:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wie viel Downtime kann ein Unternehmen verkraften? RTO, RPO & Co. helfen Unternehmen beim Disaster Recovery
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/76/607696cf2c231/rubrik.png "rubrik.png (Rubrik)")
Nur das nicht! Ausfälle der IT-Infrastruktur. Zwar laufen die meisten Systeme heute stabil, trotz alledem können jederzeit Ereignisse auftreten, die zu Hardware-Ausfällen oder Datenverlusten führen: Eine Schadsoftware wie „Emotet“, ein banaler Kurzschluss, ein lückenhaftes Backup oder der Ausfall eines SAP-Systems können schnell Compliance-Probleme bereiten oder ganze Organisationen lahmlegen.
Dabei ist jedem IT-Verantwortlichen klar, dass mit begrenztem Budget kein hundertprozentiger Schutz gegen alle Eventualitäten möglich ist. Das optimale Sicherheitskonzept ist immer ein Kompromiss, jedes Unternehmen muss dabei für sich entscheiden, wie viel Sicherheit es sich leisten will oder kann. Wichtige Parameter bei der Bestimmung sind die Kennzahlen Recovery Time Objective (RTO) und Recovery Point Objective (RPO).
Disaster Recovery versus Business Continuity
RTO und RPO dienen Unternehmen dazu, einen Notfallplan zur Wiederherstellung des Betriebs nach einem unerwarteten Schadensfall (Disaster Recovery) zu entwickeln und die Geschäftskontinuität (Business Continuity) aufrecht zu erhalten. Disaster Recovery umfasst Maßnahmen, die nach einem Ausfall von Komponenten eingeleitet werden, beispielsweise Aktionen zur Datenwiederherstellung oder das Ersetzen zerstörter Infrastruktur oder Hardware.
:quality(80)/images.vogel.de/vogelonline/bdb/1593400/1593493/original.jpg "Recovery Time Objective (RTO) wird in Sekunden, Minuten, Stunden oder Tagen gemessen und ist ein bedeutender Parameter des Disaster-Recovery-Plans (DRP). (© djama - stock.adob.com)")
Die Beherrschbarkeit von Störfällen
Was ist Recovery Time Objective (RTO)?
Business Continuity geht darüber hinaus. Ziel sind hierbei möglichst unterbrechungsfreie Geschäftsabläufe, nicht die reine Wiederherstellung defekter Komponenten. Ein Business-Continuity-Plan dient vor allem der Vermeidung von IT-Ausfällen, die zum Ruin eines Unternehmens führen würden. Die Eckdaten dafür liefern die individuellen Toleranzgrenzen für Ausfallzeiten, die anhand einer Analyse von RTO und RPO festgelegt werden. Auf diese Weise lassen sich die maximal tolerierbaren Stunden für eine Datenwiederherstellung bestimmen, Datensicherungszyklen einrichten sowie Methoden für den Wiederherstellungsprozess definieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1589400/1589444/original.jpg "Der Recovery Point Objective (RPO) ist ein zentraler Punkt des Disaster-Recovery-Plans (DRP). (© djama - stock.adob.com)")
Auf Nummer sicher
Was ist Recovery Point Objective (RPO)?
Beide Kennzahlen ähneln sich, sind aber so etwas wie zwei Seiten einer Medaille. Die Recovery Time Objective misst, wie lange es sich ein Unternehmen leisten kann, dass ein für den Geschäftsprozess relevantes System ausfällt. Je kürzer diese Zeit ist, desto höher die benötigte Sicherheit. Bei einem RTO von 24 Stunden geht das Management davon aus, dass der Ausfall des Betriebs für einen kompletten Tag zu verkraften ist. Nach spätestens 24 Stunden würde das Unternehmen aber einen irreparablen Schaden erleiden.
Demgegenüber misst das Recovery Point Objective, welchen maximalen Datenverlust ein Unternehmen verkraften kann, wenn ein wichtiges IT-System ausfällt. Der Wiederherstellungspunkt (RPO) bestimmt die maximale Datenmenge, die in einem Katastrophenszenario verloren gehen darf. Da Bits und Bytes nichts über die Qualität von Daten aussagen, wird auch diese Messgröße in Zeiteinheiten gefasst – und zwar nach der Häufigkeit, mit der Backups durchgeführt werden.
Hier gilt: Je geringer der Zeitraum zwischen zwei Datensicherungen, desto geringer ist der Datenverlust. Ist überhaupt kein Datenverlust tolerierbar, liegt der RPO bei null Sekunden. Unternehmen, die ihre Daten zum Beispiel einmal täglich um Mitternacht sichern, müssten theoretisch einen RPO von 24 Stunden akzeptieren. Sie könnten – würden die Systeme um fünf vor Zwölf zerstört – Daten im Wert von 24 Stunden verlieren. Kann ein Unternehmen jedoch nur maximal acht Stunden verkraften, muss es die Abstände zwischen den Sicherungszyklen entsprechend verkürzen.
Jedes Unternehmen hat andere Sicherheitsanforderungen
Gesetzt den Fall, RTO und RPO sind definiert, kommt im Ernstfall eine weitere Kennzahl zum Tragen, die tatsächliche Wiederherstellungszeit (Recovery Time Actual oder kurz RTA). RTA charakterisiert Zeit und Methodik, die zur Wiederherstellung von IT-Systemen nach einem Notfall benötigt werden. Dieser Wert lässt sich nicht ohne Weiteres berechnen, daher wird er für Disaster-Recovery- oder Business-Continuity-Pläne in der Regel mittels einer Notfall- oder Wiederherstellungsübung ermittelt. Ähnlich einer Feuerwehrübung testen IT-Experten an simulierten Umgebungen, wie lange es mit den definierten Maßnahmen dauert, schadhafte Systemumgebungen wiederherzustellen oder verlorengegangene Daten zu rekonstruieren. Je kürzer der RTA, desto besser.
Beim Aushandeln von Service Level Agreements (SLA) spielen RTO und RPO eine wichtige Rolle. Diese Metriken lassen sich aber nicht „on the fly“ aus einem Business-Plan oder einer Datenanalyse extrahieren, sondern müssen individuell aus den Anforderungen des jeweiligen Unternehmens abgeleitet werden.
RTO beispielsweise ist stark abhängig vom Schadensereignis und der Wahrscheinlichkeit des Eintretens. Für einen Online-Shop hat ein Serverausfall des Web-Systems in der Vorweihnachtszeit sicherlich eine andere Bedeutung als für eine Unternehmensstiftung, die ihre Website vorwiegend für Image- und Repräsentationszwecke nutzt. Es bezieht sich auf das Geschäftsmodell und auf die gesamte Unternehmensinfrastruktur, nicht nur auf die gespeicherten Daten. Die Definition ist relativ kompliziert, da alle IT-Vorgänge berücksichtigt werden müssen.
Wo hoch ist die Verfügbarkeit insgesamt?
Übrigens: die Verfügbarkeit und etwaige Ausfallzeiten in Clouds oder Infrastrukturen lassen sich einfach berechnen. Ein kleines Tool dafür, das zudem auch die Gesamtverfügbarkeit einer Elementkette berechnet, finden Sie auf der Adacor-Webseite.
Zur Bestimmung des RPO wiederum müssen Unternehmen sich ihre Daten – die Mengen, die Strukturen und die Qualitäten – genau anschauen. Welche Daten wie oft gesichert werden sollten, ist weniger kompliziert einzuschätzen als die Bestimmung des RTO. Zur Erreichung von RPO-Zielen reicht die Durchführung der Datensicherungen im richtigen Intervall. Entsprechende Maßnahmen lassen sich auch sehr gut automatisieren.
Richtig gesetzte SLAs und Business Continuity Strategie
Unabhängig davon, wie RTO, RPO und RTA aussehen, gilt es, SLAs auszuhandeln und eine Business-Continuity-Strategie zu entwickeln. Dabei sollten folgende Punkte Berücksichtigung finden:
- Was für Desaster-Szenarien sind wirklich wahrscheinlich (Anwenderfehler, Hacker-Angriffe, Elementarschäden, Diebstahl, Pandemien, sonstiges)?
- Ernstfall proben, denn wann wurde das IT-System das letzte Mal für einen Worst Case auf die Probe gestellt?
- In welchen Bereichen sollte Ersatzhardware vorgehalten werden – gerade Corona hat aufgezeigt, dass Ersatzlieferungen auch für längere Zeit ausfallen können
- Aufbau und Einhalten einer regelmäßigen Backup-Strategie
- Praktischer Test eines kompletten Restore (viele Firmen sichern nur, testen aber nie den umgekehrten Fall)
- Gibt es Übergangsszenarien, mit denen sich die Zeit bis zur vollständigen Wiederherstellung des Urzustandes überbrücken lässt?
- Prioritätenliste aufsetzen: Welche Dienste, Abteilungen oder Anwender müssen als erste nach einem Ausfall wieder an den Start gehen?
Hundertprozentige Sicherheit gibt es nicht
Bei der Planung sollte immer realistisch überlegt werden, welche Maßnahmen sinnvoll und wirtschaftlich tragbar sind. Im Idealfall liegen RTO und RPO bei Null, es gibt also keine Ausfallzeit und keinen Datenverlust. Dies wäre technisch durchaus zu realisieren – zum Beispiel durch die mehrfache Spiegelung aller Anwendungen auf Großrechnern in verschiedenen Rechenzentren – jedoch unfassbar teuer. Und auch nicht notwendig, weil in der Regel nicht alle Daten und Abläufe in einem Unternehmen gleichermaßen kritisch sind. Es gibt keine „Faustregel“ für die Festlegung der Metriken, aber es ist sicher ratsam, RTO und RPO in regelmäßigen Abständen auf den Prüfstand zu stellen.
Gemeinsam mit ihrem Managed Service Provider oder qualifizierten IT-Sicherheitsexperten können Unternehmen einen strukturierten Reaktionsplan entwerfen, der im Fall eines ungeplanten Vorfalls abgerufen werden kann. Überdimensionierte Investitionen in die RTO- und RPO-Absicherung lassen sich vermeiden, wenn nicht Angst oder übertriebenes Sicherheitsbedürfnis, sondern eine realistische Einschätzung von Risiken und Toleranzgrenzen das Management leiten. Denn in der IT gilt das Gleiche wie im echten Leben: Hundertprozentige Sicherheit gibt es nicht.
* Der Autor
Andreas Bachmann ist Mitgründer und CEO von Adacor Hosting. Er verantwortet unter anderem die Bereiche Software-Entwicklung, Marketing, Datenschutz und Compliance. In seinen Beiträgen beschäftigt er sich mit Datensicherheit und IT-Security. Weitere Schwerpunkte sind wichtige Methoden strategischer Managementführung und die Erfahrungen bei der Umsetzung damit einhergehender Prozessanpassungen.
(ID:46640048)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945541/original.jpg "Ransomware ist nach wie vor das alles überschattende Sicherheitsproblem der IT. Um dieser Gefahr adäquat begegnen zu können, müssen nicht nur Schutzmaßnahmen, sondern auch Datenwiederherstellungslösungen auf Cyberattacken und deren Folgen zugeschnitten sein. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934657/original.jpg "In Multi-Cloud-Architekturen ist ein lückenloses Backup eine nicht zu unterschätzende Herausforderung. (© vectorfusionart - stock.adobe.com)")