IT-DRP: Wie können Sie die Erholung Ihres Unternehmens nach einer Cyberkrise am besten planen?

Heutzutage sind die Herausforderungen der Cybersicherheit so wichtig, dass Sie auch die Möglichkeit in Betracht ziehen müssen, dass Ihre Schutzmaßnahmen nicht ausreichen. Für ein Unternehmen geht die IT-Sicherheit auch davon aus, dass eine IT-Infrastruktur aus irgendeinem Grund heruntergefahren wird — sei es ein Systemausfall, eine Malware oder ein Cyberangriff.

Eine IT Notfallwiederherstellungsplan (DRP) beschreibt die Verfahren und technologischen Ressourcen, die Ihr Unternehmen einsetzen müsste (Risikomanagement), um im Falle einer solchen Katastrophe ihre strategischen Aktivitäten wieder aufzunehmen. In diesem Artikel werden wir uns ein DRP und die üblichen Phasen seiner Umsetzung ansehen.

Melissa Parsons

An article from

Melissa Parsons
Technischer Redakteurin
Published
January 11, 2023
Updated
January 11, 2023
Reading time
minutes
IT-DRP-Cybersicherheit - C-Risk

Was ist ein Disaster Recovery Plan?

Ein Disaster Recovery Plan (DRP) ermöglicht es Unternehmen, nach einer Katastrophe den normalen Betrieb wieder aufzunehmen. In einem IT-Kontext beinhaltet diese Katastrophe in der Regel eine Verletzung der Cybersicherheit: Verlust, Diebstahl oder Verschwinden sensibler Daten; ein Virus, ein Cyberangriff oder Cyberkriminalität.

Definition des Konjunkturplans

Im IT-Kontext zielt das DRP darauf ab, mehrere Unterziele zu erreichen, die zum Hauptziel führen: der Sicherung der Nachhaltigkeit Ihrer Unternehmensaktivitäten. Diese Unterziele sind:

  • Antizipation und Abschwächung der Auswirkungen einer Cyberkrise;
  • Gewährleistung des Schutzes sensibler digitaler Daten im Katastrophenfall;
  • Gewährleistung der Kontinuität der Aktivitäten der Struktur angesichts einer IT-Krise;
  • Einrichtung eines Backup-Systems zur Wiederaufnahme kritischer IT-Anwendungen.

Ein DRP ist ein Dokument, das alle Prozesse beschreibt, die Ihr Unternehmen zur Wartung oder zum Wiederaufbau seiner IT-Infrastruktur nach einer Cyberkrise einrichten muss. Es gibt an, wie und wann auf das Backup-System umgestellt werden muss, wie im Krisenmanagementplan beschrieben, und es gibt an, welches Backup-System aktiviert werden muss, um die Sicherheit vertraulicher Daten zu gewährleisten.

Darüber hinaus legt der Disaster Recovery Plan fest, wie lange es sich die einzelnen Abteilungen leisten können, gelähmt zu sein — auch bekannt als Wiederherstellungszeitziel (RTO) — und schließlich den maximal akzeptablen Datenverlust, oder Wiederherstellungspunktziel (RPO).

Unterschiede zwischen DRP und BCP

Die Anwendungsbereiche von Pläne zur Geschäftskontinuität (BCPs) und DRPs haben sich im Laufe der Zeit weiterentwickelt. Ursprünglich war der BCP musste die Auswirkungen einer Katastrophe auf ein Unternehmen vorhersehen und Maßnahmen ergreifen, um die negativen Folgen von Krisen abzumildern, während das DRP wie das BCP funktionierte, sich jedoch nur mit IT-Problemen befasste.

Im Laufe der Zeit haben sowohl der Business Continuity Plan als auch der Disaster Recovery Plan genauere Bedeutungen angenommen. Jeder hat jetzt eine bestimmte Rolle in Bezug auf das IT-System eines Unternehmens.

Was ist ein BCP im aktuellen Klima?

Das BCP besteht nun aus einem Portfolio von Verfahren und Ressourcen, die dazu beitragen, die Kontinuität der Aktivitäten der Organisation zu gewährleisten, falls ein Problem auftreten sollte. Sein Ziel ist es vor allem, Unterbrechungen der IT-Systeme zu vermeiden und Betriebsstörungen verhindern. Es muss daher so gebaut sein, dass alle IT-Strukturen eines Unternehmens verfügbar bleiben: Netzwerke, Server und Rechenzentren gleichermaßen.

Aus rein IT-Sicht wird zwischen dem Plan für die betriebliche Kontinuität, der das gesamte Unternehmen umfasst, und dem IT-Kontinuitätsplan unterschieden, der speziell auf die Verfahren und Ressourcen abzielt, die eingerichtet werden müssen, um den kontinuierlichen Betrieb der Informationssysteme sicherzustellen.

Wie sieht ein IT-DRP heute aus?

Ein Disaster Recovery Plan konzentriert sich darauf, sicherzustellen, dass die Aktivitäten eines Unternehmens wieder betriebsbereit sind. In der IT bedeutet dies, wichtige Infrastrukturen zu sichern. Der Plan kann aktiviert werden, wenn die Informationssysteme offensichtlich abgeschaltet werden, und Unternehmen können den Wiederaufbau der IT-Infrastrukturen nach einer Katastrophe und den Neustart der wichtigsten Anwendungen für den Unternehmensbetrieb sicherstellen.

Ihr Ziel ist es, eine zufriedenstellende Wiederaufnahme der Tätigkeit so bald wie möglich zu gewährleisten, um reduzieren Sie die finanziellen Folgen im Zusammenhang mit einer Cyberkrise. Deshalb muss es sich auf Vorsicht verlassen Risikokartierung um angemessene Backup-IT-Systeme bereitzustellen und Datenredundanz sicherzustellen. Dabei handelt es sich um die Praxis, dieselben Daten auf verschiedenen Geräten (Telefon, Computer, externe Festplatte, digitales Laufwerk oder Tablet) zu speichern.

DRP compensates for financial consequences of IT shutdown

Der IT-Notfallwiederherstellungsplan in der CIO-Terminologie

Zusammenfassend lässt sich sagen, Chief Information Officers (CIOs) sind generell der Ansicht, dass das BCP Maßnahmen zur Sicherstellung der Kontinuität der Aktivitäten festlegt, während im DRP Maßnahmen aufgeführt sind, die die Wiederaufnahme der Aktivitäten nach einer IT-Abschaltung gewährleisten. Schließlich wird der Disaster Recovery Plan aktiviert, wenn die Infrastruktur nicht verfügbar ist.

Im Falle einer Cyberangriff, es gibt im Allgemeinen zwei Ausführungsszenarien für das DRP:

  • Ihr Unternehmen war auf IT-Krisen vorbereitet und verfügte über ein BCP, um die Auswirkungen der Katastrophe abzumildern. In diesem Fall kann Ihr Unternehmen die RTO- und RPO-Werte auf ein Minimum reduzieren und einen „Warmstart“ der Anwendungen durchführen. Dabei handelt es sich um einen schnellen Neustart der Aktivitäten auf einem oder mehreren Backup-Servern, die alle auf Datensicherungen vor dem Notfall basieren.
  • Ihre Struktur verfügte weder über ein BCP noch über die technischen Mittel zur Ausführung eines effektiven Krisenmanagementplan. In diesem Fall ist ein „Kaltstart“ erforderlich, ein Vorgang, der nach der Katastrophe mehrere Stunden oder Tage andauern kann. In diesem Szenario basiert die Wiederherstellung auf den neuesten Backups des Unternehmens. Mit der zunehmenden Nutzung von Cloud-Datenspeichern wird dieses kalte Verfahren jedoch immer seltener.

Wann sollten Sie Ihre IT-Wiederherstellung einrichten?

Definitionsgemäß wird das DRP nur aktiviert, wenn das Unternehmen seine IT-Aktivitäten wirklich einstellt. Wenn Sie möchten, dass dieser IT-Wiederherstellungsplan gut funktioniert und Sie Ihre Aktivitäten schnell wieder aufnehmen können, müssen Sie ihn lange vor dem tatsächlichen Ausbruch einer Cyberkrise durchdenken. Als allgemeine Richtlinie sollten Sie für die Planung durchschnittlich drei Monate einplanen, obwohl Sie je nach Größe Ihrer Struktur möglicherweise mehr oder weniger Zeit benötigen.

Sobald der Cyberangriff, der Computerausfall oder das menschliche Versagen aufgezeichnet wurden und die Schäden an Ihrer Infrastruktur beginnen, sollte die Ausführung Ihres DRP dazu beitragen, Ihre betrieblichen Ausfallzeiten zu minimieren. Je länger die Erholung dauert, desto mehr sind die Finanzergebnisse des Unternehmens gefährdet.

Erhöhen Sie die Cyber-Resilienz Ihres Unternehmens mit der Quantifizierung von Cyberrisiken

Kontaktieren Sie C-Risk für weitere Informationen zu unseren Lösungen zur Quantifizierung von Cyberrisiken.

Vor- und Nachteile des DRP

Die Hauptaufgabe des Disaster Recovery Plans ist um einen schnellen Wiederanlauf Ihres Betriebs zu gewährleisten. Jede zu lange Betriebsunterbrechung wirkt sich auf Ihren Ruf und infolgedessen auf Ihren finanziellen Wert aus. Wenn ein Einzelfall die Erfüllung Ihrer regulatorischen und vertraglichen Verpflichtungen gefährdet, kann Ihr Unternehmen zudem schädliche rechtliche Konsequenzen haben.

Dennoch ist die Einrichtung eines DRP mit Kosten verbunden, obwohl dies als Investition betrachtet werden könnte, die sich amortisiert, wenn man bedenkt, dass sie dazu beiträgt, schädliche Folgen im Falle eines Cyberangriffs oder eines IT-Ausfalls zu vermeiden:

  • Änderung oder Verschwinden aller oder eines Teils sensibler Daten;
  • Umsatzverlust aufgrund der Abschaltung von IT-Systemen;
  • geschädigter Ruf bei Kunden, Partnern und Investoren;
  • rechtliche Risiken.

Ein DRP stützt sich auf ein Computernetzwerk eines Drittanbieters und Datensicherungen, um einen zufriedenstellenden IT-Betrieb zu gewährleisten. Wie bei einem BCP können die Vorteile eines Disaster Recovery Plans nur genutzt werden, wenn bewährte Verfahren eingehalten werden. Verwenden Cyber-Risiko Quantifizierungsmethoden (CRQ), können Sie die finanziellen Risiken, denen Ihr Unternehmen ausgesetzt ist, besser verstehen. Dies ist ein Plan, der durchdacht und regelmäßig mit quantitativen Methoden getestet werden sollte. Seine Entwicklung erfordert Zeit und ein erhebliches Budget, um wirksam zu sein.

Guarantee a recovery of critical activity

Wie entwickelt man ein DRP

Die Umsetzung eines IT Business Recovery Plans kann in mehrere Phasen unterteilt werden. Im Allgemeinen geht es vor allem darum, Spezifikationshinweise zu verfassen, die die kritischen IT-Anwendungen für Ihre Struktur festlegen. Diese Anwendungen sind diejenigen, für die im Notfall ein „Backup“ erforderlich ist, falls die IT heruntergefahren wird.

Es geht auch darum, herauszufinden, welches Backup-System Sie einrichten müssen und für welches Datensicherungsmodell Sie sich entscheiden. Ihr DRP muss auch regelmäßig aktualisierte Maßnahmen vorsehen.

1/Sieh dir die offiziellen Empfehlungen zur Erholung der Aktivität an

Abhängig von Ihrem Tätigkeitsbereich kann es Vorschriften und Normen die die Wiederaufnahme der Aktivität regeln, einschließlich der Methoden zur Durchführung Ihres DRP. Die Norm ISO 22301 organisiert somit das Geschäftskontinuitätsmanagement für eine bestimmte Anzahl von Bereichen.

Der Banken- und Finanzsektor ist von dieser Art von regulatorischer Verpflichtung besonders betroffen. Der Finanzaufsichtsbehörde (FCA) besagt beispielsweise, dass zugelassene Unternehmen, die sich auf Portfoliomanagement spezialisiert haben, über ein DRP verfügen müssen.

2/Definieren Sie die Verantwortlichkeiten für die Durchführung des Plans

Ein IT-Daster-Recovery-Plan nutzt natürlich die Fähigkeiten Ihres CIO und der Geschäftsleitung. Allgemeiner gesagt muss jede Abteilung an der Entwicklung mitwirken, um festzustellen, welche IT-Anwendungen für das reibungslose Funktionieren des Unternehmens unerlässlich sind.

Um das DRP reibungslos und kohärent zu entwickeln, kann es auch nützlich sein, eine Person zu benennen, die für die gesamte Umsetzung verantwortlich ist. Diese Person, in der Regel aus der IT-Abteilung, hat die Aufgabe, nach Rücksprache mit den anderen Abteilungen zu beurteilen, welche Infrastrukturen im Falle einer IT-Abschaltung vorrangig gesichert werden müssen.

Appoint a person in charge of the Business Continuity Plan

3/Prüfen Sie die IT-Systeme vor jeder Cyberkrise

Um eine Liste der wichtigsten IT-Tools für eine effektive Wiederherstellung der Aktivität zu erstellen, ist es wichtig, sich auf die folgenden Elemente zu konzentrieren:

  • Anforderungen in Bezug auf das Netzwerk und insbesondere die Internetgeschwindigkeit;
  • verfügbare Server;
  • Softwareanwendungen, die täglich verwendet werden;
  • automatische Backups, insbesondere deren Häufigkeit und Lautstärke.

4/Kritische IT-Aktivitäten einstufen

Der nächste Schritt besteht darin, die Anträge nach ihrem Kritikalitätsgrad für das reibungslose Funktionieren des Unternehmens zu organisieren. Im täglichen Leben Ihres Unternehmens sind einige Aktivitäten weniger widerstandsfähig als andere gegenüber unerwarteten IT-Ausfällen.

Sie müssen diese Aktivitäten und die entsprechenden IT-Anwendungen von den kritischsten bis zu den am wenigsten kritischen einstufen, um den effektiven Umfang Ihres Disaster Recovery-Plans zu definieren. Sie sollten diese Kritikalität auch mit der vergleichen Risikowahrscheinlichkeit. Dies ist ein Standardansatz für das Risikomanagement und die Antizipation von Cybersicherheitsverletzungen.

Dieser Schritt beinhaltet auch Definition akzeptabler RTOs und RPOs für Ihr Unternehmen. Mit anderen Worten, es ist wichtig, die maximale Ausfallzeit anzugeben, die Ihre Anlage tolerieren kann, bevor sie wieder in Betrieb genommen wird, sowie den maximal tolerierbaren Zeitraum, in dem keine Daten aufgezeichnet werden. CIOs sind mit diesen Themen bestens vertraut, da sie in direktem Zusammenhang mit der Häufigkeit von Datensicherungen stehen.

5/Stellen Sie ein Budget für den Disaster Recovery Plan bereit

Die Planung und Aktivierung eines DRP erfordert erhebliche personelle und finanzielle Investitionen, trägt jedoch wiederum dazu bei, finanzielle Verluste zu vermeiden. Die Frage nach dem Budget, das für diesen Disaster Recovery Plan vorgesehen ist, ist jedoch umso wichtiger, als sie bestimmt, welche Art von Backup-Lösung Sie im Falle eines IT-Abschaltens bevorzugen sollten.

Um ein vernünftiges Budget zu erhalten, vergleichen Sie alle Ausgaben, die durch die Ausführung des DRP entstehen, mit denen, die mit einer Abschaltung des IT-Betriebs Ihres Unternehmens verbunden sind (siehe CRQ).

6/Geben Sie den genauen Umfang Ihrer Backup-IT-Lösung an

Nachdem Sie all diese vorläufigen Daten gesammelt haben, müssen Sie noch definieren, welche IT-Infrastruktur Ihre Backup-Anwendungen hosten soll. Viele Unternehmen planen etwas, das sie als“Backup-Site“, bei dem es sich um einen zweiten Standort handelt, der mit der erforderlichen IT-Infrastruktur und einem Datenreplikationssystem ausgestattet ist. Diese Lösung ist interessant, weil sie nach dem Prinzip der Gegenseitigkeit funktioniert: beide Standorte schützen sich gegenseitig.

Dies ist jedoch ein teures Unterfangen, weshalb viele Unternehmen es vorziehen, mit einem Dienstanbieter zusammenzuarbeiten, der ihre Remote-Infrastruktur hostet. Aus diesem Grund sind DRP on Cloud und DRaaS (Disaster Recovery As A Service) einige beliebte Optionen, die zunehmend an Bedeutung gewinnen.

7/Testen Sie regelmäßig Ihr DRP

Die Erstellung eines Disaster Recovery-Plans ist nur sinnvoll, wenn Sie berücksichtigen Sie die neu erworbene Software von Ihrem Unternehmen mit auf dem Weg dorthin sowie entsprechende Updates. Die Backup-Anwendungen und Verfahren zur Datenreplikation müssen ebenfalls regelmäßig getestet werden, um sicherzustellen, dass sie für Ihre fortgesetzten IT-Upgrades geeignet sind.

Du musst auch stellen Sie sicher, dass Ihr Erholungsplan zu den logistischen Gewohnheiten passt Ihrer Humanressourcen. Es muss gemäß Ihrem allgemeinen Managementplan für den Fall einer Cyberkrise aktiviert werden. Diese Anforderung kann Teil der Simulationsübungen sein, die in Ihrem Cyber-System vorgesehen sind Krisenmanagement Strategie.

Häufig gestellte Fragen zum Disaster Recovery Plan (DRP)

Was ist die Definition eines IT- „DRP“?

Der Disaster Recovery Plan (DRP) umfasst eine Reihe von Dokumenten, in denen die Schritte zur Einrichtung einer Backup-IT-Infrastruktur detailliert beschrieben werden. Ziel dieser Infrastruktur ist es, den normalen Geschäftsablauf im Falle eines unerwarteten Abschaltens von IT-Systemen sicherzustellen. Diese Abschaltung könnte auf einen Cyberangriff, eine Computerverletzung, menschliche Fahrlässigkeit oder Datenverlust oder -diebstahl zurückzuführen sein.

Was ist DRaaS?

Disaster Recovery as a Service ist eine Cloud-Backup-Lösung, die von einem Drittanbieter bereitgestellt wird, bei der Ihr Datenserver über die Cloud auf der Anlage Ihres Dienstanbieters repliziert wird, sodass Sie alle Daten, die während einer Katastrophe verloren gegangen sind, problemlos wiederherstellen können. Es handelt sich um eine einfache Lösung, die die Entwicklung eines komplexen und gründlichen Plans überflüssig macht. Außerdem gehören die Wartungskosten, die mit dem Betrieb einer zweiten Website verbunden sind, der Vergangenheit an, da Sie nur für ein Abonnement bezahlen müssen.

Ist es möglich, ein DRP ohne BCP zu haben?

Es gibt Sektoren, in denen eine Unterbrechung der Aktivitäten, auch wenn sie nur eine Minute dauert, einen spürbaren finanziellen Verlust oder eine Gefahr für die Datenintegrität darstellt. In diesen Sektoren ist ein BCP unerlässlich. Unternehmen, deren Aktivitäten weniger wichtig sind und die sich längere IT-Ausfallzeiten leisten können, können sich allein mit einem DRP zufrieden geben.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.