Cloud Disaster Recovery: Bestens vorbereitet für den Worst Case
Cloud Disaster Recovery (Cloud DR) sichert Daten, Anwendungen und ganze IT-Systeme in einer Cloud-Umgebung ab, damit sie nach Ausfällen schnell wiederhergestellt werden können. Entscheidend sind dabei klare Wiederherstellungsziele, regelmäßige Tests, passende Architekturmodelle sowie Schutzmechanismen gegen Cyberangriffe und Compliance-Verstöße.
Ersetzen Sie eigene, kostenintensive Speicherlösungen mit IONOS CLOUD Object Storage. Es ist hochgradig skalierbar, äußerst kosteneffizient und integriert sich in Ihre Anwendungsszenarien. Die extrem hohe Ausfallsicherheit unserer Server sowie eine individuelle Zugriffssteuerung schützen Ihre Daten zuverlässig.
Was ist Cloud Disaster Recovery (Cloud DR)?
Cloud Disaster Recovery (dt. cloudbasierte Notfallwiederherstellung), oder kurz Cloud DR, bezeichnet eine Notfall-Absicherungsstrategie für Daten, Workloads, Anwendungen, Konfigurationen und IT-Infrastruktur. Anders als herkömmliche Ansätze setzt Cloud DR auf eine Speicherung in der Cloud. Kommt es zu einem Ausfall, lassen sich die betroffenen Daten, Anwendungen und sonstigen Ressourcen aus der Cloud wiederherstellen, um den gewohnten Geschäftsalltag schnellstmöglich wieder aufnehmen zu können. Mittlerweile bieten verschiedene Unternehmen Disaster Recovery as a Service (DRaaS) an.
Was unterscheidet Cloud Disaster Recovery von einfachen Cloud-Backups?
Cloud-Backups und Cloud Disaster Recovery verfolgen unterschiedliche Ziele: Ein Cloud-Backup sichert in erster Linie Daten, damit sie bei Verlust wiederhergestellt werden können. Cloud DR geht weiter und berücksichtigt auch Anwendungen, Systeme, Konfigurationen und Wiederherstellungsprozesse. Ziel ist nicht nur die Rücksicherung einzelner Dateien, sondern der schnelle Wiederanlauf geschäftskritischer IT-Services nach einem Ausfall.
Daran anknüpfend spielen klar definierte Wiederherstellungsziele eine zentrale Rolle in modernen Cloud-DR-Strategien: Das Recovery Point Objective (RPO) beschreibt den maximal tolerierbaren Datenverlust, während das Recovery Time Objective (RTO) die maximale Dauer eines Systemausfalls festlegt. Diese Kennzahlen helfen dabei, Anforderungen an Verfügbarkeit und Datensicherheit konkret zu definieren und passende technische und organisatorische Maßnahmen für den Ernstfall abzuleiten.
Trotz der Auslagerung vieler technischer Komponenten gilt bei Cloud DR das Prinzip der geteilten Verantwortung: Während der Provider die Cloud-Infrastruktur und deren Betrieb absichert, bleibt das Unternehmen für die eigene DR-Strategie verantwortlich – etwa für die Priorisierung kritischer Systeme, die Definition von Wiederherstellungszielen, die Vergabe von Zugriffsrechten sowie regelmäßige Tests der Wiederherstellungsprozesse.
Der Cloud-DR-Lebenszyklus in der Praxis
Damit Cloud Disaster Recovery im Ernstfall zuverlässig funktioniert, reicht es nicht aus, lediglich Sicherungen in der Cloud abzulegen. Vielmehr handelt es sich um einen fortlaufenden Prozess, der regelmäßig überprüft, angepasst und getestet werden muss. Der DR-Lebenszyklus umfasst dabei mehrere aufeinander aufbauende Phasen:
Risikoanalyse und Business-Impact-Analyse
Am Anfang steht die Identifikation der kritischen Workloads, Anwendungen, Systeme und Datenbestände, die für den Geschäftsbetrieb unverzichtbar sind. Ergänzend dazu wird im Rahmen einer Business-Impact-Analyse (BIA) bewertet, welche geschäftlichen Folgen der Ausfall einzelner Prozesse und IT-Ressourcen hätte. So lässt sich bestimmen, welche Systeme besonders priorisiert abgesichert werden müssen und welche Anforderungen an Wiederherstellungszeit und maximal tolerierbaren Datenverlust gelten.
Zusätzlich wird analysiert, welche Abhängigkeiten zwischen den einzelnen IT-Ressourcen bestehen und welche Ausfallrisiken besonders schwer wiegen. Diese Bewertung bildet die Grundlage für die gesamte Disaster-Recovery-Strategie.
Implementierung
Aufbauend auf der Analyse wird die technische Umsetzung der Recovery-Umgebung geplant und eingerichtet. In modernen Cloud-DR-Konzepten erfolgt dies häufig automatisiert über Infrastructure-as-Code- und Konfigurationsmanagement-Tools wie Terraform oder Ansible.
Der Vorteil: Infrastrukturen, Konfigurationen und Wiederherstellungsprozesse lassen sich standardisiert, reproduzierbar und deutlich schneller bereitstellen. Gleichzeitig sinkt das Risiko manueller Fehler, und Anpassungen können bei veränderten Anforderungen effizient umgesetzt werden.
Testing
Damit die Wiederherstellung im Ernstfall nicht nur auf dem Papier funktioniert, sind regelmäßige Tests unverzichtbar. Dazu gehören automatisierte Failover-Tests, mit denen überprüft wird, ob Systeme, Anwendungen und Daten wie geplant in die Cloud-Umgebung umgeschaltet werden können. Ebenso wichtig ist das Failback – also der geregelte Rückwechsel in die ursprüngliche oder eine neu aufgebaute Primärumgebung, nachdem der Notfallbetrieb stabilisiert wurde.
Nur wenn sowohl Failover als auch Failback getestet werden, lässt sich sicherstellen, dass der gesamte Wiederherstellungsprozess in der Praxis funktioniert und keine Inkonsistenzen oder ungeplanten Ausfallzeiten beim Rückwechsel entstehen. Besonders wichtig ist, dass solche Tests möglichst ohne Betriebsstörung stattfinden, damit Unternehmen ihre Notfallstrategie realistisch prüfen können, ohne den laufenden Geschäftsbetrieb zu gefährden.
Optimierung und Aktualisierung
Da sich IT-Landschaften, Geschäftsprozesse und Bedrohungsszenarien laufend verändern, muss auch die Cloud-DR-Strategie kontinuierlich weiterentwickelt werden. Neue Anwendungen, geänderte Prioritäten oder zusätzliche Sicherheitsanforderungen sollten regelmäßig in die Planung einfließen. Nur so bleibt gewährleistet, dass die Disaster-Recovery-Maßnahmen auch langfristig zum tatsächlichen Bedarf des Unternehmens passen.
Cyber Recovery
Das Thema Cyber Recovery gewinnt zunehmend an Bedeutung. Anders als beim klassischen Disaster Recovery geht es dabei nicht nur um eine schnelle Wiederherstellung nach einem Ausfall, sondern um die Rückkehr in einen vertrauenswürdigen Betriebszustand nach einem Cyberangriff, etwa durch Ransomware oder Datenmanipulation.
Zu diesem Zweck kommen häufig unveränderliche Wiederherstellungspunkte (Immutable Backups) sowie Air-Gap-Konzepte zum Einsatz, bei denen Backup-Daten und Recovery-Infrastrukturen physisch oder logisch vom Produktivnetz getrennt werden. So soll verhindert werden, dass Angreifer im Ernstfall auch die Wiederherstellungsbasis kompromittieren.
Vor einem Restore werden die gesicherten Daten und Systemabbilder in der Regel in einer isolierten Recovery- oder Cleanroom-Umgebung überprüft. In einer solchen Secure Isolated Recovery Environment (SIRE) lässt sich kontrollieren, ob Backups unveränderbar, frei von Malware und für die Wiederinbetriebnahme geeignet sind. Erst danach werden Anwendungen, Daten und Systeme schrittweise und kontrolliert in die Produktivumgebung zurückgeführt.
Ergänzend setzen moderne Cyber-Recovery-Lösungen zunehmend auf KI- bzw. ML-gestützte Anomalieerkennung während Backup und Replikation. Dabei werden auffällige Muster wie ungewöhnlich viele Dateiänderungen, plötzlich steigende Datenentropie, verdächtige Verschlüsselungsaktivitäten oder unerwartete Löschvorgänge erkannt. Solche Hinweise können dabei helfen, kompromittierte Wiederherstellungspunkte frühzeitig zu identifizieren und nur saubere Daten für die Wiederherstellung zu verwenden.
Welche Vorteile bietet Cloud DR gegenüber klassischen Konzepten?
Disaster Recovery gibt es prinzipiell auch ohne Cloud – die Absicherung der geschäftskritischen Ressourcen findet bei den klassischen Ansätzen der Notfallwiederherstellung hausintern, über ein zweites Rechenzentrum, Colocation, einen Ausweichstandort oder einen Dienstleister statt. Insbesondere in vier Punkten zeigen sich dabei deutliche Unterschiede im Vergleich zum modernen Cloud-Disaster-Recovery-Konzept:
Komplexität und Wartungsaufwand
Der entscheidende Unterschied zwischen Cloud DR und klassischer DR ist der Aufwand, der mit Einrichtung und Pflege der erforderlichen Hard- und Software für die Absicherung und Wiederherstellung verknüpft ist. Unternehmen, die sich für einen Notfallplan in der Cloud entscheiden, profitieren von dem Vorteil, dass sämtliche Technik ausgelagert wird und nicht in den eigenen Räumen aufgebaut und administriert werden muss.
Außerdem übernimmt der Cloud-Provider die Wartung der zugrunde liegenden Infrastruktur. Je nach Servicemodell oder DRaaS-Angebot können zusätzlich Teile der Orchestrierung, Überwachung und Wiederherstellungsprozesse durch den Anbieter oder einen Managed Service Provider abgedeckt werden.
Kosten und Flexibilität
Cloud Disaster Recovery kann Investitionskosten für eigene Hardware und Ausweichinfrastruktur reduzieren, ersetzt diese aber durch laufende Betriebskosten. Je nach Modell entstehen diese unter anderem für:
- Speicher
- Replikation
- Compute-Ressourcen
- Tests
- Datenübertragung
Besonders Warm Standby und Multi-Site Active/Active sind dauerhaft kostenintensiv, weil Recovery-Umgebungen bereits teilweise oder vollständig aktiv betrieben werden. Der finanzielle Vorteil hängt daher stark von den angestrebten RTO- und RPO-Zielen ab.
Sicherheit
Ein weiterer Vorteil von Cloud DR ist der hohe Sicherheitsstandard, den Cloud-Service-Provider oder Systemhäuser bieten. Dabei geht es nicht nur um die digitale Sicherheit der Daten, die durch Sicherheits- und Verschlüsselungssoftware erzielt wird. Auch der Schutz vor einem Diebstahl der Daten vor Ort, vor Naturkatastrophen oder Bränden ist in einem externen Rechenzentrum deutlich höher als bei einer Lagerung der Daten im eigenen Unternehmen.
Datenschutz
Je nach Branche, Unternehmensgröße und Art der verarbeiteten Daten müssen beim Einsatz von Cloud Disaster Recovery bestimmte Datenschutz-, Sicherheits- und Compliance-Vorgaben eingehalten werden. Dazu zählen unter anderem Anforderungen an Datenresidenz, Verschlüsselung, Zugriffskontrollen, Aufbewahrung, Auditierbarkeit und – bei internationalen Datenflüssen – die rechtliche Absicherung von Drittlandtransfers.
Für betroffene Unternehmen sind außerdem Vorgaben aus der deutschen NIS2-Umsetzung bzw. dem novellierten BSIG relevant. Dazu zählen unter anderem Maßnahmen zur Aufrechterhaltung des Betriebs, etwa Backup-Management, Wiederherstellung nach einem Notfall und Krisenmanagement.
Die passende Cloud-DR-Architektur finden
Je nach Schutzbedarf, Budget und tolerierbarer Ausfallzeit kommen im Cloud Disaster Recovery unterschiedliche Architekturmodelle infrage. Sie unterscheiden sich vor allem darin, wie viele Systeme in der Cloud bereits vorbereitet oder aktiv betrieben werden und wie schnell sich der Geschäftsbetrieb im Ernstfall wieder aufnehmen lässt.
| Cloud-DR-Modell | RTO/RPO | Kosten und Aufwand | Geeignet für |
|---|---|---|---|
| Backup and Restore | eher hoch | niedrig | weniger kritische Systeme, Archivdaten, Anwendungen mit tolerierbarer Ausfallzeit |
| Pilot Light | mittel | niedrig bis mittel | wichtige Anwendungen, bei denen ein schnellerer Wiederanlauf nötig ist, aber keine permanente Vollumgebung betrieben werden soll |
| Warm Standby | niedrig | mittel bis hoch | geschäftskritische Anwendungen mit kurzen tolerierbaren Ausfallzeiten |
| Multi-Site Active/Active | sehr niedrig | sehr hoch | hochkritische Anwendungen, bei denen Downtime kaum oder gar nicht akzeptabel ist |
Backup and Restore
Dies ist die einfachste und kostengünstigste Form von Cloud Disaster Recovery. Dabei werden vor allem Daten, Backups, Systemabbilder und zentrale Konfigurationsinformationen in der Cloud gespeichert. Im Notfall wird die benötigte Recovery-Umgebung erst auf Basis dieser Sicherungen wiederhergestellt oder neu aufgebaut.
Pilot Light
Bei diesem Ansatz wird in der Cloud ein betriebsbereiter Minimal-Kern der Recovery-Umgebung dauerhaft vorgehalten. Dazu gehören insbesondere replizierte Datenbestände sowie die für deren Synchronisation und Grundfunktion erforderlichen Kernkomponenten. Andere Teile der Anwendungslandschaft – etwa zusätzliche Compute- und Applikationsressourcen – sind zwar vorbereitet, werden aber erst im Test- oder Notfall vollständig aktiviert bzw. hochgefahren.
Dadurch unterscheidet sich Pilot Light klar von Backup and Restore: Während dort die Zielumgebung im Ernstfall erst weitgehend neu aufgebaut werden muss, existiert bei Pilot Light bereits eine teilweise vorbereitete und laufende Basis. Allerdings kann diese Umgebung nicht ohne zusätzliche Schritte sofort produktiven Traffic übernehmen. Das Modell eignet sich daher vor allem für Unternehmen, die geschäftskritische Daten und Kernsysteme mit überschaubarem Ressourcenaufwand absichern möchten.
Warm Standby
Beim Warm-Standby-Modell werden unternehmenskritische Daten, Anwendungen und zentrale Systemkomponenten fortlaufend in einer vorbereiteten Cloud-Umgebung gespiegelt. Im Unterschied zu Pilot Light ist diese Umgebung jedoch bereits so weit betriebsbereit, dass sie im Ernstfall sofort produktiven Traffic übernehmen kann – wenn auch meist zunächst mit reduzierter Kapazität. Wird die Recovery-Umgebung dagegen bereits in voller oder nahezu voller Produktionskapazität vorgehalten, spricht man häufig von Hot Standby.
Dadurch fallen RTO und RPO in der Regel günstiger aus als bei einfacheren Recovery-Modellen. Dem stehen jedoch höhere laufende Kosten und ein größerer Betriebsaufwand gegenüber, da mehr Ressourcen dauerhaft vorgehalten und synchronisiert werden müssen. Warm Standby ist vor allem dann sinnvoll, wenn Ausfälle nur für kurze Zeit tolerierbar sind und eine schnelle Übernahme des Betriebs entscheidend ist.
Multi-Site Active/Active
Dieses Modell bietet die höchste Stufe der Ausfallsicherheit. Dabei werden Workloads und Daten parallel über mehrere aktive Standorte oder Cloud-Umgebungen hinweg betrieben. Fällt ein Standort aus, wird der Traffic auf die verbleibenden aktiven Umgebungen gelenkt, sodass der Betrieb unmittelbar oder nahezu ohne Unterbrechung weiterlaufen kann. Dadurch lassen sich Downtimes auf ein Minimum reduzieren oder im Idealfall ganz vermeiden.
Demgegenüber stehen jedoch der höchste technische Aufwand, eine komplexe Orchestrierung und deutlich höhere laufende Kosten. Multi-Site-Architekturen eignen sich vor allem für hochkritische Anwendungen, bei denen selbst kurze Unterbrechungen schwerwiegende Folgen hätten.
Die besten Tipps für den Umstieg auf Cloud Disaster Recovery
Ob lokal oder in der Cloud: Ein Disaster-Recovery-Plan, der optimal auf die Belange des Unternehmens zugeschnitten ist, ist nicht von heute auf morgen erstellt. Bei der Planung der Business Continuity (dt. betriebliche Kontinuität) ist die Wahl des geeigneten Partners nämlich nicht die einzige Baustelle. Wir haben einige nützliche Tipps zusammengefasst, die Ihnen die Umstellung auf einen Notfallwiederherstellungsplan in der Cloud vereinfachen.
Tipp 1: Verantwortlichkeiten klären
Auch wenn Sie bei einer Cloud-DR-Lösung den Großteil der Verantwortung und des Managementaufwands an einen Provider abgeben, benötigen Sie innerhalb des Unternehmens Verantwortliche, die sich um die Planung und Aufrechterhaltung der Datenabsicherung kümmern. Geschultes Personal, das sich seiner Aufgaben und Pflichten bewusst ist, ist daher für eine effiziente Cloud-Disaster-Recovery-Strategie unverzichtbar.
Tipp 2: Genau definieren, was ein „Disaster“ ist
Es ist sehr wichtig, dass klar definiert ist, in welchen Fällen eine Cloud DR zum Tragen kommt. Wird eine solche Lösung bereits benötigt, wenn bestimmte Anwendungen ausfallen oder einzelne Daten verloren gehen? Oder sind mit „Disaster“ klassische Katastrophen wie Erdbeben, Überflutungen, Brände und ähnliche Ereignisse gemeint?
Tipp 3: Den passenden Anbieter wählen
Die Anbieterwahl spielt beim Thema Cloud DR eine zentrale Rolle: Unternehmen haben dabei viele Punkte zu beachten, die weit über typische Faktoren wie Kosten oder Vertragslaufzeiten hinausgehen. Zum einen muss der gewählte Anbieter die Ansprüche an Datenschutz und -sicherheit erfüllen – Stichwort: DSGVO. Zum anderen ist entscheidend, welche zusätzlichen Services verfügbar sind. Wenn Sie beispielsweise möglichst wenig Eigenaufwand betreiben möchten, ist ein Managed Service Provider, der das komplette DRaaS-Paket anbietet, die beste Lösung.
Tipp 4: Vendor Lock-In vermeiden
Viele Unternehmen neigen dazu, Hard- und Software-Ressourcen nur bei einem einzigen Anbieter zu mieten, um die gemieteten Services so einfach wie möglich im Blick behalten zu können, und machen sich damit stark abhängig von diesem Provider. Behalten Sie diesen sogenannten „Vendor Lock-In“ bei der Wahl Ihrer Cloud-Disaster-Recovery-Ressourcen (und auch bei der Wahl anderer neuer Cloud-Services) im Kopf.
Tipp 5: Cloud-Disaster-Recovery-Plan testen
Im besten Fall müssen Sie Ihren Cloud-DR-Plan niemals ausrollen, doch ausgehen können Sie von diesem Wunschszenario natürlich nicht. Um jedoch bis zu einem möglichen Vorfall nicht im Ungewissen darüber zu sein, ob der Plan funktioniert, sollten Sie Ihr Cloud-Disaster-Recovery-Konzept in Zusammenarbeit mit Ihrem Provider im Vorfeld testen.
- Jederzeit vollständige Datenhoheit sowie Datenkontrolle
- Im Einklang mit allen gesetzlichen Regelungen in Deutschland
- Ohne Vendor Lock-in für höchste Flexibilität
Reviewer
Christian Heldmaier
Christian Heldmaier ist ein erfahrener Online-Marketing- und SEO-Spezialist aus Karlsruhe. Seit Juli 2020 ist er als SEO Manager bei IONOS tätig.