:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wie viel Downtime kann ein Unternehmen verkraften? RTO, RPO & Co. helfen Unternehmen beim Disaster Recovery
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Nur das nicht! Ausfälle der IT-Infrastruktur. Zwar laufen die meisten Systeme heute stabil, trotz alledem können jederzeit Ereignisse auftreten, die zu Hardware-Ausfällen oder Datenverlusten führen: Eine Schadsoftware wie „Emotet“, ein banaler Kurzschluss, ein lückenhaftes Backup oder der Ausfall eines SAP-Systems können schnell Compliance-Probleme bereiten oder ganze Organisationen lahmlegen.
Dabei ist jedem IT-Verantwortlichen klar, dass mit begrenztem Budget kein hundertprozentiger Schutz gegen alle Eventualitäten möglich ist. Das optimale Sicherheitskonzept ist immer ein Kompromiss, jedes Unternehmen muss dabei für sich entscheiden, wie viel Sicherheit es sich leisten will oder kann. Wichtige Parameter bei der Bestimmung sind die Kennzahlen Recovery Time Objective (RTO) und Recovery Point Objective (RPO).
Disaster Recovery versus Business Continuity
RTO und RPO dienen Unternehmen dazu, einen Notfallplan zur Wiederherstellung des Betriebs nach einem unerwarteten Schadensfall (Disaster Recovery) zu entwickeln und die Geschäftskontinuität (Business Continuity) aufrecht zu erhalten. Disaster Recovery umfasst Maßnahmen, die nach einem Ausfall von Komponenten eingeleitet werden, beispielsweise Aktionen zur Datenwiederherstellung oder das Ersetzen zerstörter Infrastruktur oder Hardware.
:quality(80)/images.vogel.de/vogelonline/bdb/1593400/1593493/original.jpg "Recovery Time Objective (RTO) wird in Sekunden, Minuten, Stunden oder Tagen gemessen und ist ein bedeutender Parameter des Disaster-Recovery-Plans (DRP). (© djama - stock.adob.com)")
Die Beherrschbarkeit von Störfällen
Was ist Recovery Time Objective (RTO)?
Business Continuity geht darüber hinaus. Ziel sind hierbei möglichst unterbrechungsfreie Geschäftsabläufe, nicht die reine Wiederherstellung defekter Komponenten. Ein Business-Continuity-Plan dient vor allem der Vermeidung von IT-Ausfällen, die zum Ruin eines Unternehmens führen würden. Die Eckdaten dafür liefern die individuellen Toleranzgrenzen für Ausfallzeiten, die anhand einer Analyse von RTO und RPO festgelegt werden. Auf diese Weise lassen sich die maximal tolerierbaren Stunden für eine Datenwiederherstellung bestimmen, Datensicherungszyklen einrichten sowie Methoden für den Wiederherstellungsprozess definieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1589400/1589444/original.jpg "Der Recovery Point Objective (RPO) ist ein zentraler Punkt des Disaster-Recovery-Plans (DRP). (© djama - stock.adob.com)")
Auf Nummer sicher
Was ist Recovery Point Objective (RPO)?
Beide Kennzahlen ähneln sich, sind aber so etwas wie zwei Seiten einer Medaille. Die Recovery Time Objective misst, wie lange es sich ein Unternehmen leisten kann, dass ein für den Geschäftsprozess relevantes System ausfällt. Je kürzer diese Zeit ist, desto höher die benötigte Sicherheit. Bei einem RTO von 24 Stunden geht das Management davon aus, dass der Ausfall des Betriebs für einen kompletten Tag zu verkraften ist. Nach spätestens 24 Stunden würde das Unternehmen aber einen irreparablen Schaden erleiden.
Demgegenüber misst das Recovery Point Objective, welchen maximalen Datenverlust ein Unternehmen verkraften kann, wenn ein wichtiges IT-System ausfällt. Der Wiederherstellungspunkt (RPO) bestimmt die maximale Datenmenge, die in einem Katastrophenszenario verloren gehen darf. Da Bits und Bytes nichts über die Qualität von Daten aussagen, wird auch diese Messgröße in Zeiteinheiten gefasst – und zwar nach der Häufigkeit, mit der Backups durchgeführt werden.
Hier gilt: Je geringer der Zeitraum zwischen zwei Datensicherungen, desto geringer ist der Datenverlust. Ist überhaupt kein Datenverlust tolerierbar, liegt der RPO bei null Sekunden. Unternehmen, die ihre Daten zum Beispiel einmal täglich um Mitternacht sichern, müssten theoretisch einen RPO von 24 Stunden akzeptieren. Sie könnten – würden die Systeme um fünf vor Zwölf zerstört – Daten im Wert von 24 Stunden verlieren. Kann ein Unternehmen jedoch nur maximal acht Stunden verkraften, muss es die Abstände zwischen den Sicherungszyklen entsprechend verkürzen.
Jedes Unternehmen hat andere Sicherheitsanforderungen
Gesetzt den Fall, RTO und RPO sind definiert, kommt im Ernstfall eine weitere Kennzahl zum Tragen, die tatsächliche Wiederherstellungszeit (Recovery Time Actual oder kurz RTA). RTA charakterisiert Zeit und Methodik, die zur Wiederherstellung von IT-Systemen nach einem Notfall benötigt werden. Dieser Wert lässt sich nicht ohne Weiteres berechnen, daher wird er für Disaster-Recovery- oder Business-Continuity-Pläne in der Regel mittels einer Notfall- oder Wiederherstellungsübung ermittelt. Ähnlich einer Feuerwehrübung testen IT-Experten an simulierten Umgebungen, wie lange es mit den definierten Maßnahmen dauert, schadhafte Systemumgebungen wiederherzustellen oder verlorengegangene Daten zu rekonstruieren. Je kürzer der RTA, desto besser.
Beim Aushandeln von Service Level Agreements (SLA) spielen RTO und RPO eine wichtige Rolle. Diese Metriken lassen sich aber nicht „on the fly“ aus einem Business-Plan oder einer Datenanalyse extrahieren, sondern müssen individuell aus den Anforderungen des jeweiligen Unternehmens abgeleitet werden.
RTO beispielsweise ist stark abhängig vom Schadensereignis und der Wahrscheinlichkeit des Eintretens. Für einen Online-Shop hat ein Serverausfall des Web-Systems in der Vorweihnachtszeit sicherlich eine andere Bedeutung als für eine Unternehmensstiftung, die ihre Website vorwiegend für Image- und Repräsentationszwecke nutzt. Es bezieht sich auf das Geschäftsmodell und auf die gesamte Unternehmensinfrastruktur, nicht nur auf die gespeicherten Daten. Die Definition ist relativ kompliziert, da alle IT-Vorgänge berücksichtigt werden müssen.
Wo hoch ist die Verfügbarkeit insgesamt?
Übrigens: die Verfügbarkeit und etwaige Ausfallzeiten in Clouds oder Infrastrukturen lassen sich einfach berechnen. Ein kleines Tool dafür, das zudem auch die Gesamtverfügbarkeit einer Elementkette berechnet, finden Sie auf der Adacor-Webseite.
Zur Bestimmung des RPO wiederum müssen Unternehmen sich ihre Daten – die Mengen, die Strukturen und die Qualitäten – genau anschauen. Welche Daten wie oft gesichert werden sollten, ist weniger kompliziert einzuschätzen als die Bestimmung des RTO. Zur Erreichung von RPO-Zielen reicht die Durchführung der Datensicherungen im richtigen Intervall. Entsprechende Maßnahmen lassen sich auch sehr gut automatisieren.
Richtig gesetzte SLAs und Business Continuity Strategie
Unabhängig davon, wie RTO, RPO und RTA aussehen, gilt es, SLAs auszuhandeln und eine Business-Continuity-Strategie zu entwickeln. Dabei sollten folgende Punkte Berücksichtigung finden:
- Was für Desaster-Szenarien sind wirklich wahrscheinlich (Anwenderfehler, Hacker-Angriffe, Elementarschäden, Diebstahl, Pandemien, sonstiges)?
- Ernstfall proben, denn wann wurde das IT-System das letzte Mal für einen Worst Case auf die Probe gestellt?
- In welchen Bereichen sollte Ersatzhardware vorgehalten werden – gerade Corona hat aufgezeigt, dass Ersatzlieferungen auch für längere Zeit ausfallen können
- Aufbau und Einhalten einer regelmäßigen Backup-Strategie
- Praktischer Test eines kompletten Restore (viele Firmen sichern nur, testen aber nie den umgekehrten Fall)
- Gibt es Übergangsszenarien, mit denen sich die Zeit bis zur vollständigen Wiederherstellung des Urzustandes überbrücken lässt?
- Prioritätenliste aufsetzen: Welche Dienste, Abteilungen oder Anwender müssen als erste nach einem Ausfall wieder an den Start gehen?
Hundertprozentige Sicherheit gibt es nicht
Bei der Planung sollte immer realistisch überlegt werden, welche Maßnahmen sinnvoll und wirtschaftlich tragbar sind. Im Idealfall liegen RTO und RPO bei Null, es gibt also keine Ausfallzeit und keinen Datenverlust. Dies wäre technisch durchaus zu realisieren – zum Beispiel durch die mehrfache Spiegelung aller Anwendungen auf Großrechnern in verschiedenen Rechenzentren – jedoch unfassbar teuer. Und auch nicht notwendig, weil in der Regel nicht alle Daten und Abläufe in einem Unternehmen gleichermaßen kritisch sind. Es gibt keine „Faustregel“ für die Festlegung der Metriken, aber es ist sicher ratsam, RTO und RPO in regelmäßigen Abständen auf den Prüfstand zu stellen.
Gemeinsam mit ihrem Managed Service Provider oder qualifizierten IT-Sicherheitsexperten können Unternehmen einen strukturierten Reaktionsplan entwerfen, der im Fall eines ungeplanten Vorfalls abgerufen werden kann. Überdimensionierte Investitionen in die RTO- und RPO-Absicherung lassen sich vermeiden, wenn nicht Angst oder übertriebenes Sicherheitsbedürfnis, sondern eine realistische Einschätzung von Risiken und Toleranzgrenzen das Management leiten. Denn in der IT gilt das Gleiche wie im echten Leben: Hundertprozentige Sicherheit gibt es nicht.
* Der Autor
Andreas Bachmann ist Mitgründer und CEO von Adacor Hosting. Er verantwortet unter anderem die Bereiche Software-Entwicklung, Marketing, Datenschutz und Compliance. In seinen Beiträgen beschäftigt er sich mit Datensicherheit und IT-Security. Weitere Schwerpunkte sind wichtige Methoden strategischer Managementführung und die Erfahrungen bei der Umsetzung damit einhergehender Prozessanpassungen.
(ID:46640048)
:quality(80)/p7i.vogel.de/wcms/bf/c4/bfc4de24efa0760f55b72443d5df0837/0109544715.jpeg "Arcitecta bietet eine Lösung an, welche die Verwaltung von „Milliarden von Dateien im Peta- und Exabyte-Bereich“ ermöglichen soll und mit deren Hilfe es unnötig werden soll, „für Entschlüsselungscodes Lösegeld zu zahlen“. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")