Mit Disaster Recovery wird eine Strategie bezeichnet, mit der der IT-Betrieb nach einem Störungs- oder Katastrophenfall möglichst schnell und umfassend wieder aufgenommen werden kann. Vor allem für hochgradig digitalisierte Unternehmen ist es inzwischen Unerlässlich, sich bereits im Vorfeld intensiv mit diesem Thema zu beschäftigen und einen so genannten Disaster Recovery Plan zu erstellen. Dieser beinhaltet verschiedene Maßnahmen, um beispielsweise IT-Infrastrukturen oder wichtige Daten wiederherzustellen.
Das Feld an möglichen Katastrophen ist ein sehr breites und reicht von Elementarereignissen, wie Bränden oder Überschwemmungen bis hin zu Stromausfällen, Diebstahl, Vandalismus oder aber auch Cyberangriffe (etwa mit Erpressungstrojanern).
Ziel des Notfallplans ist es, die negativen Auswirkungen auf das Unternehmen so gering wie möglich zu halten. Sehr oft wird dafür auch das Schlagwort Business Continuity verwendet, was allerdings nicht ganz korrekt ist. Business Continuity ist weitaus umfassender, da es hier nicht nur um die Wiederherstellung von IT-Services, sondern um die Aufrechterhaltung kritischer Geschäftsabläufe im Allgemeinen geht. Der Schwerpunkt von Business Continuity liegt darauf, dass das Unternehmen „weiterläuft“. Beide Elemente arbeiten allerdings eng zusammen.
Mit einem ausgeklügelten Disaster Recovery Notfallplan ist ein Unternehmen in der Lage, nach einer Unterbrechung geschäftskritische Funktionen recht schnell wieder hochzufahren bzw. verlorene Daten zu retten. Wesentliche Maßnahmen sind unter anderem die Schaffung von Redundanzen und die Durchführung einer durchdachten Backup-Strategie. Eine Notfallwiederherstellung kann übrigens auch aus der Cloud in Form von Disaster-Recovery-as-a-Service (DRaaS) bezogen werden. Die Anbieter stellen hierbei Backup-Services, Speicherkapazität, virtuelle Server und virtuelle IT-Strukturen zur Verfügung.
Vor bzw. bei der Erstellung eines Notfallplans sind zwei wesentliche Fragen abzuklären, die beide darauf abzielen, wie viel und wie lange das Unternehmen ein IT-Desaster verkraften kann: RTO (Recovery Time Objective) definiert, wie lange ein bestimmtes System ausfallen darf. Hierfür wird die Zeit zwischen dem Eintreten des Störungsfalls und der Wiederherstellung des Systems benannt. Je nach Wichtigkeit kann die RTO zwischen wenigen Sekunden und mehreren Wochen betragen. RPO (Recovery Point Objective) legt fest, welche Menge an Datenverlust im Störungsfall hinnehmbar ist. Daran orientiert sich übrigens auch die maximale Zeitspanne, die zwischen zwei Datensicherungen liegen darf.