Disaster-Recovery: Ein Prozessmodell -...

1. Workshop IT-Sicherheitsmanagement, 2008

- 1 -

Disaster-Recovery:Ein Prozessmodell

Thomas Braun, Konrad Gnoyke, Matthias Paatzsch

FHTW Berlin

KurzfassungEine unerlässliche Frage, die sich ein Unternehmen durch die wachsende Abhängigkeit vonder IT stellen muss, ist welchen Wert seine Daten besitzen und welcher Aufwand für derenSicherheit gerechtfertigt ist. Das vorliegende Dokument zeigt Unternehmen anhand einesProzessmodells einen möglichen Weg zur Selbsteinschätzung der Disaster-Recovery-Lageund zu einem angemessenen Disaster-Recovery-Plan.

1 Einleitung

Weltweit fürchten sich 96% der IT-Manager vor den negativen Auswirkungen von IT-Katastrophen.1 Diese verursachen nicht nur einen Image-Verlust des Unternehmens, sondernkönnen auch zu erheblichen finanziellen Einbußen führen, mit Auswirkungen auf Kunden undLieferanten.

Eine aktuelle weltweite Studie von Symantec über die Qualität und den Umgang mitDisaster-Recovery Plänen in Unternehmen ergab, dass sich diese an erster Stelle Sorgen umden Image-Schaden und an zweiter Stelle um den Datenverlust machen. 1

Tatsächlich war jedes zweite Unternehmen, das über einen DR2-Plan verfügt, bereitsmindestens einmal auf ihn angewiesen. Gründe für die Ausführung des DR-Plans waren vorallem Hardware- & Softwareversagen (22%), Naturkatastrophen wie Feuer & Flut (16%)und externe Angriffe durch Hacker & Viren (15%).3

Abbildung 1 zeigt, welche Motivationen laut der Studie von Symantec Auslöser für dieEinführung einer Disaster-Recovery Strategie waren:

1 Vgl. [Sym 2007] Seite 812 Disaster-Recovery3 Vgl. [Sym 2007] Seite 85


Version 1 - 2 - 18.01.08

69%

31%57%

26%16%

7%18%

12%

7%11%

7%8%

3%26%

0%

0% 10% 20% 30% 40% 50% 60% 70% 80%

NaturkatastrophenKrieg und/oder Terrorismus

VirenangriffeVersehentliches oder böswilliges Mitarbeiterverhalten

Anstellung eines neuen IT-ChefsAnstellung eines neuen Bereichsleiters

Gesetzliche und industrielle BereichsregulierungenVersicherungsverträge

Druck durch Kunden, Lieferanten ,WettbewerbÄnderungen in der technologischen Infrastruktur

Steigende Anzahl von Mitarbeitern, die von zu Hause arbeitenSteigende Benutzung mobiler Technologie

Steigende Anzahl an PatchesSteigende Sorge um Datenverlust

keine dieser Möglichkeiten

Auslöser zur Erstellung einer DR-Strategie

Abb. 1: Auslöser für die Erstellung einer Disaster-Recovery-Strategie1

Der Abbildung ist zu entnehmen, dass Unternehmen durch das Auftreten von verschiedenstenSituationen dazu veranlasst werden einen DR-Plan zu erstellen. Neben gesetzlichenRegelungen ist insbesondere die Angst vor dem Datenverlust durch unvorhersehbare bzw.nicht/schlecht einschätzbare Ereignisse ein Hauptaspekt.

Für die Schaffung eines optimalen DR-Plans ist es für das Unternehmen daher unerlässlichmöglichst alle Schwachstellen (organisatorische oder technische)2 zu identifizieren. Meistoffen bleibt dennoch die Frage, welche DR-Lösung für ein Unternehmen optimal ist. Diesesliegt zum Einen am Problem der Einschätzung der aktuellen DR-Lage und zum Anderen anvielen Hürden bei der Entwicklung eines angemessenen Disaster-Recovery-Plans.

Das auf den folgenden Seiten vorgestellte Prozessmodell unterstützt Unternehmen mitunterschiedlichsten Anforderungen dabei die Ihrem Sicherheitsbedürfnis angepasste Lösungzu finden. Durch die Bereitstellung des DRP-Modells3 wird, einer Landkarte ähnlich, einGesamtüberblick erzeugt, der bei der Identifikation und der aktiven Prävention von Risikenhilft. Da nicht alle potentiellen Risiken vermieden werden können, wird hierdurch dasbewusste Eingehen von Risiken aufgrund der umfassenden Kenntnis der Risiken ermöglicht.

Zu diesem Zweck wird in Abschnitt 2 das DRP-Modell vorgestellt. Darauf aufbauendwerden in Abschnitt 3 die einzelnen Prozessschritte näher erläutert. Zusammenfassend wirdin Abschnitt 4 eine abschließende Bewertung vorgenommen.

1 Vgl. Studie Symantec, S.132 Vgl. Abschnitt 3.13 Vgl. Abschnitt 2


Version 1 - 3 - 18.01.08

2 Das DRP-Modell

Eine der größten Schwierigkeiten mit der Unternehmen bei der Erstellung eines DR-Planskonfrontiert werden ist neben der Einschätzung der momentanen DR-Lage, dieVorgehensweise bzw. der Prozess bei der Erstellung des Plans. Das im nachfolgendenAbschnitt vorgestellte DRP-Modell hilft Unternehmen die momentane Ist-Situation zudeuten, zeigt konzentriert die Schwachstellen sowie die Pluspunkte der aktuellen DR-Lageauf und unterstützt das Unternehmen somit aktiv bei der Entwicklung einer passenden bzw.optimalen DR-Lösung.

Abb. 2: Das DRP-Modell (Beispiel)

Aufbau

Das DRP-Modell ist in insgesamt vier Bereiche unterteilt. Der erste Bereich gliedert sich inOrganisation und Technik. Für die ganzheitliche Unternehmensbetrachtung ist es notwendig,nicht nur die technischen Gegebenheiten zu erfassen und zu deuten, sondern auch dieorganisatorischen Komponenten und Strukturen. Diese Unterteilung dient insbesondere derÜbersichtlichkeit des Modells und wird im zweiten Bereich, dem „Sechseck“, verfeinert. Indiesem werden zwölf wichtige organisatorische/technische Untersuchungskriterienaufgestellt, die nach einer ersten Unternehmensbetrachtung und Risikoermittlung einenÜberblick über die aktuelle DR-Lage schaffen. Jedes Untersuchungskriterium enthält


Version 1 - 4 - 18.01.08

weitere Untersuchungsgegenstände1, die durch einen Punkt auf dem Modell dargestelltwerden. Dabei sind die Farben der Punkte von essenzieller Bedeutung:

• Rot bedeutet, dass der Untersuchungsgegenstand ein hohes Risiko für das Unternehmendarstellt und nicht durch eine DR-Maßnahme geschützt ist.

• gelb bedeutet, dass der Untersuchungsgegenstand ein mittleres bis geringes Risiko fürdas Unternehmen darstellt und nicht durch eine DR-Maßnahme geschützt ist.

• grün bedeutet, dass der Untersuchungsgegenstand ein hohes/mittleres/geringes Risikofür das Unternehmen darstellt und durch eine DR-Maßnahme geschützt ist.

Die ersten beiden Bereiche des DRP-Modells dienen hauptsächlich der Einschätzung deraktuellen DR-Lage des Unternehmens. Die Bereiche drei und vier hingegen zeigen dieVorgehensweise bzw. den Prozess zur Erstellung eines DR-Plans sowie die notwendigenKernkomponenten.

Der Bereich drei ist in einen 3-Phasen-Prozess untergliedert: Unternehmensbetrachtung,Risikoermittlung und DR-Lösung. Diese Phasen sind hierbei als iterativer Prozessanzusehen, welcher nach jeder Änderung erneut durchlaufen werden muss. Als Änderungkann in diesem Zusammenhang jede Umgestaltung in den technischen sowieorganisatorischen Gegebenheiten des Unternehmens angesehen werden. In den Abschnitten3.1-3.3 werden diese Phasen genauer betrachtet, so dass an dieser Stelle nur eineKurzbeschreibung erfolgt.

Unternehmensbetrachtung

Zu Beginn der Untersuchung ist eine möglichst umfangreiche organisatorische und technischeUnternehmensbetrachtung bzw. Ist-Analyse notwendig.2 Hierbei muss jedoch dasUnternehmen selbst entscheiden, welche der zwölf Teilbereiche wie stark bzw. überhauptuntersucht werden und für welche generell ein DR-Plan geschaffen wird.

Risikoermittlung

Im Anschluss werden im zweiten Prozessschritt die Risiken sowie die sich darausergebenden Notwendigkeiten für einen DR-Plan ermittelt3. Hierbei müssen gleichzeitig diebestehenden DR-Pläne erfasst werden.

Anhand der bis dato gewonnenen Daten ist es dem Unternehmen möglich, seine aktuelleDisaster-Recovery-Lage einzuschätzen: Die Gegenstände der Untersuchung entsprechenhierbei einem Punkt auf dem Modell.4

1 Vgl. Abschnitt 3.12 Vgl. Abschnitt 3.13 Vgl. Abschnitt 3.24 In Abbildung 2 wird dieses nur symbolisch dargestellt. Die Anzahl variiert je nach Unternehmen.


Version 1 - 5 - 18.01.08

DR-Lösung

Nach der Einordung aller untersuchten Punkte erhält das Unternehmen einen umfangreichenÜberblick über die aktuellen Schwachstellen und kann dann zum letzten Schritt desProzesses übergehen. In diesem werden anhand der Datensicherungsmöglichkeiten1

entsprechende Disaster-Recovery-Lösungen formuliert.

Der vierte und letzte Bereich zeigt die Kernkomponenten/Ausgangsbasis jedes DR-Plans,die zugleich als Minimallösung angesehen werden kann:

• eine Backupmöglichkeit (zum Beispiel Festplatten- oder Tape-Laufwerk),

• ein Ersatzhardware-Kontingent (zum Beispiel Laptop, PC, Ersatzteile),

• ein Backupkonzept (zum Beispiel tägliche Sicherung) und

• geschultem Personal, das mit dem aktuellen DR-Plan vertraut ist und notfalls weiß,wie die Daten wiederherzustellen sind.

Diese Kernkomponenten sollten in der Regel in jedem Unternehmen vorzufinden sein.

1 Vgl. Abschnitt 3.3


Version 1 - 6 - 18.01.08

3 Prozessschritte des DRP-Modells

Bei der Entwicklung eines DR-Plans gilt eszunächst sich der auftretenden Zielkonfliktebewusst zu werden (Abbildung 3). Da eineoptimale Erreichung aller Zieleunwahrscheinlich ist, werden in denfolgenden Abschnitten Techniken zumPriorisieren der wichtigsten Ziele und zurAuswahl der notwendigen Methoden zumThema Disaster-Recovery vorgestellt.

Diese eignen sich für die ganzheitlicheBetrachtung des Unternehmens, als auch füreinzelne Unternehmensbereiche. Abb. 3: Zielkonflikte bei der Lösungsfindung

In Abbildung 3 wird die optimale Lösung eines DR-Plans durch die dunkelgrüne Außenliniedargestellt. Die hellgrüne Linie spiegelt ein aktuelles Beispiel aus der Realität wieder.Deutlich zu erkennen ist hierbei der prägnante Unterschied zwischen der Wirklichkeit undder gewünschten optimalen Lösung. Die Folge dessen ist, dass Kompromisse eingegangenwerden müssen. So ist vor allem eine schnelle, zuverlässige und skalierbare Lösunganzustreben. Andernfalls würden im Falle eines Disasters für jede verstrichene Zeiteinheithohe Kosten anfallen. Die Vermeidung dieses Schadens steht jedoch im Konflikt mit derWunschvorstellung einer preisgünstigen Lösung. Die Investitionskosten stellen im Vergleichzu den im Schadensfall anfallenden Kosten in der Regel jedoch nur einen Bruchteil dar.

Anzumerken ist, dass die Auswahl der bestmöglichen Lösung in starker Abhängigkeit vondem zu betrachtenden Unternehmen steht. Zur Erreichung einer angemessenen DR-Lösungbzw. eines bestmöglichen DR-Plans ist es essentiell, dass sich das Unternehmen dermaßgeblichen Ziele der Lösung bewusst wird und entsprechend sensibilisiert an dieEntwicklung herangeht.

3.1 Unternehmensbetrachtung

Die Aufstellung der zu betrachtenden Informationen in diesem Abschnitt dient derBereitstellung der Grundinformationen, die einen umfassenden Überblick über dierelevanten Daten der Unternehmung ermöglichen. Sie werden sowohl bei der in Abschnitt 3vorgestellten Risikoermittlung1 als auch bei der Auswahl der Datensicherungsmöglichkeitenherangezogen.

3.1.1 Zu betrachtende organisatorische Daten

Zu Beginn der Betrachtung ist es notwendig, sich einen objektiven Überblick zurGeschäftsstrategie des Unternehmens und zum Produkt- / Dienstleistungsportfolio des

1 Vgl. Abschnitt 3.2


Version 1 - 7 - 18.01.08

Unternehmens zu verschaffen. An dieser Stelle werden abhängig vom Unternehmenskonzeptdie ersten Weichen für den Lösungsweg gestellt.

Die im Folgenden aufgeführten Stichpunkte sind als notwendige und relevante Kriterien füreine umfassende Ist-Analyse aufzufassen und sind individuell an das Unternehmenanzupassen. Den Ergebnissen der Betrachtung werden jeweils die Verantwortlichen und dieAnsprechpartner zugeordnet.

Zugriff auf Systeme

Die Zutritts- und Zugriffsmöglichkeiten auf die Systeme offenbaren Schwachstellen, die vorallem durch böswilliges Handeln ausgenutzt werden könnten. Die folgenden Punkteunterstützen somit die Einschätzung des Eintrittsrisikos:

• Physische Sicherheit für die Räume, in denen die Datenverarbeitungsanlagen betriebenwerden:o Übersicht / Lageplan des Rechenzentrumso Aussagen zur Sicherheit des Server-Raums (Klimaanlagen, Alarmanlage usw.)o Zutrittsberechtigungskonzept und Liste der eingerichteten Zutrittsberechtigungeno Nachweis / Bericht der jüngsten Überprüfung der Zutrittsberechtigungen

• Zugriffsberechtigungskonzepte für die Anwendungen und DB :o Zugriffsberechtigungskonzepte und Listen der eingerichteten Benutzer mit Rollen oder

Berechtigungsgruppeno Nachweis / Bericht der jüngsten Überprüfung der Zugriffsberechtigungen (zum

Beispiel Passwortsicherheit, Protokollierung)

Systemänderungen

Systemänderungen können sowohl Ursache als auch Opfer eines Disasters sein. Zu ihrerAbsicherung spielen in beiden Fällen die nachfolgenden Punkte eine wichtige Rolle:

• Änderungsverfahren für Software-ÄnderungenHierzu zählt das Versionsmanagement und die Richtlinien zur Aufbewahrung, um im Falleines Disasters auf frühere Versionen und Datenbestände zurückgreifen zu können.

• TestverfahrenWer ist involviert (IT- und Fachabteilung?) und wie ist das Freigabeverfahren gestaltet?

• Konfigurations-ManagementListe der Mitarbeiter mit kritischen Berechtigungen zum Beispiel Schreib-Zugriff aufProduktionsdaten, Administratoren, Super User, Benutzer mit Sonderrollen

Unternehmensweite Maßnahmen und Kontrollen

• Aktuelle IT-StrategieDer DR-Plan als Teil der IT-Strategie muss mit den strategischen Zielen desUnternehmens abgestimmt sein. Der wirtschaftlich sinnvolle Aufwand lässt sich somitaus den Unternehmenszielen ableiten.


Version 1 - 8 - 18.01.08

• Übersicht zur IT-PlanungOft bestimmen die verfügbaren Mittel über die Realisierung von Investitionen. Ausdiesem Grund bilden das Budget, die Kosten, die Investitionen und zukünftige wichtigeProjekte eine Grundlage für die DR-Lösung.

• Ergebnisse des Internen KontrollsystemsDie Berichte über IT-Prüfungen der Anwendungen und IT-Prozesse der Vergangenheitzeigen bereits existierende Sicherheitsprobleme auf.

Individuelle Datenverarbeitung

Die Tools der Individuellen Datenverarbeitung benötigen in der Regel eine gesonderteBetrachtung, da hier unterschiedliche Gegebenheiten (zum Beispiel autarkeDatenverarbeitung) die Möglichkeiten zur Sicherung beeinflussen. Vielfach fallen sie durchdas übliche Netz der Datensicherung und müssen deshalb explizit in den DR-Prozessintegriert werden.

• Auflistung der IDV1-Tools (d.h. Makros, Excel-Sheets, Access-DB) zum Beispiel alsvor- oder nachgelagerte Systeme

• Beschreibungen, inwiefern die allgemeinen IT-Kontrollen auch für die individuelleDatenverarbeitung angewendet werden (d.h. wichtige Excel-, Access-Anwendungenetc.), insbesondere:o angemessene Beschränkung des Zugriffs auf diese Programme und Dateno Durchführung von Programmänderungen (Versionskontrolle?)o Durchführung von Programmentwicklungen, Test- und Freigabeverfahreno Betrieb und Datensicherung der Programme / DB

Betrieb der Systeme

Der reibungslose Betrieb oder dessen schnellstmögliche Wiederaufnahme ist das eigentlicheZiel des DR-Plans. Demnach ist es unerlässlich die Informationen zu diesem Bereichbesonders sorgfältig zu erheben. Im weiteren Prozessablauf werden sie nicht nur bewertet,sondern dienen auch als Grundlage, auf der die zukünftige DR-Lösung aufbauen kann.

• Datensicherung und Wiederherstellungo Verfahren zur Sicherung und Wiederherstellung der Daten, Transaktionen und

Programmeo Bericht des letzten Tests der Wiederherstellung der Datensicherungo Sicherheit der Datensicherungsmedien und zutrittsberechtigte Personeno Aufbewahrung, ggf. Beschreibung des Auslagerungsprozesses

• Verfahren für die Aufnahme, Analyse und Behebung von Produktionsproblemen• Beschreibung der Maßnahmen, um den vollständigen, richtigen und zeitgerechten Ablauf

der Jobs zu gewährleisten

1 Individuelle Datenverarbeitung


Version 1 - 9 - 18.01.08

Neue Systeme

Der DR-Prozess muss auch die Systeme beinhalten, die in der Zukunft implementiertwerden. Auf diese Weise ist die rechtzeitige Anpassung des DR-Plans möglich.

• Genehmigung von Software-Entwicklungen, Richtlinien zur Programmentwicklung undTestverfahren (IT und Fachabteilung) bzw. Freigabeverfahren

• Software-Beschaffungsverfahren zur Genehmigung, zur Software-Auswahl und für dieTestverfahren (IT und Fachabteilung) bzw. Freigabeverfahren von Software-Beschaffungen

• Vorgehensweise zur Durchführung und Abstimmung von Datenmigrationen (zum Beispielbei Systemeinführungen oder Release-Wechseln)

3.1.2 Zu betrachtende technische Daten

Nachdem die erforderlichen organisatorischen Daten zusammengetragen und gesichtetworden sind, kann der nächste Schritt vorbereitet werden. Da die immateriellen Werte einesUnternehmens immer tiefgreifender an die IT-Struktur gebunden sind, stehen diese vorrangigim Fokus dieses Prozessschrittes. Sie gilt es mit angemessenem Aufwand vor Gefahren zuschützen oder in einen Zustand zu versetzen, der eine ausreichende Wiederherstellung mitvertretbarem Risiko sichert. Auch hier müssen den Resultaten der Untersuchung jeweils dieVerantwortlichen und die Ansprechpartner zugeordnet werden.

Repräsentiert wird die IT-Struktur im Wesentlichen durch die nachstehenden Bestandteile:

• Welche Anwendungssysteme werden verwendet? (Hersteller [H], Name [N], Version[V], Funktion)

• Welche Datenbanksysteme werden verwendet? ([H], [N], [V])• Welche Betriebssysteme werden verwendet? ([H], [N], [V])• Welche Hardwaretypen werden verwendet? ([H], [N], [V])• Gibt es ausgelagerte Anwendungen? (z.B. Konzern-interne Auslagerungen; Funktion,

Dienstleister, Auslagerungskonzept)• Wie sehen die IT-Prozesse und Datenflüsse aus?• Welche Netzwerke und externe Schnittstellen sind vorhanden?

Die einzelnen Bestandteile können je nach Wunsch weiter untergliedert werden. Dies lässtsich am Beispiel Hardware verdeutlichen:

• DB-Server• Web-Server• Email-Server• Desktop Ausstattung


Version 1 - 10 - 18.01.08

• Laptop Ausstattung• Mobile Technologien (Handhelds)• Remote Offices / Home workers` PC

Mit diesen Informationen besitzt das Unternehmen detailierte Daten über die technischenGegebenheiten, und kann darauf aufbauend die notwendigen technischen Kapazitäten für dieErsatzhardware abschätzen sowie das für den Notfall verantwortliche Personal bestimmen.Zusätzlich werden die gewonnen Daten im nachfolgenden Prozessschritt, derRisikoermittlung, verwendet.

3.2 Risikoermittlung

„Ein Risiko (engl.: risk) ist ein Zustand oder ein Ereignis, das mit einer bestimmtenWahrscheinlichkeit eintritt und eine Gefährdung […] bedeuten könnte.“1 Inhalt derRisikoermittlung ist, diese unternehmensgefährdenden Zustände bzw. Ereignisse im Vorfeldzu erfassen und die Eintrittswahrscheinlichkeiten möglichst genau zu ermitteln. Anhand derErmittlungsergebnisse erhält das Unternehmen verschiedene Informationen, die zum Einender Werteinschätzung der eigenen Informationsinfrastruktur2 (Daten, Hardware, usw.)dienen und zum Anderen Bedrohungen für diese aufzuzeigen. Hierdurch ist es möglich,Risiken frühzeitig zu erkennen und einzuschätzen, als auch geeignete Präventivmaßnahmenund –strategien zu entwickeln.

3.2.1 Schadens-Klassifizierung

Ein wichtiges Merkmal der Risikoermittlung ist die Schadens-Klassifizierung. Inhalt dieserist die Erfassung der Werte-Objekte des Unternehmens und die anschließende Einteilung inSchadensklassen3. Die in Kapitel 3.1. enthaltene Kriterienaufstellung dient bei derErfassung der Werte-Objekte bereits als ein Hilfsmittel und kann als eine ersteBestandsaufnahme aufgefasst werden. Voraussetzung für eine Schadensklassen-Einteilung isteine möglichst vollständige Erfassung aller materiellen (zum Beispiel Server) undimmateriellen (zum Beispiel Reputation des Unternehmens) Werte des Unternehmens. Ist dieErfassung beendet, können für das ganzheitliche Unternehmen, als auch für die einzelnenAbteilungen Schadensklassifizierungen vorgenommen werden. Tabelle 1 dient in diesemZusammenhang als Beispielklassifizierung.

Schadenshöhe Quantifizierung Beschreibung

sehr gering> 250 €bis 1.000 €

Die Schadenshöhe beeinflusst den Arbeitsbereich, in dem derSchaden eintritt, nur unwesentlich. Es werden keineFolgewirkungen erwartet und das Jahresergebnis bzw. dieErtragskraft wird nicht wesentlich verschlechtert.

gering> 1.000 €bis 50.000 €

Die Schadenshöhe beeinflusst den Arbeitsbereich, in dem derSchaden eintritt, bleibt jedoch insgesamt ohne wesentlicheAuswirkungen. Auswirkungen auf folgende Geschäftsjahre sind

1 Vgl. [Hansen/Neumann 2001], S.2252 Vgl. [Heinrich 2001], S.2693 Diese können je nach Unternehmen variieren.


Version 1 - 11 - 18.01.08

i.d.R. nicht zu erwarten.

mittel> 50.000 €bis 100.000 €

Die Schadenshöhe ist, basierend auf der Ertragsentwicklung in denvergangenen Jahren, in ein bis drei Jahren überwindbar.

schwer-wiegend

> 100.000 €bis 300.000 €

Die Schadenshöhe beeinträchtigt das Jahresergebnis wesentlich undführt unter Umständen zu dauerhaften Ertragseinbrüchen.

existenz-bedrohend

> 300.000 €

Der Eintritt des Risikos führt zu erheblichen Verlusten, die unterUmständen den Abbau von Mitarbeitern sowie die Einstellungenvon Geschäftsbereichen zur Folge haben können, bis hin zuSchäden, die den Fortbestand gefährden.

Tab. 1: Beispiel für Schadensklassifizierungen

3.2.2 Eintrittswahrscheinlichkeit

Ein anderer wichtiger Bestandteil der Risikoermittlung ist die Berechnung derEintrittswahrscheinlichkeiten der unternehmensbedrohenden Zustände oder Ereignisse.Hierzu müssen alle möglichen Bedrohungen (zum Beispiel technisches Versagen, Hacker-Angriffe) der Informationsinfrastruktur untersucht und erfasst werden. Simultan muss diesesfür die Schwachstellen geschehen. Als Schwachstelle wird in diesem Zusammenhang jedeSicherheitsschwäche bezeichnet die von einer Bedrohung ausgenutzt werden könnte. Ist dieErfassung aus Unternehmenssicht vollständig beendet, erfolgt die Ermittlung derWahrscheinlichkeiten. Aufgrund der Tatsache, dass die Eintrittswahrscheinlichkeiten in derRegel nur schlecht erfassbar sind und hauptsächlich auf Erfahrungswerten und Schätzungenberuhen, empfiehlt sich auch in diesem Fall die Bildung einer Klassifizierung. Hierbei wirddurch die Bildung von Unter- und Obergrenzen und deren Zuordnung zur qualitativenBewertungsskala die möglicherweise vorgetäuschte Genauigkeit der Schätzungen umgangen.Eine Beispielklassifizierung zeigt Tabelle 2.

Eintrittswahrscheinlichkeit Untere Grenze Obere Grenzesehr gering > 0% = 20%

gering > 20% = 40%mittel > 40% = 60%hoch > 60% = 80%

sehr hoch > 80% = 100%

Tab. 2: Beispiel für Eintrittswahrscheinlichkeiten

3.2.3 Bewertung

Anhand der in Abschnitt 3.2.1 und 3.2.2 gewonnenen Ergebnisse ist es möglich eineabschließende Risikobewertung zu vorzunehmen. Dies geschieht durch die Bildung einerRisikomatrix aus der Schadenshöhe und der Eintrittswahrscheinlichkeit. Abbildung 4veranschaulicht hierbei die Beispieltabellen aus den vorangegangenen beiden Abschnitten.Deutlich zu erkennen ist eine Einteilung in einen grünen und einen roten Bereich. Zu demgrünen Bereich gehören die Eintrittswahrscheinlichkeiten sowie Schadenshöhen: sehrgering, gering und mittel. Der rote Bereich wird durch die Eintrittswahrscheinlichkeitensowie Schadenshöhen: hoch bzw. schwerwiegend und sehr hoch bzw. Existenzbedrohend


Version 1 - 12 - 18.01.08

abgegrenzt. Im nächsten Schritt wird dann der Untersuchungsgegenstand des Unternehmensbzw. der Fachabteilung in die Risikomatrix eingetragen. Abbildung 4 zeigt in diesemZusammenhang Beispieluntersuchungsgegenstände. Risiken im grünen Bereich sind nichtnotwendiger Weise von großer Bedeutung und können somit geringfügig vernachlässigwerden. Risiken im roten Bereich hingegen haben immer schwerwiegende Konsequenzen fürdie Unternehmung oder zeigen besonders anfällige Untersuchungsgegenstände. Abhängig vonder Bewertung des Risikos wird also die Notwendigkeit von gegensteuernden Maßnahmenersichtlich.

Anzumerken ist, dass die aus diesem Prozessschritt gewonnenen Ergebnisse nichtzwangsläufig deckungsgleich mit denen des DRP-Modells sind. D.h. ein rot markierterUntersuchungsgegenstand muss nicht einen roten Punkt auf dem Modell darstellen. Dennauch wenn ein hohes Risiko besteht, kann bereits eine DR-Lösung dafür existieren.

Abb. 4: Beispiel Risikobewertung

3.3 DR-Lösung

Die DR-Lösung sollte immer aus der im Modell dargestellten Minimallösung Personal,Ersatzhardware, Backup und einem umfassenden Konzept bestehen. Die Einzelheiten sindjedoch stark vom jeweiligen Unternehmen abhängig (Ergebnisse derUnternehmensbetrachtung und der Risikoermittlung), so dass eine ausführliche Erläuterungin dieser Arbeit nicht möglich ist. Der folgende Abschnitt beschreibt aus diesem Grundauszugsweise wichtige Aspekte der DR-Lösung und die darin enthaltenen möglichenVarianten zu den Themen: Sicherungskonzept und Backup.


Version 1 - 13 - 18.01.08

3.3.1 Sicherungskonzepte

Nachfolgender Abschnitt stellt typische Vorgehenskonzepte zur Sicherung von Daten vor:das inkrementelle Sichern, das vollständige Sichern sowie das differentielle Sichern vonDaten.

Vollständige Datensicherung

Diese Form der Datensicherung kopiert alleausgewählten Daten auf das Backupmedium,unabhängig vom Zeitpunkt der letztenSicherung. Das Konzept ist sehrzeitaufwendig und speicherintensiv, bietetallerdings den Vorteil, dass wenigeradministrativer Aufwand und Know-hownotwendig sind. Für eine Wiederherstellungsämtlicher Dateien wird nur die Kopie desaktuellen Backups benötigt. Abb. 6: Vollständige Datensicherung

Inkrementelle Datensicherung:

Die inkrementelle Datensicherung sichertnur die Daten, die seit dem letzten Backuphinzugekommen sind bzw. die Daten, diesich seit dem verändert haben. Es musssomit nur eine geringere Menge an Datengesichert werden, was in einer kürzerenDauer zur Datensicherung resultiert.Nachteil an diesem Strategiekonzept ist dielängere Wiederherstellungszeit einesBackups (erst Wiederherstellung desvollständigen Backups, danach allerinkrementellen Sitzungen).

Abb. 7: Inkrementelle Datensicherung

Differentielle Datensicherung

Die differentielle Datensicherung sichertalle Daten, die seit dem letztenvollständigen Backup hinzugekommen sindbzw. die sich seit dem geändert haben.Nachteilig ist hierbei, dass die Anzahl dergesicherten Daten mit jedem differenziellenBackup größer wird. Für die

Wiederherstellung der Daten werden zumEinen die Vollsicherung und zum Anderendie letzte Differenzsicherung benötigt.


Version 1 - 14 - 18.01.08

Abb. 8: Differentielle Datensicherung

Backup

Für den Aufbau einer Backup-Umgebung nach einem der Sicherungskonzepte gelten nun dieÜberlegungen der Wahl der zu verwendenden Speichermedien. Zur Auswahl stehen in derRegel Bänder, optische Medien (z.B. CD oder DVD) oder Festplatten. Als eine weitereMöglichkeit der Datensicherung wird das Online-Backup betrachtet. In der Abbildung 5wird dargestellt, wie hoch der prozentuale Anteil der einzelnen Backupmedien am Markt ist.

Abb. 5: Verwendete Backupmedien1

Bänder / Festplatten

Der Eindruck, dass Bänder auf Grund ihrer veralteten Technik in naher Zukunft ausgemustertwerden, täuscht. Vielmehr haben sie sich in den letzten Jahren in Hinblick auf Kapazität undPerformance stark weiterentwickelt. Derzeit lassen sich auf Bandlaufwerken bis zu ein

1 Vgl. [Linux Magazin 2007], S.19


Version 1 - 15 - 18.01.08

Terabyte1 unterbringen. Bandhersteller visieren für die kommenden Jahre Kapazitäten vonzwei und vier Terabyte pro Kassette (SAIT-3, SAIT-4 (1), LTO-4) an. Unternehmen wieIBM oder Sun erwarten bis zum Jahr 2015 16 Terabyte pro Band.2

Da in den vergangenen Monaten bei Festplatten ein starker Preisverfall stattgefunden hat,erhöht sich ihre Attraktivität als Datensicherungsmedium. Es sollte jedoch bedacht werden,dass eine Festplatte nicht als „sicherer“ Datenträger betrachtet werden kann. Die in einerFestplatte verbauten mechanischen Elemente haben durch die ständige Belastung im Betriebnur eine begrenzte Lebenserwartung. Wird eine Festplatte als Backupmedium eingesetzt, sosollte sich nie auf ein einzelnes Laufwerk verlassen werden. Die Speicherung von wichtigenFirmendaten auf nur einer externen Festplatte birgt ein hohes Risiko.

Der Einsatz von Festplatten erscheint zum Beispiel dann als sinnvoll, wenn Backups aufmindestens zwei Laufwerken durchgeführt werden und die Sicherung mindestens einmal proTag erfolgt. Durch ihre Bauweise sind Festplatten jedoch wesentlich transportempfindlicherals Bänder. So empfiehlt sich selbst in dieser Konstellation ein Sekundärbackup, da zumBeispiel durch ein versehentliches Fallenlassen der Platte beim Transport dieWahrscheinlichkeit eines Datenverlustes sehr hoch ist.

Weiterhin zeichnen sich Festplatten durch eine hohen Lese- und Schreibperformance aus,was einen angenehmen Backupalltag möglich macht. Verglichen mit dem Beschreiben vonBändern oder optischen Medien (zum Beispiel DVD) ist dieser Vorgang bei Festplattenerheblich schneller.

Fehleranfälligkeit

Bei einem Vergleich des Mean Time Between Failures (MTBF)3 zwischen Festplatten undBändern ist auf den ersten Blick das Medium Festplatte im Vorteil. Heutige Fibre-Channel-oder SCSI-Platten haben hierfür einen Wert zwischen 1,2 und 1,6 Millionen Stunden.Bänder hingegen erreichen in der Regel Werte zwischen 250.000 und 500.000 Stunden.Allerdings „ruht“ ein Band in der Realität im Slot eines Bandroboters und wartet auf seinenEinsatz, wohingegen eine Festplatte permanent aktiv ist.

Wichtig ist in diesem Zusammenhang die Einsatzzeit des Mediums, der sogenannte DutyCycle. Dieser ist bei Bändern oft nur 20 % der insgesamt vergangenen Zeit. Statistischerreichen aus diesem Grund Bänder auch erst später als Festplatten den Zeitpunkt, zu demmit Aussetzern beim Betrieb zu rechnen ist.

Geschwindigkeit Backup/Restore

Ein wichtiges Kriterium für die Auswahl des richtigen Disaster-Recovery-Mediums ist dieDauer für ein Daten-Backup, sowie der Zeitraum für eine Wiederherstellung (Restore) derDaten. Da hieraus die Ausfallzeit resultiert bedeuten längere Ausfallzeiten auch höhereKosten.

1 Ein Terabyte entspricht ca. 1000 Gigabyte.2 Siehe [Linux Magazin 2007], S.193 Gibt die mittlere Zeit zwischen zwei Fehlern an.


Version 1 - 16 - 18.01.08

Bänder haben den großen Nachteil, dass sie sequenziell gelesen und beschrieben werden.Bei Ihnen ist der wahlfreie Zugriff (random access) nicht möglich. Die Summierung derZugriffszeiten (vom Heraussuchen des benötigten Bandes bis hin zum Spulen an diegewünschte Stelle) nimmt im Vergleich zur Festplatte erheblich mehr Zeit in Anspruch.Weiterhin ist kein gleichzeitiges Lesen und Schreiben auf ein Band möglich.

Dieser Geschwindigkeitsvorteil bei Festplatten ermöglicht dagegen spezielle Formen desBackups wie zum Beispiel die Continous Data Protection (CDP). Bei diesem Verfahrenwird jede Änderung an den Daten sofort gesichert und mit einem Zeitstempel versehen(erfordert bis zu 40% mehr Festplattenkapazität). Auf diese Weise kann jederzeit zu einemfrüheren Zustand zurückgekehrt werden.

Online Backup

Die eigene Datensicherung ist oftmals mit viel Zeit und hohen Kosten verbunden. Durchimmer schnellere Internetverbindungen und preiswerter werdenden Online-Speicherplatz isteine weitere Alternative in der Datensicherung das Online-Backup.

Der Engpass für die Online-Datensicherung ist der DSL Upstream. Die nachfolgendeTabelle 3 zeigt, wie viel Zeit für den Upload der Datenmenge einer ca. 650MB großen CDunter drei Upstream-Geschwindigkeiten benötigt wird:

Geschwindigkeit Upload Datenmenge 650MB

256 Kilobit/Sekunde 5:47 h612 Kilobit/Sekunde 2:25 h1024 Kilobit/Sekunde 1:27 h

Tab. 3: Beispiel Upstream Geschwindigkeiten

Aus diesem Grund ist bei der Online-Sicherung darauf zu achten, dass die zu sicherndeDatenmenge so klein wie möglich zu halten ist. Die Lösung ist, nach einem erstenKomplettbackup nur noch die Änderungen auf dem Backup-Server zu sichern.1 Dieses spartzum Einen Zeit und zum Anderen Traffic/Kosten.

Eine Gefahrenquelle bei der Online-Datensicherung ist die Übertragung der Daten über das„unsichere“ Internet. Es besteht die Gefahr, dass geheime Daten „gesnifft“ werden. Dasbedeutet, dass der Datenverkehr durch Dritte aufgezeichnet und anschließend ausgewertetwird. Um dieser Gefahr entgegenzuwirken, müssen die Daten zumindest beim Versandverschlüsselt werden. Diese Verschlüsselung muss auch vom Provider lokal aufrechterhalten werden, so dass der Zugriff auf die Daten von Mitarbeitern des Rechenzentrumsverhindert wird.

Zusammenfassend wurden wesentliche Eigenschaften der vorgestellten Backup-Medien ausverschiedenen Blickwinkeln betrachtet. Die Auswahl des geeigneten Mediums obliegt

1 Vlg. Abschnitt 3.3, inkrementelle Sicherung


Version 1 - 17 - 18.01.08

zweifelsohne dem Unternehmen. In nachfolgender Tabelle 4 werden zu diesem Zweck diedrei beschriebenen Datensicherungsmöglichkeiten noch einmal gegenübergestellt und derenEigenschaften aufgezeigt.

Auswahlkriterium Festplatten-Sicherung Band-Sicherung Online-Sicherung

Kapazität Ca. 1 TB bei 3,5"-Laufwerken

Ca. 1 TB (SAIT2) Ca. 1 TB

Geschwindigkeit Ca. 90 MB/s Ca. 60 MB/s bei aktivierterKompression oft weniger

Up-/Downstreamabhängig

Zugriffszeit Millisekundenbereich Sekundenbereich, beim SpulenMinuten

- Keine Angaben -

Backup-Typ Per Scripting oderBackupsoftware

Per Backupsoftware Per Client

Datensicherheit Bei SachgemäßerHandhabung undLagerung mittel bis gut.

Bei Sachgemäßer Handhabung undLagerung hoch.

HoheDatensicherheit

Schwachstellen Hohe Erschütterungs-empfindlichkeit undmagnetische Beeinfluss-barkeit bei Festplatten

Magnetische Beeinflussbarkeit.Backup abhängig von passendemStreamer. Ausschließlichsequenzieller Zugriff.

UnsicherheitsfaktorInternet. Sehr teuer.Sehr langsam.

Widerherstellung Schnell Mittel bis langsam Sehr langsamKosten Mittel bis hoch Niedrig bis mittel Sehr hoch

Tab. 4: Gegenüberstellung Datensicherungsmöglichkeiten


Version 1 - 18 - 18.01.08

4 Fazit

Das in der vorliegenden Arbeit vorgestellte Prozessmodell zeigt Unternehmen einenmöglichen Weg zur Selbsteinschätzung der DR-Lage und zu einem angemessenen Disaster-Recovery-Plan.

Zur Erreichung dieses Ziels werden in einem ersten Prozessschritt, derUnternehmensbetrachtung, wichtige organisatorische und technische Unternehmensdaten derIT als auch der Fachabteilungen erfasst. Das daraus resultierende Ergebnis ermöglicht inKombination mit der Risikoermittlung einen auf das jeweilige Unternehmen angepasstenGesamtüberblick. Dieser beinhaltet insbesondere die Bedrohungen bzw. Schwachstellen,sowie die Abweichungen des Ist-Zustandes vom gewünschten Soll-Zustand. Sind diesePunkte identifiziert, können im letzten Schritt mit Hilfe der geschildertenDatensicherungsmöglichkeiten entsprechende Disaster-Recovery-Lösungen erstellt werden.Im Rahmen dieser Arbeit ist somit ein Modell für den gesamten Prozess zur Erstellung einesDisaster-Recovery-Plans erarbeitet worden.

Dennoch sind vor allem die vorgestellten Verfahren nur als ein Anfang anzusehen. Diesbegründet sich zum Einen in der Ausbaufähigkeit der zu erfassenden Daten in Abschnitt 3und zum Anderen im Ausbau von weiteren komplexeren Datensicherungsmöglichkeiten.

Abschließend ist festzuhalten, dass das DRP-Modell insbesondere einenrichtungsweisenden Charakter für das Unternehmen besitzt. Im übertragenen Sinne ist es alseine Art Sechstant des Disaster-Recovery‘s anzusehen. Speziell die Visualisierung derErgebnisse aus den verschiedenen Bereichen ermöglicht einen schnellen undunkomplizierten Gesamtüberblick über die DR-Lage der Unternehmung. Hierbei ist dasModell universal auf verschiedene Unternehmensgrößen anwendbar.


Version 1 - 19 - 18.01.08

5 Literatur

[Hansen/Neumann2001]

Hans Robert Hansen, Prof. Gustaf Neumann: „Wirtschaftsinformatik I“, Lucius &Lucius Verlagsgesellschaft mbH, 8., völlig neubearbeitete und erweiterte Auflage,Stuttgart 2001

[Heinrich 2001] Lutz J. Heinrich: „Wirtschaftsinformatik: Einführung und Grundlegung“,R.Oldenburg Verlag München Wien, 2., vollständig überarbeitet und ergänzteAuflage, München 2001

[Linux Magazin2007]

Linux Magazin: „Technical Review 03 - Alles über: Storage und Backup“,München 2007

[Sym 2007] Dr Taylor, Cherry: The Symantec Disaster Recovery Research 2007, AbergavennyUK, Oktober 2007

Disaster-Recovery: Ein Prozessmodell -...

Documents

Transcript of Disaster-Recovery: Ein Prozessmodell -...