Disaster Recovery und Business Continuity effektiv planen

Die Grundprinzipien der Disaster Recovery (DR) und der Business Continuity sind seit Jahrzehnten weitgehend unverändert:

Risiken identifizieren,

die Auswirkungen auf das Geschäft analysieren,

Wiederanlaufzeiten (Recovery Time Objectives, RTOs) festlegen,

einen Sicherungs- und Wiederherstellungsplan erstellen und

regelmäßige Tests durchführen.

In der Vergangenheit lagen die Daten auf Servern vor Ort, Cyberbedrohungen waren weniger raffiniert und Naturkatastrophen waren selten. Zudem konnten Unternehmen mit stunden- oder sogar tagelangen Ausfällen wahrscheinlich sogar zurechtkommen. Wöchentliche Backups waren ausreichend und Vorschriften bezüglich Datenschutzverletzungen praktisch nicht vorhanden.

Die Cyberbranche im Wandel

Das hat sich mittlerweile stark gewandelt, denn das Volumen an Unternehmensdaten ist explosionsartig angestiegen und allgegenwärtig in Form von Public Cloud, Software as a Service (SaaS), Edge, Internet of Things (IoT), Operational Technology (OT) und Large Language Models (LLMs). KI-generierte Ransomware-Angriffe drohen und Naturkatastrophen ereignen sich aufgrund des Klimawandels deutlich häufiger.

Zugleich wollen Geschäftsbereiche innerhalb von Minuten wieder einsatzbereit sein. Auch die Strafen, wenn Cyberangriffe nicht rechtzeitig gemeldet werden oder Kundendaten gestohlen wurden, sind hoch.

Nach einem Vorfall schnell wieder handlungsfähig zu sein und das Geschäft am Laufen zu halten wird daher immer wichtiger. Vor diesem Hintergrund sollten die Pläne für Disaster Recovery und Business Conitnuity stets aktuell gehalten – oder komplett neu aufgesetzt werden.

Mit dem Fortschritt gehen

Zu den wichtigsten Komponenten eines modernen Notfallplans gehören strategische Ansätze wie Minimum Viable Business (MVB) sowie der Einsatz neuer Technologien wie (generative) KI. Hinzu kommen taktische Ansätze wie integrierte Bedrohungssuche, automatisierte Datenerkennung und -klassifizierung, kontinuierliche Backups, unveränderliche Daten und Tabletop-Übungen für den Ernstfall.

Backup-as-a-Service (BaaS) und Disaster-Recovery-as-a-Service (DRaaS) erfreuen sich ebenfalls zunehmender Beliebtheit. Unternehmen möchten die Skalierbarkeit, die Cloud-Speicheroptionen und die Benutzerfreundlichkeit des „As-a-Service“-Modells nutzen. Gartner prognostiziert, dass 85 Prozent der großen Unternehmen bis 2029 BaaS neben Lösungen, die sie selbst verwalten, einsetzen werden, um zur Cloud- und lokale Workloads zu sichern. Im Jahr 2025 sind es lediglich 25 Prozent.

Die folgenden Schritte sollten CISOs beachten, um einen erfolgreichen Disaster-Recovery- und Business-Continuity-Plan zu entwickeln:

Schritt 1: C-Level-Support aufbauen, Finanzierung sichern, Team bilden

Effektive Disaster Recovery und Business Continuity erfordern erhebliche Vorarbeit und ständige Aufmerksamkeit. Zudem sind sie kostspielig, denn sie benötigen zusätzliche Speicherressourcen, Software-Tools und Personal.

Ryan Whelan, Global Head of Cyber ​​Intelligence bei Accenture, sagte, er habe kürzlich CISOs im Einzelhandel und der Gastronomie zu ihren Prioritäten befragt und festgestellt: Disaster Recovery und Business Continuity kletterten auf Platz drei im Jahr 2025, während sie im Vorjahr nicht einmal in den Top Ten auftauchten.

Ihm zufolge wird dieser Wandel von der Führungsebene und dem Vorstand vorangetrieben. Dort spielt die Sorge um die Einhaltung gesetzlicher Vorschriften, rechtliche Konsequenzen und Reputationsschäden für Marken eine große Rolle. In der Vergangenheit fielen Disaster Recovery und Business Continuity vor allem in die Domäne des Risikomanagements und der Rechtsabteilungen. Sicherheit spielte dagegen eine untergeordnete Rolle. Mittlerweile stehen CISOs jedoch an der Spitze dieser Bemühungen, so Whelan.

Disaster Recovery und Business Continuity zu priorisieren bedeutet, mehr Geld auszugeben: Laut Forresters „State of Resilience 2025“-Bericht erwarten 37 Prozent der Befragten in den nächsten zwölf Monaten einen Anstieg der Finanzierung. Nur vier Prozent rechnen dagegen mit einem Rückgang, während der Rest erwartet, dass das Budget gleichbleibt.

Ist der Support der Führungsebene erst einmal gesichert, gilt es, als nächstes einstehendes Team aufzubauen, das die Bereiche

Sicherheit,

Rechenzentrum,

Speicher,

Compliance,

Recht,

Risikomanagement,

Geschäftsprozesse sowie

interne und externe Kommunikation

umfasst.

Unternehmen müssen zudem Silos aufbrechen und eine interdisziplinäre Gruppe bilden, die als kontinuierliche Einheit funktioniert und sich beständig weiterentwickelt, um neuen Bedrohungen zu begegnen.

Zu den spezifischen Rollen gehören:

ein Incident Reporter, der für die Kommunikation mit allen Beteiligten verantwortlich ist;

ein Planmanager, der sicherstellt, dass jeder die ihm zugewiesenen Aufgaben erfüllt; und

ein Asset Manager, der für die Sicherung und den Schutz kritischer Anlagen sowie die Berichterstattung über deren Status während des Vorfalls verantwortlich ist.

Schritt 2: Risiken identifizieren – und alle Daten lokalisieren

Risiken in einem großen, verteilten Unternehmen zu identifizieren ist eine komplexe Aufgabe. Sie lauern überall, fangen bei Cyberattacken, einschließlich Insider-Angriffen, an und umfassen menschliches Versagen, Systemausfälle bei der Hard- und Software sowie beim Netzwerk, Naturkatastrophen und Schwachstellen von Drittanbietern in Lieferketten, bei Cloud-Service-Providern und SaaS-Anbietern.

Als Hauptursachen dafür, dass Disaster-Recovery- und Business-Continuity-Pläne in Anspruch genommen werden, gaben die Teilnehmenden der Forrester-Studie 

IT-Ausfälle,

Naturkatastrophen,

IT-Sicherheitsvorfälle,

Lieferkettenunterbrechungen und

Stromausfälle

an. Jede Risikoart erfordert dabei einen anderen Reaktionsplan, so die Experten.

Todd Renner, Senior Managing Director im Bereich Cybersicherheit bei FTI Consulting fügt hinzu, dass Unternehmen oft Schwierigkeiten haben, grundlegende Fragen wie „Wo sind meine Daten?“ und „Wem gehören die Daten?“ zu beantworten. Je komplexer das System ist, desto schwieriger ist es laut Renner, die Verantwortlichen dafür zu identifizieren und den Speicherort der Daten – sowohl strukturierter als auch unstrukturierter – zu ermitteln.

Die gute Nachricht ist, dass es KI-gesteuerte Softwaretools gibt, die strukturierte und unstrukturierte Unternehmensdaten scannen können, um Schwachstellen zu identifizieren, Daten zu ermitteln und die Daten zu klassifizieren.

Gartner prognostiziert, dass bis 2029 90 Prozent der Backup- und Datenschutzplattformen generative KI integrieren werden, um Management- und Supportvorgänge zu verbessern. Im Jahr 2025 sind es laut den Analysten weniger als 25 Prozent.

Schritt 3: Business-Impact-Analyse durchführen

Daten dienen nicht dem Selbstzweck, sondern unterstützen das Geschäft. Unternehmen müssen daher die Auswirkungen eines Notfalls auf das Business verstehen und nicht alles, sondern nur das Nötige sichern.

Alle Einzelteile eines komplexen Geschäftsprozesses zu identifizieren kann jedoch überwältigend sein. Das gilt besonders in einer Hybrid- oder Multi-Cloud-Umgebung mit zahlreichen Microservices, Containern, APIs, Identitäts- und Zugriffskontrollen und SaaS-Anwendungen.

Whelan von Accenture empfiehlt daher, im Falle einer Katastrophe nicht den gesamten Betrieb wiederherzustellen, sondern eine auf das Nötigste reduzierte Version des Unternehmens, ein sogenanntes Minimal Viable Business (MVB), zu erstellen. Dieses kann sofort hochgefahren werden, um geschäftskritische Prozesse aufrechtzuerhalten, während herkömmliche Backup- und Wiederherstellungsmaßnahmen laufen.

Ein solches sofort einsatzbereites Failover-System kann Kernfunktionen wie E-Mail umfassen, die dem Unternehmen die interne und externe Kommunikation ermöglichen, während andere, weniger zeitkritische Funktionen wie etwa das ERP-System wiederhergestellt werden.

Dieser MVB-Ansatz erfordert laut Whelan eine enge Verzahnung von Geschäftseinheiten und Technologieteams. Gemeinsam müssen Abhängigkeiten zwischen kritischen Geschäftsfunktionen und die damit verbundenen Technologiekomponenten identifizieren.

Schritt 4: Backup-Strategien ändern sich von 3-2-1 zu 3-2-1-1-0

Die 3-2-1-Standardstrategie für Backups, reicht nicht mehr aus. Das Konzept, drei Datenkopien in zwei verschiedenen Backup-Formaten zu speichern, wobei eine Kopie extern vorgehalten wird, sollte durch das Format 3-2-1-1-0 ersetzt werden.

Die beiden zusätzlichen Elemente sind

ein Offline-Backup, ein unveränderliches oder Air-Gap-Backup, das Unternehmen im Falle eines Ransomware-Angriffs wieder auf die Beine bringt, und

eine Null-Fehler-Strategie.

Unveränderliche Daten sind zwar laut Whelan „der Goldstandard“, doch sie ordnungsgemäß zu implementieren ist komplex. So ist beispielsweise fraglich, wie ein Unternehmen im Katastrophenfall wissen kann, wann der letzte Snapshot erstellt wurde.

Genauso schwierig ist es für eine Firma sicherzustellen, dass die in einem unveränderlichen Datenspeicher gelagerten Daten korrekt und unbeschädigt sind „Wir stellen immer noch fest, dass Datensauberkeit und -sicherheit für Unternehmen ein großes Problem darstellen“, fügt er hinzu.

Renner von FTI weist zudem darauf hin, dass KI-gesteuerte Backup- und Wiederherstellungsplattformen Unternehmensdaten kontinuierlich auf ihre Genauigkeit prüfen. Sie könnten zudem Empfehlungen geben, wie oft Snapshots erstellt werden sollten, wo Daten gespeichert werden sollten und welche Daten gesichert werden müssen.

Gartner schätzt, dass bis 2029 35 Prozent der Unternehmen agentenbasierte KI für autonome Backup-Vorgänge implementieren werden – gegenüber weniger als zwei Prozent im Jahr 2025.

Schritt 5: Plan erstellen und testen

Es gibt zahlreiche Vorlagen wie ein eigentliches Plandokument erstellt werden kann und KI-Systeme können diesen Prozess automatisieren. Der Plan sollte klar formuliert sein und Verfahren beinhalten, um

Vorfälle zu erkennen und zu dokumentieren,

mit internen und externen Stakeholdern zu kommunizieren,

auf eine Naturkatastrophe notfalls zu reagieren,

die IT wiederherzustellen,

die Geschäftskontinuität aufrechtzuerhalten sowie

die Rollen und Verantwortlichkeiten der relevanten Parteien zu dokumentieren.

Eine solche Strategie muss allerdings auch getestet werden. Laut dem Forrester-Bericht hat sich die Testsituation seit 2008 dabei aber kaum verändert. „Die meisten Unternehmen prüfen alle Testarten nur einmal pro Jahr mit Plandurchläufen und Planübungen. Mit zunehmendem Umfang der Überprüfungen nimmt die Testhäufigkeit ab – 41 Prozent der Befragten gaben an, nie eine vollständige Simulation durchgeführt zu haben“, heißt es dort.

Planspiele sollten daher effektiver gestaltet werden, indem man von statischen PowerPoint-Präsentationen auf interaktive, spielerische Erlebnisse umsteigt, so Renner. Diese sind laut dem Experten realistischer und einleuchtender. „Ich habe noch nie erlebt, dass Planspiele nicht effektiv dabei helfen, jemandem einen Teil seines Geschäfts näherzubringen, über den er vorher nicht nachgedacht hat“, fügt er hinzu.

Schritt 6: Die Folgen bewältigen

Das letzte Puzzleteil ist die Post-Mortem-Analyse, eine Bestandsaufnahme nach einer Katastrophe. Unternehmen müssen genau bestimmen, was schiefgelaufen ist, und Wege finden ein solches Unglück in Zukunft zu vermeiden. (tf/jd)