsystem und in ISO/IEC 27031 für die ICT-Bereitschaft, wobei die Notfallwiederherstellung als darunterliegende operative Schicht angesiedelt ist.

04Wie oft sollte ein DR-Plan getestet werden?

Testen Sie in regelmäßigem Rhythmus und nach jeder wesentlichen Änderung an Systemen oder Architektur. Kombinieren Sie vollständige Wiederherstellungsübungen mit Tabletop-Durchläufen des Entscheidungsflusses und dokumentieren Sie die Lücken, die jeder Test aufdeckt, damit der Plan sich weiter verbessert.

05Warum verändern Ransomware-Angriffe die Notfallwiederherstellung?

Weil aus der Produktion erreichbare Backups zusammen mit ihr verschlüsselt werden können, was die Wiederherstellung zunichtemacht. Die Notfallwiederherstellung gegen Ransomware stützt sich auf unveränderliche, isolierte Backups und saubere Wiederherstellungsumgebungen, damit die Wiederherstellung die Schadsoftware nicht erneut einschleppt.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.