![[Zusammanhänge zwischen Disaster-Recovery-Plänen und Naturkatastrophen]](05-1-068-1.jpg)
Die Risiken von Naturkatastrophen schätzen deutsche Unternehmen besonders hoch ein.
Für den Ausfall ihres Rechenzentrums sind viele deutsche Unternehmen nach wie vor nicht optimal gerüstet, lautet die Quintessenz der Disaster-Recovery-Studie 2004, die das Marktforschungsunternehmen Dynamic Markets im Auftrag von Veritas Software durchgeführt hat. Insgesamt wurden hierzu im August 2004 in Deutschland, Australien, Benelux, China, Frankreich, Großbritannien, Indien, Italien, Japan, Nahost, Polen, Schweden, der Schweiz, Spanien, Südafrika und den USA 1 259 IT-Manager mit Verantwortung für den Disaster-Recovery-Plan in Unternehmen mit über 500 Mitarbeitern befragt.
Dabei zeigte sich: 69 % der befragten deutschen IT-Entscheider haben keinen integrierten Plan für Disaster Recovery und Business Continuity einsatzbereit in der Schublade liegen, obwohl eine Unterbrechung des IT-Betriebs für 95 % ernsthafte wirtschaftliche Folgen hätte. Als "Disaster" wird zudem oft nur der komplette Ausfall eines Standortes definiert. Tatsächlich könnte aber oft auch schon der Stillstand eines einzelnen Systems zu einem Desaster für das betroffene Unternehmen führen und einen langfristigen Produktionsstillstand und den Verlust essenzieller Geschäftsdaten verursachen.
Je besser ein Unternehmen auf einen gravierenden Ausfall der IT-Systeme vorbereitet ist, desto geringer ist die Gefahr schwerwiegender Folgen, wenn dennoch eine Katastrophe eintritt. 95 % der befragten IT-Manager in Deutschland gaben an, dass sie ohne Disaster-Recovery-Plan Katastrophen und Ausfällen schlicht ausgeliefert wären. Unter einer Disaster-Recovery-Strategie sollte man dabei die Planung sämtlicher Abläufe verstehen, mit denen der Betrieb nach einem Ausfall innerhalb einer definierten Zeitspanne wieder aufgenommen werden kann. Da der Schwellwert zum Katastrophenfall und die Maßnahmen zum Schutz vor seinen Folgen stark von Gegebenheiten im jeweiligen Unternehmen abhängen, müssen Disaster-Recovery-Strategien für jede Umgebung individuell entwickelt werden. Von der Projektierung bis zur Implementierung kann dies je nach Umfang 3–12 Monate dauern; bei sehr komplexen Umgebungen sind durchaus auch längere Zeiten einzuplanen.
Als die größten Bedrohungen wurden von 82 % Fehlfunktionen von Netzwerk, Soft- oder Hardware sowie von 78 % Naturkatastrophen genannt, gefolgt von Viren und Hacker-Angriffen (69 %) sowie Krieg und Terrorismus (60 %). Nicht alle Bedrohungen kommen jedoch von außen: Ausfälle aufgrund unabsichtlichen oder bösartigen Verhaltens von Mitarbeitern stuften 46 % der Befragten als bedrohlich ein.
Die "gefühlte Bedrohung" durch Naturkatastrophen lag dabei in Deutschland sieben Prozentpunkte über dem Wert für EMEA, der wiederum deutlich über dem weltweiten Bedrohungsindex für diese Kategorie liegt. Auch die Angaben zum Einfluss von derartigen Risiken auf die konkreten Notfallpläne sowie bezüglich einer Revision im Hinblick auf diese Risiken lagen in Deutschland über den internationalen Werten.
Die Risiken von Naturkatastrophen schätzen deutsche Unternehmen besonders hoch ein.
Dass solche Bedrohungen keine graue Theorie sind, zeigte sich darin, dass 45 % der befragten deutschen Unternehmen ihren Notfallplan in den vergangenen zwölf Monaten auch tatsächlich in die Praxis umsetzen mussten. Der häufigste Grund waren mit 26 % Hardware- oder Software-Störungen, gefolgt von Viren und Hacker-Angriffen (17 %). 14 % nannten Naturkatastrophen wie Brand oder Hochwasser als Ursache. Mit 7 % war unabsichtliches oder bösartiges Verhalten von Mitarbeitern ein weiterer nennenswerter Auslöser.
Dennoch zeigte insgesamt die Entwicklung ungeplanter Ausfallszeiten erfreuliche Verbesserungen: Während in der Studie 2003 im europäischen Raum noch 69 % der Teilnehmer "unplanned Downtime" gemeldet hatten, so war dies 2004 nur noch bei 29 % der befragten EMEA-Unternehmen der Fall. Auch in Deutschland besserte sich die Lage: 77 % Teilnehmern mit Ausfällen in 2003 stehen nurmehr nur noch 33 % Downtime-Betroffene im Jahr 2004 gegenüber.
Am Anfang jeder Disaster-Recovery-Planung steht die genaue Bestimmung des Bedarfs. Hier muss geprüft werden, wie lange ein Unternehmen im Notfall auf seine Systeme verzichten kann, ohne dauerhaft Schaden zu nehmen, und wie hoch der Datenverlust maximal sein darf. Das wiederum ist letztendlich ausschlaggebend für die Wahl der individuellen Disaster-Recovery-Lösung. So setzen Unternehmen, die Datenverluste "hundertprozentig" ausschließen müssen (etwa Banken und Finanzdienstleister) vornehmlich auf Techniken wie Mirroring und synchrone Replikation, die für eine konstante aktuelle Kopie des Datenbestandes sorgen.
Unternehmen mit weniger kritischen Anforderungen kommen mit klassischen Tape-Backups aus: Wird täglich gesichert, gehen höchstens die Änderungen der letzten Stunden vor einem Ausfall verloren, die bei überschaubarem Aufwand nachfassbar sind. Der Markt bietet ein breites Angebot an Technik für Datensicherung und Hochverfügbarkeit, die für jeden Bedarf das nötige Maß an Sicherheit liefert. Da in der Regel nicht alle Unternehmensdaten gleich wichtig für den Betrieb sind, kann es auch durchaus sinnvoll sein, unterschiedliche Lösungen für verschiedene Abteilungen oder Anwendungen einzusetzen.
So nutzen auch deutsche Unternehmen zahlreiche Techniken und Prozesse, um ihre Handlungsfähigkeit nach einem Desaster wieder herzustellen: Einfache Backup-Systeme sind in 95 % der befragten Unternehmen im Einsatz. Spezielle Software zur Wiederherstellung nutzen 37 %. 31 % sichern ihre Daten an einem zweiten Standort. 40 % haben ein dediziertes Disaster-Recovery-Team gebildet.
Auffällig riskant: 72 % heben ihren wertvollen Disaster-Recovery-Plan im Hauptrechenzentrum auf (67 % weltweit, 64 % EMEA). Dabei wäre es ihnen zu wünschen, dass sie eine Kopie für den Notfall an einem zweiten Standort haben – doch nur 30 % der antwortenden deutschen Unternehmen tun dies an einem zweiten Unternehmensstandort, sogar nur 11 % an einem "unabhängigen" Standort (Third Party). International ist die Bereitschaft zur Hinterlegung bei Dritten etwas größer: jeweils 18 % der Befragten lagern ihren Disaster-Recovery-Plan derart aus. Allerdings haben dafür weltweit betrachtet auch nur 26 % eine Kopie an einem zweiten Unternehmensstandort (EMEA: 28 %).
Auch nach Implementierung einer Disaster-Recovery-Lösung ist die Vorbereitung auf eine Katastrophe jedoch nie wirklich abgeschlossen. Es bleibt immer wieder zu testen, ob die Strategie noch zu den aktuellen Anforderungen des Unternehmens passt, ob alle Konfigurationen an einem sekundären Standort ebenfalls aktuell sind und die Dokumentation auf dem neuesten Stand ist. Auch die Abläufe sollten immer wieder geübt werden, und zwar nicht nur von den Mitarbeitern der IT-Abteilung, sondern von allen Mitgliedern des Disaster-Recovery-Teams oder sogar mit der gesamten Belegschaft eines Unternehmens.
Auch wenn das Bewusstsein für die Notwendigkeit eines Notfallplans in deutschen Unternehmen vorhanden ist (s. u.), erwiesen sich die Ergebnisse für Tests und Aktualitäts-Prüfungen im Vergleich zu 2003 als stagnierend beziehungsweise leicht rückläufig: Monatliche Tests finden weiterhin bei 12 % der Befragten statt, während der Anteil von Befragten mit monatlicher Überprüfung der Pläne von 10 % auf 8 % sank. Ein jährlicher Test erfolgt unverändert bei 36 % der Befragten, während die jährliche Überprüfung von 35 % auf 33 % abnahm. Laut Disaster-Recovery-Studie 2003 überarbeiteten 23 % der Befragten ihren Plan seltener als einmal im Jahr oder überhaupt nicht – 2004 stieg diese Zahl auf 40 %. Hauptgründe der mangelnden Tests sind laut der Studie Personalressourcen (50 %), Beeinträchtigungen der laufenden Arbeit (33 %) und Kosten (32 %).
Ein Ausfall zieht eine Reihe Konsequenzen nach sich wie finanzielle Verluste, Verlust bestehender und potenzieller Kunden, außerplanmäßige Kosten für Administrationspersonal, Regressforderungen von Kunden und Geschäftspartnern oder negative Wahrnehmung in der Öffentlichkeit. Deutsche IT-Entscheider sind sich dieser wirtschaftlichen Folgeschäden nur teilweise bewusst: Während 70 % Produktivitätseinbußen befürchten, rechnen 31 % der Befragten mit verschlechterten Kundenbeziehungen und 30 % mit Umsatz- und Gewinnverlusten. Dennoch nimmt der Disaster-Recovery-Plan einen immer höheren Stellenwert im Unternehmen ein. Obwohl der Entscheidungsfindungsprozess in 60 % der Fälle in der Verantwortung eines IT-Managers liegt, ist die Vorstandsebene im Vergleich zur vorangegangenen Studie heute mehr als doppelt so häufig involviert: Statt nur in 11 % der befragten Unternehmen (2003) war der Disaster-Recovery-Plan 2004 bei immerhin 26 % der Teilnehmer eine Angelegenheit des Vorstands.
![[Hauptursache für mangelnde Planung: man ist schlichtweg noch nicht dazu gekommen]](05-1-068-2.jpg)
Gründe für mangelnde Disaster-Recovery-Planung (Auswahl)
Disaster Recovery ist schließlich, wie die bereits aufgeführten Folgen eines Ausfalls zeigen, nicht nur ein Thema für die IT-Administration. Unternehmensbereiche wie Rechtsabteilung, Controlling, Personalabteilung, Produktion und Vertrieb können wichtige Informationen darüber liefern, wie sich ein Systemausfall auswirkt, welche Daten für welche Geschäftsprozesse notwendig sind und welche gesetzlichen Bestimmungen oder Service Level Agreements (SLAs) mit Kunden und Partnern bei der Planung zu berücksichtigen sind. Darüber hinaus wird die Wichtigkeit einer umfassenden Disaster-Recovery-Strategie so für alle Entscheider im Unternehmen deutlich. Die Gelder für die nötigen Disaster-Recovery-Lösungen werden dadurch oft leichter bewilligt.
Das Erstellen eines Notfallplans und der Einsatz von Backup-Techniken sind wichtig, tragen aber nur teilweise zum Schutz des Unternehmens bei, sobald unerwartete Ereignisse auftreten. Da sich nur bekannte und vorhersehbare Störungen effizient und schnell beheben lassen, sind regelmäßige Tests und Überprüfungen ein absolutes Muss. Rechenzentren sind dynamische, veränderliche Umgebungen – ohne regelmäßige Anpassung werden Disaster-Recovery-Pläne mit der Zeit ineffektiv.
Frank Bunn ist Senior Solutions Marketing Manager bei Veritas.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#1, Seite 68
| 