Disaster Recovery as a Service (DRaaS) ist ein Managed-IT-Service, bei dem ein externer Anbieter die Wie­der­her­stel­lung von IT-Systemen, An­wen­dun­gen und Daten nach Ausfällen übernimmt. Als Teil des Business Con­ti­nui­ty Ma­nage­ments sichert DRaaS Ge­schäfts­pro­zes­se, minimiert Aus­fall­zei­ten durch schnelle Recovery-Me­cha­nis­men und schützt zunehmend auch vor komplexen Cy­ber­an­grif­fen wie Ran­som­wa­re.

Was ist Disaster Recovery as a Service?

Bei Disaster Recovery as a Service (DRaaS) handelt es sich um einen Managed-IT-Service. DRaaS ist ein Spe­zi­al­fall von Disaster Recovery (dt. Ka­ta­stro­phen­wie­der­her­stel­lung), also der geplanten Wie­der­her­stel­lung von IT-Systemen, An­wen­dun­gen und Daten nach einem schwer­wie­gen­den Ausfall. Wie der Zusatz „as a Service“ ausdrückt, wird die Aufgabe an eine dritte Partei als Dienst­leis­tung über­tra­gen.

Disaster Recovery ist ein in­te­gra­ler Be­stand­teil des Business Con­ti­nui­ty Ma­nage­ments (BCM), zu Deutsch Be­triebs­kon­ti­nui­täts­ma­nage­ment. Ziel ist es, kritische Ge­schäfts­pro­zes­se auch bei Störungen oder Ausfällen wei­ter­füh­ren oder schnell wie­der­her­stel­len zu können. Die konkreten Maßnahmen, Ver­ant­wort­lich­kei­ten und Abläufe werden dabei in einem Business Con­ti­nui­ty Plan (BCP) fest­ge­hal­ten. Das ist heute wichtiger denn je, da Un­ter­neh­men nicht nur mit klas­si­schen IT-Ausfällen, sondern zunehmend auch mit komplexen Cy­ber­an­grif­fen kon­fron­tiert sind, etwa durch Ran­som­wa­re, kom­pro­mit­tier­te Zugänge oder kom­bi­nier­te Angriffe auf Systeme und Daten.

In der Praxis lassen sich drei eng mit­ein­an­der ver­bun­de­ne Teil­aspek­te der Be­triebs­kon­ti­nui­tät un­ter­schei­den:

  • High Avai­la­bi­li­ty (HA): Systeme sind so ausgelegt, dass Ausfälle einzelner Kom­po­nen­ten möglichst ohne Un­ter­bre­chung ab­ge­fan­gen werden.
  • Con­ti­nuous Ope­ra­ti­ons (CO): Der Betrieb wird auch während Störungen oder geplanter War­tungs­ar­bei­ten möglichst auf­recht­erhal­ten.
  • Disaster Recovery (DR): Nach einem gra­vie­ren­den Ausfall werden Systeme, Daten und Dienste planmäßig wie­der­her­ge­stellt.

Gerade bei ge­schäfts­kri­ti­schen An­wen­dun­gen reicht es heute jedoch oft nicht mehr aus, Systeme ir­gend­wann wie­der­her­zu­stel­len. Zunehmend wichtig wird deshalb der Aspekt der Instant Recovery. Gemeint ist damit eine besonders schnelle Form der Disaster Recovery, bei der Systeme, An­wen­dun­gen und Daten im Ernstfall möglichst sofort oder innerhalb sehr kurzer Zeit wieder verfügbar sein sollen, um Aus­fall­zei­ten und Be­triebs­un­ter­bre­chun­gen so gering wie möglich zu halten.

Compute Engine
Die ideale IaaS für Ihre Workloads
  • Kos­ten­güns­ti­ge vCPUs und leis­tungs­star­ke de­di­zier­te Cores
  • Höchste Fle­xi­bi­li­tät ohne Min­dest­ver­trags­lauf­zeit
  • Inklusive 24/7 Experten-Support

Ab­gren­zung von Backups und klas­si­scher DR

Da DRaaS nicht nur einzelne Daten sichert, sondern die Wie­der­her­stel­lung be­triebs­re­le­van­ter Systeme, An­wen­dun­gen und Abläufe nach einem Ausfall er­mög­licht, lässt sich der Dienst klar von klas­si­schen Backup-Lösungen abgrenzen. Ein her­kömm­li­ches Backup erstellt in erster Linie Da­ten­ko­pien, die im Be­darfs­fall zu­rück­ge­spielt werden können. BaaS übernimmt diese Da­ten­si­che­rung als Dienst­leis­tung durch einen externen Anbieter. Von der klas­si­schen Disaster Recovery un­ter­schei­det sich DRaaS vor allem dadurch, dass Planung, tech­ni­sche Plattform, Au­to­ma­ti­sie­rung und je nach Modell auch Betrieb, Über­wa­chung und Un­ter­stüt­zung im Notfall ganz oder teilweise von einem externen Dienst­leis­ter über­nom­men werden.

Die folgende Auf­lis­tung gewährt einen kurzen Überblick über die vier Konzepte:

  • Backup: Kopie von Daten zur späteren Wie­der­her­stel­lung
  • BaaS: Backup als Dienst­leis­tung durch einen externen Anbieter
  • DR: Wie­der­her­stel­lung von IT-Systemen, An­wen­dun­gen und Prozessen nach einem Ausfall
  • DRaaS: Disaster Recovery als Dienst­leis­tung durch einen externen Anbieter

Was sind die wich­tigs­ten DRaaS-Konzepte?

Die Grundlage jeder Disaster-Recovery-Strategie ist eine früh­zei­ti­ge und rea­lis­ti­sche Planung. Wer sich erst im Scha­dens­fall mit Zu­stän­dig­kei­ten, Wie­der­an­lauf­rei­hen­fol­gen oder Si­che­rungs­kon­zep­ten be­schäf­tigt, reagiert in der Regel zu spät. Deshalb umfasst eine gute DRaaS-Strategie nicht nur Backups, sondern auch klar de­fi­nier­te Prio­ri­tä­ten, Ab­hän­gig­kei­ten zwischen Systemen und konkrete Wie­der­her­stel­lungs­schrit­te.

Eine wichtige Basis für die Da­ten­si­che­rung ist dabei seit Langem die 3-2-1-Regel. Sie besagt, dass für alle wichtigen Daten drei Versionen vor­ge­hal­ten werden: das Original sowie zwei zu­sätz­li­che Kopien. Dabei kommen min­des­tens zwei ver­schie­de­ne Me­di­en­ty­pen zum Einsatz. Eine der Kopien muss außerdem an einem physisch ge­trenn­ten Ort ge­spei­chert werden. In modernen IT-Um­ge­bun­gen wird diese Grund­re­gel jedoch erweitert. Heute gehören zu­sätz­lich un­ver­än­der­li­che oder logisch isolierte Si­che­run­gen sowie re­gel­mä­ßig getestete Wie­der­her­stel­lun­gen zum Stand der Praxis.

Um DRaaS-Konzepte zu bewerten und zu planen, sind vor allem zwei Kenn­zah­len ent­schei­dend:

  • Recovery Time Objective (RTO): Zeitraum vom Eintritt des Schadens bis zur Wie­der­her­stel­lung eines ak­zep­ta­blen Be­triebs­zu­stands. Beispiel: Ein Online-Shop definiert, dass das Be­stell­sys­tem spä­tes­tens nach zwei Stunden wieder verfügbar sein muss.
  • Recovery Point Objective (RPO): Maximal to­le­rier­ba­rer Da­ten­ver­lust. Beispiel: Bei einem RPO von 15 Minuten dürfen im Ernstfall höchstens die Daten verloren gehen, die in den letzten 15 Minuten vor dem Ausfall noch nicht gesichert oder re­pli­ziert wurden.

Je nach Kri­ti­k­ali­tät der Systeme kommen dabei un­ter­schied­li­che Re­pli­ka­ti­ons­me­tho­den zum Einsatz:

  • Real-time Re­pli­ca­ti­on: Kritische Workloads werden kon­ti­nu­ier­lich oder nahezu in Echtzeit in eine Er­satz­um­ge­bung re­pli­ziert. Das eignet sich für Systeme mit sehr niedrigen RTO- und RPO-Vorgaben.
  • Snapshot-basierte Re­pli­ka­ti­on: Für weniger zeit­kri­ti­sche Daten werden Wie­der­her­stel­lungs­punk­te in festen In­ter­val­len erstellt. Diese Methode ist meist weniger aufwendig, erlaubt aber größere Abstände zwischen den Wie­der­her­stel­lungs­punk­ten.

Damit die Da­ten­si­che­rung in der Praxis ein­ge­hal­ten werden kann, kommen weitere zentrale DRaaS-Me­cha­nis­men hinzu:

  • Failover und Failback: Im Notfall wird auf eine Er­satz­um­ge­bung um­ge­schal­tet und nach der Sta­bi­li­sie­rung wieder kon­trol­liert zu­rück­ge­wech­selt.
  • Recovery-Or­ches­trie­rung: Es wird fest­ge­legt, in welcher Rei­hen­fol­ge Systeme und Dienste wieder hoch­ge­fah­ren werden.
  • Immutable oder isolierte Backups: Sie schützen Wie­der­her­stel­lungs­punk­te vor Ma­ni­pu­la­ti­on, etwa bei Ran­som­wa­re-Angriffen.

Um vor allem die RTO zu verkürzen und in Kom­bi­na­ti­on mit passender Re­pli­ka­ti­on auch niedrige RPO-Werte zu erreichen, setzen viele DRaaS-Konzepte auf so­ge­nann­te Failover-Sites. Dabei handelt es sich um vor­be­rei­te­te Er­satz­um­ge­bun­gen oder Spie­ge­lun­gen kri­ti­scher Systeme, die im Ausfall kurz­fris­tig aktiviert werden können. So lässt sich der Ge­schäfts­be­trieb fort­füh­ren, bis die ei­gent­li­che Pro­duk­tiv­um­ge­bung wieder voll­stän­dig verfügbar ist.

Neben der tech­ni­schen Umsetzung bleibt jedoch auch der or­ga­ni­sa­to­ri­sche Faktor ent­schei­dend. Kritische Systeme müssen richtig prio­ri­siert, Ab­hän­gig­kei­ten korrekt erfasst und Wie­der­her­stel­lungs­pro­zes­se re­gel­mä­ßig getestet werden. Denn selbst eine leis­tungs­fä­hi­ge tech­ni­sche Lösung hilft wenig, wenn Zu­stän­dig­kei­ten unklar sind oder der Wie­der­an­lauf in der Praxis nicht funk­tio­niert.

Welche DRaaS-Modelle gibt es?

Viele Anbieter führen heut­zu­ta­ge Disaster Recovery as a Service im Portfolio. Un­ab­hän­gig davon, von welchem Anbieter man DRaaS bezieht, lassen sich die Angebote in drei Modelle un­ter­tei­len:

DRaaS-Modell Erklärung Vorteile Nachteile
Self-Service DRaaS Anbieter stellt die DRaaS-Plattform, Re­pli­ka­ti­ons- und Recovery-Funk­tio­nen bereit; Planung, Tests und Betrieb liegen weit­ge­hend beim Kunden hohe Kontrolle, meist geringere laufende Kosten hoher interner Aufwand; Know-how, Tests und saubere Do­ku­men­ta­ti­on auf Kun­den­sei­te er­for­der­lich
Assisted DRaaS Anbieter un­ter­stützt bei Planung, Im­ple­men­tie­rung, Tests und Op­ti­mie­rung; operative Ver­ant­wor­tung wird zwischen Kunde und Anbieter auf­ge­teilt gute Balance aus Kontrolle und externer Expertise Ver­ant­wort­lich­kei­ten müssen klar geregelt werden; mehr Ab­stim­mungs­be­darf
Managed DRaaS Anbieter übernimmt große Teile von Betrieb, Über­wa­chung, Recovery-Or­ches­trie­rung und Un­ter­stüt­zung im Störfall ge­rin­ge­rer interner Aufwand, stan­dar­di­sier­te Prozesse, oft schneller be­triebs­be­reit höhere Kosten; stärkere Ab­hän­gig­keit vom Anbieter; enge Ab­stim­mung zu Prio­ri­tä­ten, Com­pli­ance und Wie­der­her­stel­lungs­zie­len nötig

Viele Anbieter stellen dafür eine web­ba­sier­te Ver­wal­tungs­ober­flä­che bereit. Darüber können Un­ter­neh­men oder Dienst­leis­ter sehen, welche Systeme geschützt sind, wann zuletzt gesichert wurde und wie eine Wie­der­her­stel­lung im Ernstfall abläuft. Oft lassen sich auch Tests durch­füh­ren, damit im Notfall nicht erst aus­pro­biert werden muss, ob alles funk­tio­niert.

Bild: ION_DE_DG-VPS_960x320.png
Bild: ION_DE_DG-VPS_1200x1200.png

Im­ple­men­tie­rungs-Check­lis­te für Admins

Damit Disaster Recovery im Ernstfall nicht nur auf dem Papier funk­tio­niert, braucht es einen klar struk­tu­rier­ten Ablauf und eine saubere tech­ni­sche Umsetzung. Von der Prio­ri­sie­rung kri­ti­scher Systeme über die Auswahl des passenden Service-Modells bis hin zu Test­läu­fen greifen dabei stra­te­gi­sche, or­ga­ni­sa­to­ri­sche und tech­ni­sche Schritte in­ein­an­der.

  • In­fra­struk­tur erfassen: Virtuelle Maschinen, Da­ten­ban­ken, physische Server, An­wen­dun­gen, Netzwerke, Spei­cher­or­te und tech­ni­sche Ab­hän­gig­kei­ten do­ku­men­tie­ren.
  • Business Impact Analysis (BIA) durch­füh­ren: Ge­schäfts­kri­ti­sche An­wen­dun­gen, Daten und Prozesse iden­ti­fi­zie­ren und nach Priorität ordnen.
  • RTO und RPO festlegen: De­fi­nie­ren, wie schnell Systeme wieder verfügbar sein müssen und wie viel Da­ten­ver­lust maximal ak­zep­ta­bel ist.
  • Risiken bewerten: Mögliche Aus­fall­sze­na­ri­en wie Na­tur­ka­ta­stro­phen, Ran­som­wa­re, tech­ni­sche Störungen, mensch­li­che Fehler oder Provider-Ausfälle be­rück­sich­ti­gen.
  • Band­brei­te und Da­ten­vo­lu­men prüfen: Si­cher­stel­len, dass Re­pli­ka­ti­on, Backups, initiales Seeding und Wie­der­her­stel­lung technisch rea­lis­tisch umsetzbar sind.
  • Passendes Service-Modell auswählen: Ent­schei­den, ob Self-Service, Assisted oder Managed DRaaS zur internen Kompetenz, Ver­füg­bar­keit und Ri­si­ko­stra­te­gie passt.
  • Tech­ni­sche Schutz­maß­nah­men einplanen: Re­pli­ka­ti­ons­me­tho­de, Ver­schlüs­se­lung, Zu­griffs­kon­trol­len, immutable Backups und getrennte Recovery-Bereiche festlegen.
  • Initiales Seeding planen: Große Da­ten­men­gen für die Erst­über­tra­gung be­rück­sich­ti­gen, damit die laufende Re­pli­ka­ti­on später effizient funk­tio­niert.
  • DR-Plan erstellen: Wie­der­her­stel­lungs­rei­hen­fol­ge, Ver­ant­wort­lich­kei­ten, Es­ka­la­ti­ons­we­ge und interne sowie externe Kom­mu­ni­ka­ti­on do­ku­men­tie­ren.
  • Failover und Failback testen: Prüfen, ob Systeme kon­trol­liert in die Er­satz­um­ge­bung wechseln und an­schlie­ßend sauber in den Nor­mal­be­trieb zu­rück­ge­führt werden können.
  • Sandboxed Testing nutzen: Wie­der­her­stel­lun­gen re­gel­mä­ßig in iso­lier­ten Test­um­ge­bun­gen va­li­die­ren, ohne Pro­duk­tiv­sys­te­me zu gefährden.
  • Do­ku­men­ta­ti­on laufend pflegen: Än­de­run­gen an Systemen, An­wen­dun­gen, Ver­ant­wort­lich­kei­ten und Recovery-Zielen re­gel­mä­ßig nach­zie­hen.

Ran­som­wa­re-Schutz und Cyber Recovery

Seit Jahren gehören Cy­ber­an­grif­fe zu den wich­tigs­ten Treibern für In­ves­ti­tio­nen in Disaster Recovery. Dabei ver­schlüs­seln An­grei­fen­de die Daten nicht mehr nur, sondern kopieren sie häufig vorher oder drohen mit Ver­öf­fent­li­chung. Das bedeutet: Selbst gute Backups lösen nicht au­to­ma­tisch alle Folgen eines Angriffs, helfen aber ent­schei­dend dabei, Systeme und Daten wieder verfügbar zu machen.

Deshalb hat sich der Blick von klas­si­scher Disaster Recovery hin zu Cyber Recovery erweitert. Wichtige Merkmale moderner Lösungen sind heute unter anderem un­ver­än­der­li­che Backups, logisch oder physisch getrennte Recovery-Bereiche, ein­ge­schränk­te Lösch­mög­lich­kei­ten, ver­sio­nier­te Wie­der­her­stel­lungs­punk­te und re­gel­mä­ßi­ge Restore-Tests. Einige Platt­for­men ergänzen dies durch zu­sätz­li­che Frei­ga­be­me­cha­nis­men und isolierte Um­ge­bun­gen, in denen Wie­der­her­stel­lun­gen geprüft werden können, bevor Systeme wieder produktiv ge­schal­tet werden.

KI-ge­stütz­tes Disaster Recovery

Ein neuerer Trend im Bereich DRaaS ist der Einsatz von KI-ge­stütz­ten Analyse- und Au­to­ma­ti­sie­rungs­funk­tio­nen. Solche Systeme können In­fra­struk­tur-, Backup- und Mo­ni­to­ring-Daten auswerten, um un­ge­wöhn­li­che Muster früh­zei­tig zu erkennen. Dazu zählen bei­spiels­wei­se auf­fäl­li­ge Last­spit­zen, un­ge­wöhn­li­che Zugriffe, feh­ler­haf­te Re­pli­ka­tio­nen oder Anzeichen für be­gin­nen­de Sys­tem­aus­fäl­le.

KI ersetzt dabei keinen Disaster-Recovery-Plan, kann aber helfen, Risiken schneller zu erkennen, Warn­mel­dun­gen zu prio­ri­sie­ren und Wie­der­her­stel­lungs­pro­zes­se gezielter an­zu­sto­ßen. In Ver­bin­dung mit au­to­ma­ti­sier­ten Tests, klar de­fi­nier­ten RTO- und RPO-Vorgaben sowie mensch­li­cher Kontrolle kann KI-ge­stütz­tes Disaster Recovery dazu beitragen, Ausfälle früher zu bemerken und Recovery-Abläufe ef­fi­zi­en­ter zu steuern.

Was sind die Vor- und Nachteile von DRaaS gegenüber klas­si­scher Disaster Recovery?

DRaaS bietet gegenüber klas­si­scher Disaster Recovery einige wichtige Vorteile, ersetzt diese aber nicht in jedem Fall voll­stän­dig. Bei tra­di­tio­nel­ler Disaster Recovery betreiben Un­ter­neh­men häufig eigene Er­satz­um­ge­bun­gen, Zweit­stand­or­te oder zu­sätz­li­che Re­chen­zen­trums­ka­pa­zi­tä­ten. Planung, In­fra­struk­tur, Tests, Failover und Wie­der­her­stel­lung liegen dabei weit­ge­hend in der Ver­ant­wor­tung der internen IT. DRaaS verlagert Teile dieser Aufgaben auf einen externen Anbieter, der Plattform, Re­pli­ka­ti­on, Recovery-Or­ches­trie­rung und je nach Modell auch Betrieb und Un­ter­stüt­zung im Notfall be­reit­stellt.

Die folgende Tabelle zeigt die wich­tigs­ten Un­ter­schie­de im Überblick:

Aspekt DRaaS Klas­si­sche Disaster Recovery
In­fra­struk­tur Nutzt meist Cloud- oder Provider-In­fra­struk­tu­ren als Recovery-Umgebung Erfordert häufig eigene Zweit­stand­or­te, Er­satz­sys­te­me oder zu­sätz­li­che Re­chen­zen­trums­ka­pa­zi­tä­ten
In­ves­ti­ti­ons­auf­wand Ge­rin­ge­rer initialer Aufwand, da weniger eigene Hardware aufgebaut werden muss Höherer An­fangs­auf­wand durch Hardware, Standorte, Lizenzen und interne Res­sour­cen
Betrieb und Wartung Je nach Modell teilweise oder voll­stän­dig durch den Anbieter un­ter­stützt Liegt über­wie­gend bei der internen IT-Abteilung
Ska­lier­bar­keit Res­sour­cen lassen sich meist flexibler anpassen Ska­lie­rung ist stärker von vor­han­de­ner Hardware und Stand­ort­ka­pa­zi­tät abhängig
Wie­der­her­stel­lung Häufig stärker au­to­ma­ti­siert, or­ches­triert und über zentrale Platt­for­men steuerbar Oft in­di­vi­du­el­ler, aber auch manueller und stärker von internen Prozessen abhängig
RTO und RPO Kann kurze Wie­der­her­stel­lungs­zei­ten und geringe Da­ten­ver­lus­te un­ter­stüt­zen, wenn Re­pli­ka­ti­on, Failover und Tests passend ein­ge­rich­tet sind Ebenfalls möglich, aber meist mit höherem tech­ni­schem und or­ga­ni­sa­to­ri­schem Aufwand
Tests Viele Lösungen er­mög­li­chen isolierte oder au­to­ma­ti­sier­te Recovery-Tests Tests müssen meist stärker selbst geplant, umgesetzt und do­ku­men­tiert werden
Kontrolle Weniger direkte Kontrolle über bestimmte In­fra­struk­tur- und Platt­form­de­tails Hohe Kontrolle über Systeme, Standorte, Si­cher­heits­ar­chi­tek­tur und Be­triebs­pro­zes­se
Ab­hän­gig­keit Höhere Ab­hän­gig­keit vom Anbieter, dessen Plattform, SLAs und Sup­port­pro­zes­sen Stärkere Ab­hän­gig­keit von der eigenen In­fra­struk­tur und dem internen Know-how
Kos­ten­mo­dell Laufende Ser­vice­kos­ten, abhängig von Umfang, Speicher, Workloads und Service-Level Häufig höhere In­ves­ti­ti­ons­kos­ten sowie laufende Kosten für Standort, Hardware, Betrieb und Personal
Eignung Sinnvoll für Un­ter­neh­men, die schnelle Wie­der­her­stel­lung, externe Expertise und flexible Cloud-Res­sour­cen nutzen möchten Sinnvoll für Un­ter­neh­men mit sehr spe­zi­fi­schen Com­pli­ance-An­for­de­run­gen, eigener In­fra­struk­tur­stra­te­gie oder hoher interner DR-Kompetenz

Wie findet man den passenden DRaaS-Anbieter?

Disaster Recovery as a Service ist bei vielen Cloud-Service-Anbietern zu haben. Darüber hinaus exis­tie­ren an­ge­stamm­te Anbieter, die sich auf Disaster Recovery und Backup-Lösungen spe­zia­li­siert haben. Auch Managed Service Provider und Sys­tem­häu­ser über­neh­men je nach Modell die Im­ple­men­tie­rung, den Betrieb oder die Betreuung ent­spre­chen­der Lösungen.

Um den passenden DRaaS-Anbieter zu finden, geht man nach dem folgenden Schema vor:

  1. Zunächst erfolgt eine Be­stands­auf­nah­me: Man erfasst den Ist-Zustand und ermittelt den Umfang der zu si­chern­den Daten und Systeme.
  2. Als nächster Schritt gilt es, die eigenen An­for­de­run­gen und Ziele zu de­fi­nie­ren: Ins­be­son­de­re zählen dazu Recovery Time Objective (RTO) und Recovery Point Objective (RPO) für die in­vol­vier­ten Daten, An­wen­dun­gen und Dienste.
  3. Weiß man, wie die eigene In­fra­struk­tur auf­ge­stellt ist und kennt man die eigenen An­for­de­run­gen und Ziele, geht man dazu über, po­ten­zi­el­le Anbieter aus­zu­wäh­len. Neben den tech­ni­schen Mög­lich­kei­ten zählen hier vor allem Si­cher­heits­funk­tio­nen, Com­pli­ance-Vorgaben, An­for­de­run­gen an Da­ten­re­si­denz sowie eine faire und nach­voll­zieh­ba­re Preis­struk­tur.
  4. Aus den er­mit­tel­ten Kan­di­da­ten muss nun der passende Anbieter gewählt werden. Spä­tes­tens an diesem Punkt sollte man Tests durch­füh­ren, um die tech­ni­schen Mög­lich­kei­ten der Anbieter umfassend zu über­prü­fen.

Schauen wir uns die wich­tigs­ten Eckpunkte an, denen ein pro­fes­sio­nel­ler DRaaS-Anbieter genügen sollte.

Abdeckung und Re­pli­ka­ti­on

Grund­le­gend für eine DRaaS-Lösung ist die au­to­ma­ti­sier­te Sicherung und Re­pli­ka­ti­on kri­ti­scher Daten, Systeme und Workloads. Die Sicherung sollte über Be­triebs­sys­tem­gren­zen hinweg funk­tio­nie­ren und sämtliche wichtigen Da­ten­ty­pen umfassen. Dazu gehören Dateien, Da­ten­ban­ken, Ser­ver­um­ge­bun­gen und, falls relevant, auch Endpunkte sowie vir­tua­li­sier­te Um­ge­bun­gen in vir­tu­el­len Maschinen und Con­tai­nern. Bei der Con­ti­nuous Data Pro­tec­tion (CDP) wird jede Da­ten­än­de­rung kon­ti­nu­ier­lich erfasst, sodass eine Wie­der­her­stel­lung mit se­kun­den­ge­nau­er Gra­nu­la­ri­tät möglich ist.

Da­ten­schutz, In­te­gri­tät und Com­pli­ance

Vor dem Transfer zum DRaaS-Anbieter müssen die bei der Spei­che­rung erfassten Daten au­to­ma­tisch ver­schlüs­selt werden. Die Backup-Daten und -Systeme sollten ständig au­to­ma­ti­siert auf Fehler und Ab­wei­chun­gen hin überprüft werden. Die Spei­che­rung der Daten sollte geo­gra­fisch getrennt, redundant und Com­pli­ance-konform sein. Un­ter­neh­men sollten außerdem klären, in welchen Ländern oder Regionen die Daten ver­ar­bei­tet und ge­spei­chert werden.

Wie­der­her­stel­lung, Failover und Multi-Cloud

Im Scha­dens­fall sollte der DRaaS-Anbieter zumindest zwei Leis­tun­gen erfüllen: Zum einen gilt es, die be­trof­fe­nen Systeme wie­der­her­zu­stel­len. Die Wie­der­her­stel­lung muss sämtliche es­sen­zi­el­len Daten, An­wen­dun­gen und Systeme umfassen. Bei der An­bie­ter­wahl sollte bedacht werden, dass ggf. eine Wie­der­her­stel­lung in Multi-Cloud-Um­ge­bun­gen nötig ist. Dabei sollten Un­ter­neh­men prüfen, ob kritische Recovery-Instanzen, Da­ten­ko­pien oder Failover-Um­ge­bun­gen auch über mehrere Cloud-Provider hinweg ab­ge­bil­det werden können. Eine solche Multi-Cloud-DR-Strategie kann die Ab­hän­gig­keit von einem einzelnen Anbieter re­du­zie­ren und helfen, Provider-Ausfälle besser ab­zu­fan­gen. Al­ler­dings kann sie auch die Kom­ple­xi­tät in puncto Netzwerk, Iden­ti­tä­ten, Da­ten­kon­sis­tenz, Mo­ni­to­ring, Kosten und Tests erhöhen.

Zum anderen sollte der DRaaS-Anbieter während der Wie­der­her­stel­lung Failover-Systeme zwi­schen­schal­ten, sodass der Be­triebs­ab­lauf aus Nut­zer­sicht mit minimalen Un­ter­bre­chun­gen wei­ter­läuft.

Ran­som­wa­re-Resilienz

Mit Blick auf die aktuelle Be­dro­hungs­la­ge sollte ein DRaaS-Anbieter nicht nur klas­si­sche Wie­der­her­stel­lung, sondern auch Ran­som­wa­re-Schutz be­rück­sich­ti­gen. Dazu gehören un­ver­än­der­li­che oder isolierte Si­che­rungs­ko­pien, Malware-Prüfungen vor der Wie­der­her­stel­lung, Zu­griffs­kon­trol­len, Pro­to­kol­lie­rung und re­gel­mä­ßi­ge Recovery-Tests. Ent­schei­dend ist, dass im Ernstfall nicht ver­se­hent­lich kom­pro­mit­tier­te oder ver­schlüs­sel­te Daten in die Pro­duk­tiv­um­ge­bung zu­rück­ge­spielt werden.

Ska­lier­bar­keit und Initial Seeding

Bei sehr großen Da­ten­men­gen sollten Un­ter­neh­men vorab klären, wie die Erst­über­tra­gung und die spätere Wie­der­her­stel­lung praktisch umgesetzt werden. Eine voll­stän­di­ge Über­tra­gung über das Internet kann ohne initiales Seeding, physische Trans­fer­me­di­en oder de­di­zier­te Leitungen zu lange dauern. Ein ge­eig­ne­ter DRaaS-Anbieter sollte deshalb ein rea­lis­ti­sches Konzept für Initial Seeding, laufende Re­pli­ka­ti­on und die Wie­der­her­stel­lung großer Da­ten­be­stän­de vorlegen.

Reviewer

  • Christian Heldmaier

    Christian Heldmaier

    Christian Heldmaier ist ein er­fah­re­ner Online-Marketing- und SEO-Spe­zia­list aus Karlsruhe. Seit Juli 2020 ist er als SEO Manager bei IONOS tätig.

Zum Hauptmenü