Sicherheit bedeutet auch Datensicherheit und Anwendungsverfügbarkeit. Nach einem Disaster-Fall gilt es, beides so schnell wie möglich wieder herzustellen. Unternehmen müssen mit gleichbleibenden Zeit- und Geldressourcen dabei flexibel steigende Anforderungen. Diese Anforderungen sind dabei so unterschiedlich, dass Unternehmen letztlich Prioritäten setzen müssen – für eine schnelle Wiederherstellung von Daten (niedrige RTOs) oder eine Wiederherstellung von möglichst aktuellen Daten (niedrige RPOs). Arcserve, LLC, ein langjähriger Anbieter von Datenschutzlösungen, gibt daher Entscheidungshilfen für Unternehmen und appelliert an die Unternehmen, ihre Entscheidungsprozesse kontinuierlich neu zu überprüfen.
Die Entscheidung für ein niedriges RPO (Recovery Point Objective) oder ein niedriges RTO (Recovery Time Objective) hängt von jeder zu sichernden Anwendung oder Information ab. Grundsätzliches Kriterium einer für das moderne Always-on-Business ausreichenden Verfügbarkeit ist die möglichst schnelle Wiederherstellung möglichst aktueller Datenbestände: Das bedeutet Recovery Point Objectives (RPOs) und Recovery Time Objectives (RTOs) im Minutenbereich. Die Frage, ob sich die Benchmarks für Wiederherstellung und Verfügbarkeit nach RPO oder RTO richten sollen, ist dabei nicht eindeutig zu beantworten. In einer Arcserve-Studie vom Herbst 2018 unter 754 Entscheidern in Deutschland, USA und Großbritannien (in Deutschland 255 Befragte) war für jeden vierten (D:27%) der Recovery Time Objective wichtiger, für 22% (D:28%) das Recovery Point Objective, für die Mehrheit beides (53%, in D:45%) gleichermaßen.
Hohe Ansprüche sind legitim und werden gestellt. RPO und RTO aber etwa auf den Minuten-Bereich zu reduzieren, ist für viele und insbesondere für mittelständische Unternehmen nicht immer möglich. Unternehmen sollten daher folgende Punkte überdenken und abzuwägen, welche Prioritäten sie setzen wollen:
- Risikoprofile definieren: Risikoprofile beschreiben das Risiko, welches Unternehmen für jede Anwendung oder jedes System zulassen können. Einzurechnen ist dabei auch die Wahrscheinlichkeit, mit der Verfügbarkeitsrisiken eintreten können. Ohne eine individuelle Untersuchung der Risikoprofile können Unternehmen nicht hinreichend beurteilen, wie robust ihre Geschäftsprozesse sind und welche Auswirkungen eine Ausfallzeit auf den Geschäftsbetrieb hat. Dank der Risikoprofile können Unternehmen Schaden durch Ausfallzeiten kalkulieren und entsprechende RTOs und RPOs festsetzen.
- Risikoprofile an der Anwendung ausrichten: Je nach Anwendung oder System kommt es bei der Wiederherstellung entweder auf möglichst geringen Datenverlust oder auf eine schnelle Wiederverfügbarkeit der Anwendungen an. Die Abwägung der Kosten eines Datenverlustes und der Auswirkungen von Ausfallzeiten erfolgt letztlich abhängig vom Risikoprofil eines jeden Geschäftsprozesses. Schon kleine Verluste von Daten in einer Kundendatenbank können fatal sein, weil mit den Kundendaten auch der Kunde verloren geht oder etwa DSGVO-Verpflichtungen gar nicht mehr erfüllt werden können. In diesem Fall verlangt das Management ein niedriges Recovery Point Objective – also einen kurzen Zeitraum, der zwischen Datensicherungen liegen darf, um den Normalbetrieb nach dem Absturz eines Systems aufrecht zu erhalten – und damit die möglichst vollständige und aktuelle Rekonstruktion der Daten. Dagegen muss ein Onlineshop schnell wieder funktionieren, um neuen Umsatz zu generieren, während Lücken in der Dokumentation vielleicht eher verschmerzt werden können. Hier gewährleistet dann eine niedrige Recovery Time Objective – also die Zeit, die vom Eintritt des Schadens bis zur vollständigen Wiederherstellung des Systems höchstens vergehen darf – die schnelle Wiederverfügbarkeit der Anwendungen.
- Risikoprofile an neuen geschäftlichen Notwendigkeiten ausrichten: Zu lang zurückliegende Wiederherstellungspunkte und eine zu langsame Wiederherstellung von Daten und Anwendungen führen auch zu Verlusten in der Service-Qualität von Unternehmen, beeinträchtigen Geschäfts- und Produktionsabläufe und beeinflussen negativ die Erfahrung der Kunden mit dem Unternehmen. Zudem ist die ständige Überprüfung und Anpassung von RTO, RPO und der sich daraus ergebenden Service Level Agreements (SLAs) mit jeder Veränderung des Unternehmensangebots eine Pflicht.
- Den RPO nicht vernachlässigen: Viele Unternehmen haben zuletzt große Anstrengungen unternommen, ihre Recovery Time Objective zu reduzieren. Darüber gerät oft der Recovery Point Objective in Vergessenheit. Eine schnelle Wiederherstellung nützt aber nichts, wenn durch einen zu weit zurückliegenden Wiederherstellungspunkt zu viele Daten verloren gehen. Ein RTO von wenigen Minuten nutzt unter Umständen je nach Risikoprofil wenig, wenn der RPO Stunden oder Tage zurückliegt.
- Flexible und skalierbare Lösungen einsetzen: Die Realisierung und Anpassung von RPOs und RTOs in komplexen Backup- und Wiederherstellungsinfrastrukturen erfordert umfassende Plattformlösungen und Appliances. Nur eine zentral verwaltete Lösung versetzt die IT in die Lage, auf die verschiedensten Anforderungen schnell und flexibel zu reagieren.