Kennzahlen zur effektiven Disaster Recovery Planung im Unternehmen

München, Starnberg, 02. Mai 2018 - Disaster-Recovery (DR) Metriken sollten individuell auf die Anforderungen eines Unternehmens zugeschnitten sein; Beispiele von StorageCraft...

Zum Hintergrund: Disaster-Recovery-Planungen sollten individuell auf die Anforderungen eines Unternehmens zugeschnitten sein und es existieren für jedes Ziel spezifische Faktoren, die berücksichtigt werden müssen. Kennzahlen spielen in vielen Bereichen eines Unternehmens eine wichtige Rolle und Disaster Recovery (DR) ist dabei keine Ausnahme. Wenn es um die DR-Planung geht, wird mit Kennzahlen jedoch nicht nur die Effektivität gemessen, sie helfen Unternehmen zudem Ziele zu erreichen, die für eine Wiederherstellung von Daten enorm wichtig sind. Es gibt hierzu laut dem Business Continuity Spezialisten StorageCraft drei primäre Kennzahlen, mit denen Unternehmen ihr Disaster-Recovery-Programm steuern können:

  1. Wiederherstellungszeit (Recovery Time Objective, RTO): Diese Kennzahl legt fest, wie schnell IT-Systeme wiederhergestellt werden müssen, bevor ein Unternehmen irreparablen Schaden erleidet. Die Widerherstellungszeit wird normalerweise in Minuten, Stunden oder Tagen gemessen. Je kürzer, desto besser.

  2. Wiederherstellungspunkt (Recovery Point Objective, RPO): Mit dieser Kennzahl wird die maximale Datenmenge, die in einem Katastrophenszenario verlorengehen kann, bestimmt. RPO wird ebenfalls in Zeiteinheiten gemessen und basiert auf der Häufigkeit, mit der Backups durchgeführt werden. Je kleiner, desto besser.

  3. Tatsächliche Wiederherstellungszeit (Recovery Time Actual, RTA): Hier ist die verifizierte Zeit in einer Kennzahl festgelegt, die für die Wiederherstellung von IT-Systemen nach einem Notfall benötigt wird. Der tatsächliche RTA lässt sich beispielsweise mit einer Notfall- oder Wiederherstellungsübung ermitteln. Die RTA kann einer Organisation zudem helfen, die RTO zu erfüllen oder festzustellen, ob zusätzliche Strategien oder Ressourcen erforderlich sind, um dieses Ziel zu erreichen. Je kürzer, desto besser.


zu 1) RTO

Standort und Ressourcenzuweisung spielen eine zentrale Rolle bei der Gestaltung von Recovery-Zielen. Ein Beispiel: In einem „Cold-Site“-Szenario soll eine Wiederherstellung durchgeführt werden. „Cold-Site“ bedeutet, dass an einem alternativen Standort Ersatzsysteme aufgebaut und betrieben werden können. Zur Verfügung steht eine Basisinfrastruktur, die es erfordert, dass Daten und IT-Personal in die Einrichtung übertragen werden, zusätzliche Lizenzen erworben werden und neue Software installiert wird, bevor die Wiederherstellung überhaupt beginnen kann. In diesem Szenario kann die RTO üblicherweise von ein paar Tagen bis zu einer Woche andauern, bis die Systeme vollständig wiederhergestellt sind.

Deutlich effizienter verhält sich ein „Hot-Site“-Szenario. Hier ist der Recovery-Standort eingerichtet und stets einsatzbereit. In den meisten Fällen kann einfach auf das neue System umgestellt werden, was je nach Größe des Backups in wenigen Minuten erledigt ist. Da die Daten jederzeit verfügbar sind, kann die IT-Abteilung sofort damit beginnen, die Systeme wieder in Betrieb zu nehmen. Beide Beispiele zeigen, wie die RTO auf Kosten der Ressourcen ermittelt wird und wie sich diese Ressourcen auf die Wiederherstellungszeit auswirken.

zu 2) RPO

RPO- und Backup-Strategie gehen Hand in Hand. Das Sichern von Daten erfordert Ressourcen in Form von Zeit, Technologie und Personal. Ein Unternehmen, das auf einen RPO nahe null abzielt, müsste kontinuierlich Daten an ein hochskalierbares Wiederherstellungsziel wie die Cloud senden. Ein solch hoch gestecktes Ziel erfordert viele Ressourcen, um die Kapazität und den Netzwerkverkehr zu bewältigen, ohne das Kerngeschäft zu behindern.

Eine allgemeine Faustregel ist es, RPO auf der Grundlage der Komplexität von Geschäftsfunktionen oder Anwendungen zu erstellen. Nimmt man als Beispiel einen SQL-Server: Die Geschwindigkeit und das Datenvolumen ändern sich in dieser dynamischen Umgebung ständig, so dass ein RPO von mindestens einer Stunde sicherstellen würde, dass eine Backup-Strategie die Daten genügend schützt, um die Wiederherstellungsziele zu erreichen. Dabei sollte der RPO am besten zusammen mit einer umfassenden Kosten-Nutzenanalyse ermittelt werden. Unabhängig davon, ob man zwei Stunden oder 24 Stunden einplant, ist es wichtig, die Kosten für den Datenverlust mit den Kosten für die Datensicherung abzuwägen.

zu 3) RTA

Disaster Recovery wird leicht zu einem komplexen Thema. Das Erreichen eines vorgegebenen Zieles erfordert umfangreiche Ressourcen, Tests und Optimierungen. Ein umfassender Reaktionsplan ist zwar sinnvoll, aber die tatsächlichen Ergebnisse können von mehreren Faktoren beeinflusst werden. Es ist daher nicht ungewöhnlich, dass RTO und RTA stark variieren. Wichtig ist, Erkenntnisse aus der tatsächlichen Wiederherstellungszeit zu gewinnen und diese zur weiteren Verbesserung der RTO- und DR-Fähigkeiten zu nutzen.

Fazit und ein Wort zu den Metriken...

In vielen Unternehmen trägt die IT-Abteilung die komplette Verantwortung für die Einrichtung und Verwaltung von Disaster-Recovery-Strategien und -Lösungen. Diese Last sollte die IT-Abteilung nach Ansicht von StorageCraft jedoch nicht alleine tragen. Ein wirksames und optimiertes DR-Programm erfordert die koordinierte Zusammenarbeit mehrerer Parteien. Das Management, die IT-Abteilung und weitere wichtigen Entscheidungsträger müssen an einem Tisch sitzen, um die Wiederherstellungsziele mit den Ergebnissen der Analysen und den individuellen Bedürfnissen des Unternehmens in Einklang zu bringen. Die Definition der Wiederherstellungskennzahlen vor einem Notfall ist entscheidend, um einen optimalen Reaktionsplan im Unternehmen zu etablieren.


Abb. 1: Disaster Recovery Bausteine für Unternehmen (Bildquelle: StorageCraft)