Disaster Recovery as a Service (DRaaS)

Unternehmen bauen heutzutage verstärkt ihre IT-Infrastruktur in verteilten Cloud-Umgebungen auf. Das ist praktisch, doch was, wenn dabei etwas schief geht? Disaster Recovery als Bestandteil des Betriebskontinuitätsmanagement kommt eine wichtige Rolle für das Aufrechterhalten der Geschäftsprozesse bei. Mit Disaster Recovery as a Service (DRaaS) wird die die Sicherung kritischer Systeme an einen spezialisierten Partner ausgegliedert.

Bei Disaster Recovery as a Service (DRaaS) handelt es sich um einen Managed IT-Service. DRaaS ist ein Spezialfall von Disaster Recovery, zu Deutsch Katastrophenwiederherstellung bzw. Notfallwiederherstellung. Wie der Zusatz „as a Service“ ausdrückt, wird die Aufgabe einer dritten Partei als Dienstleistung übertragen. Disaster Recovery as a Service ist eine der beliebtesten und am schnellsten wachsenden IT-Dienstleistungen im Bereich des Cloud-Computing.

Disaster Recovery ist ein integraler Bestandteil des Business Continuity Management (BCM), zu Deutsch Betriebskontinuitätsmanagement. Das BCM umfasst Pläne und Vorbereitungen für die Weiterführung der Geschäftsprozesse bei teilweisem oder komplettem Ausfall kritischer Systeme. Aufgabe der Disaster Recovery ist das planmäßige Wiederherstellen des normalen Betriebszustands. Grundlegend ist ein Business Continuity Plan (BCP), welcher die Komponenten und Prozesse des BCM beschreibt. Schauen wir uns die drei hauptsächlichen Komponenten des BCP an:

Als Teil der Disaster Recovery-Strategie kommt heutzutage verstärkt die Cloud Disaster Recovery (Cloud-DR) zum Einsatz. Bei der Cloud-DR werden die zur Wiederherstellung betroffener Systeme notwendigen Daten in der Cloud gespeichert, anstatt auf physischen Massenspeichern vor Ort. Die Cloud Disaster Recovery bietet im Vergleich mit herkömmlichen Backup-Methoden viele Vorzüge und ist dabei, sich als Standard zu etablieren.

Charakteristisch für Disaster Recovery (DR) ist, dass ein Unternehmen diese nur im Schadensfall benötigt. Tritt der Schadensfall ein, ist eine lückenlose DR von herausragender Wichtigkeit. In Zeiten des Normalbetriebs rückt die Bedeutung von Disaster Recovery jedoch komplett in den Hintergrund. So besteht die latente Gefahr, die DR stiefmütterlich zu behandeln; immerhin benötigt man sie nie, solange nichts katastrophal schiefgeht.

Von mangelhaft geplanter Disaster Recovery geht eine große Gefahr für Unternehmen aus. Denn beim Ausfall kritischer Systeme drohen hohe Kosten. Industrieschätzungen rechnen mit Beträgen von $100.000 bis $1.000.000 pro Stunde Ausfallzeit. Dabei kann eine Reihe von Gründen zu Vorkommnissen führen, welche den Ausfall von Systemen oder Datenverlust hervorrufen. Schauen wir uns die häufigsten Szenarien an.

Die folgenden Vorkommnisse können zu schwerwiegenden Unterbrechungen des Betriebsablaufs führen, welche eine Disaster Recovery notwendig machen:

• Stromausfall auf dem Betriebsgelände
• Hardware- und Netzwerk-Ausfälle
• Software- und IT-System-Fehler
• Ausfall des betriebseigenen Datencenters
• gegen die IT-Sicherheit gerichtete Angriffe

Dabei kann es verschiedene Ursachen geben:

• menschlicher Fehler
• böswillige Handlungen
• Naturkatastrophen und Feuer
• Diebstahl von IT-Geräten und Datenträgern
• fehlerhafte Hard- oder Software

In all diesen Fällen gilt: Hat man nicht gut vorgesorgt, ergeben sich schnell ausgesprochen ernste Konsequenzen für das betroffene Unternehmen.

Die wichtigste Regel in Bezug auf Business Continuity Management (BCM) und die beinhaltete Disaster Recovery ist, dass diese von vornherein gut geplant sein muss. Macht man sich erst Gedanken, wenn der Schadensfall bereits eingetroffen ist, ist es meist zu spät. Ein einfaches Beispiel zur Veranschaulichung: Sie haben Fotos mit sentimentalem Wert auf Ihrem Laptop gespeichert. Wird der Laptop gestohlen, sind die Fotos weg. Nur das vorsorgende, regelmäßige Anlegen von Backups auf einem externen Medium oder in der Cloud bietet Schutz.

Als Vorgabe für das Anlegen von Backups gilt seit langem die 3-2-1 Regel. Sie besagt, dass für alle Daten drei Versionen vorgehalten werden: das Original, plus zwei Kopien. Sprich: doppelte Redundanz. Dabei wird eine Kopie auf einem separaten Datenträger, jedoch in denselben Räumlichkeiten wie das Original aufbewahrt (On-site Backup). Die zweite Kopie wird an physisch entferntem Ort aufbewahrt (Off-site Backup).

Bei Disaster Recovery as a Service steht die kontinuierliche Replikation der Geschäfts-Daten und -Systeme im Fokus. Dies geht über das bloße Anlegen von Daten-Backups hinaus und schließt sämtliche kritische Infrastruktur, Systeme, Anwendungen und Daten ein. Ziel ist, bei Ausfällen so schnell wie möglich zum Ausgangszustand zurückkehren zu können. Denn: bei anhaltenden Ausfällen drohen hohe Kosten.

Zur Charakterisierung von DRaaS-Ansätzen haben sich zwei Metriken etabliert. Das „Recovery Time Objective“ (RTO) und „Recovery Point Objective“ (RPO) werden nach den Anforderungen des spezifischen Unternehmens festgelegt. Darauf bezogen kommen geeignete Maßnahmen zum Einsatz:

Um das Recovery Time Objective möglichst klein zu halten, kommen sog. Failover-Sites zum Einsatz. Dabei handelt es sich um komplette Spiegelungen kritischer Systeme, die beim Ausfall der Originale zwischengeschaltet werden. So wird das Fortführen des Geschäftsbetriebs bis zur Wiederherstellung der eigenen Kapazitäten gewährleistet.

Viele Anbieter haben heutzutage Disaster Recovery as a Service im Programm. Unabhängig davon, von welchem Anbieter man DRaaS bezieht, lassen sich die Angebote in drei große Klassen unterteilen. Die DRaaS-Angebote unterscheiden sich hauptsächlich im Grad der Verknüpfung des Kunden mit dem Anbieter:

Allen DRaaS-Angeboten ist gemeinsam, dass der Anbieter spezielle Disaster-Recovery-Tools zur Verfügung stellt. Diese zielen darauf ab, ganze IT-Umgebungen inklusive sämtlicher Komponenten zu spiegeln. Der Umfang reicht von Daten und Anwendungen zu Netzwerken und kompletten Systemen. Gesichert werden Server und Endgeräte über Betriebssystemgrenzen hinweg; dabei werden Dateien, Datenbanken, virtuelle Maschinen und Container erfasst. Einmal gespiegelt werden die Komponenten im Schadensfall verfügbar gemacht und ersetzen dann die ausgefallenen Systeme.

Zur Sicherung der Daten kommen für gewöhnlich mehrere Backup-Ziele zum Einsatz. Der 3-2-1 Regel folgend wird zumindest eines der Backups geographisch entfernt angelegt. Je nach Ausgestaltung des zum Einsatz kommenden DRaaS-Modells handelt es sich beim entfernten Backup-Ziel um ein lokales Datencenter oder ein Cloud-basiertes Speichermedium. Ferner können hybride Ansätze genutzt werden. Wie bei der Sicherung erfolgt die Wiederherstellung der Daten je nach Einsatz auf Grundlage physischer oder virtualisierter bzw. Cloud-basierter Speichermedien. Per Netzwerk übertragene Daten werden für den Transport verschlüsselt.

Neben der Wiederherstellung betroffener Daten und Systeme enthalten professionelle DRaaS-Angebote häufig eine weitere essenzielle Funktion zur Aufrechterhaltung des Geschäftsbetriebs. Mit Cloud-basierten „Failover Environments“ (zu Deutsch in etwa „System zur Erhöhung der Ausfallsicherheit“) wird beim Ausfall eines Systems ein Ersatz-System eingeschaltet. So können die Nutzer mit minimalen Unterbrechungen weiter arbeiten.

Zur Überwachung der geschützten Systeme, sowie zur Steuerung der Sicherungen und Failover-Environments, verfügen die meisten DRaaS-Angebote über Management-Konsolen. Für gewöhnlich handelt es sich um Web-basierte Anwendungen, welche über den Browser genutzt werden. So ist es auch im Schadensfall weiterhin möglich, auf die Konsole zuzugreifen; dies funktioniert auch von Mobilgeräten aus. Manche DRaaS-Angebote umfassen ferner eine VPN-Funktion für den Zugriff auf gesicherte Daten und Failover-Environments.

Seit der Entwicklung der Netzwerktechnik und der Anbindung von Servern an öffentliche Netzwerke wie das Internet gibt es Angriffe gegen die IT-Infrastruktur von Unternehmen. Traditionell schützen Administratoren und Techniker Systeme gegen unerlaubten Zugriff und Denial-of-Service-Attacken. In den letzten Jahren ist eine weitere, besonders besorgniserregende Angriffsart dazugekommen: Cyber-Kriminelle infizieren ein Gerät mit sogenannter Ransomware, auch als „Krypto-Trojaner“ bekannt. Diese Software nistet sich auf dem Gerät ein und verschlüsselt die dort befindlichen Daten. Einmal verschlüsselt, können die eigentlichen Nutzer nicht mehr auf die Daten zugreifen und werden zur Zahlung eines Lösegelds aufgefordert.

Krypto-Trojaner stellen heutzutage eine ernsthafte Bedrohung dar. Selbst herkömmliche Backups bieten keinen Schutz, da diese im Ernstfall gleich mitverschlüsselt und damit unbrauchbar gemacht werden.

Im Zuge der neuen Bedrohungslage hat sich der Ransomware-Schutz als wichtiges Merkmal von DRaaS-Lösungen etabliert. Dabei kommt eine weitere Kopie aller gesicherten Daten zum Einsatz. Diese wird als „immutable“ (zu Deutsch „unveränderlich“) markiert. Einmal geschrieben, können die Daten immer wieder gelesen, aber nicht mehr verändert werden. Man spricht dabei auch vom „Write Once, Read Many“ oder WORM-Modell.

Vor dem Aufkommen von DRaaS gab es bereits Backup-as-a-Service-Lösungen (BaaS). Jedoch: das alleinige Backup der Daten genügt heutzutage nicht mehr. Es ist notwendig, Daten und Systeme kontinuierlich zu spiegeln, so dass diese sofort einsatzbereit sind, falls es zu Unterbrechungen des Geschäftsablaufs kommt. Wie alle technologischen Entwicklungen gibt es auch bei DRaaS Vorteile und Nachteile. Wir betrachten diese insbesondere mit Bezug auf herkömmliche Backup-Lösungen. Schauen wir uns zunächst die Vorteile von Disaster Recovery as a Service an.

Bei Disaster Recovery as a Service handelt es sich um einen zentralisierten Ansatz. Sämtliche Daten und Systeme werden kontinuierlich gesichert. Wie bekannt ist, handelt es sich beim überwiegenden Anteil der Daten eines Unternehmens um leicht in Vergessenheit geratene Dark Data. Alle Daten mit konsistenten Methoden zu sichern, verringert die Gefahr, dass Daten bei der Sicherung oder Wiederherstellung übersehen werden und im Schadensfall verloren gehen. Da für gewöhnlich mehrere Versionen gesicherter Daten vorgehalten werden, ist DRaaS auch ein wichtiger Schritt hin zur Erfüllung der Revisionssicherheit.

Der 3-2-1 Regel folgend sollten zumindest drei Kopien jeglicher Daten vorgehalten werden, davon eine als Off-site Backup. Bei Nutzung von DRaaS mit der Cloud als Ziel der Off-site Backups ergibt sich ein kürzeres Recovery Point Objective (RPO). Zur Erinnerung, das RPO legt den Zeitraum fest, der zwischen zwei Sicherungen derselben Daten liegt. Durch den Einsatz Cloud-basierter Failover-Systeme im Rahmen von DRaaS ergeben sich signifikante Kosteneinsparungen. Denn um eine vergleichbare Kapazität zur Verfügung zu stellen, mussten traditionell redundante Hardware-Ressourcen als Ersatz für den Katastrophenfall vorgehalten werden.

Anders als Backup as a Service umfasst Disaster Recovery as a Service nicht nur die Sicherung von Daten, sondern die Spiegelung kompletter Systeme. Insbesondere gehört dazu auch die Sicherung virtueller Maschinen und Anwendungscontainer, welche die Grundbausteine moderner IT-Architekturen darstellen. Bei der Wiederherstellung wird aus diesen Einzelteilen das Gesamtsystem zusammengesetzt. Um die Abhängigkeiten der einzelnen Komponenten untereinander korrekt aufzulösen, erlauben DRaaS-Lösungen das Festlegen der Reihenfolge der einzelnen Wiederherstellungsschritte. Dies ist insbesondere bei der weit verbreiteten Microservice-Architektur essenziell.

Kommen wir nun zu den Nachteilen von Disaster Recovery as a Service. Zunächst halten wir fest, dass bei Nutzung von DRaaS für gewöhnlich höhere Kosten anfallen, als bei Einsatz von Backup as a Service der Fall ist. Allerdings leisten DRaaS-Lösungen auch deutlich mehr, wodurch der direkte Preisvergleich hinkt. Wie bei allen X-as-a-Service-Dienstleistungen droht auch bei DRaaS der Vendor Lock-In – denn: Man gibt Kontrolle an einen Anbieter ab und macht sich von diesem abhängig. Auch der Verlust der Datenhoheit muss als potenzieller Nachteil von DRaaS-Lösungen genannt werden. Hierbei spielt die Lage des Firmensitzes des DRaaS-Anbieters eine entscheidende Rolle.

Disaster Recovery as a Service ist bei vielen Cloudservice-Anbietern zu haben. Darüber hinaus existieren angestammte Anbieter, welche sich auf auf Disaster Recovery und Backup-Lösungen spezialisiert haben. Traditionell wurde Backup as a Service auch von Managed Service Providern zur Verfügung gestellt, bzw. in speziellen Fällen von Systemhäusern implementiert.

Um den passenden DRaaS-Anbieter zu finden, geht man nach dem folgenden Schema vor:

1. Zunächst erfolgt eine Bestandsaufnahme: Man erfasst den Ist-Zustand und ermittelt den Umfang der zu sichernden Daten und Systeme.
2. Als nächster Schritt gilt es, die eigenen Anforderungen und Ziele zu definieren: insbesondere zählen dazu Recovery Time Objective (RTO) und Recovery Point Objective (RPO) für die involvierten Daten, Anwendungen und Dienste.
3. Weiß man, wie die eigene Infrastruktur aufgestellt ist und kennt man die eigenen Anforderungen und Ziele, geht man dazu über, Anbieter-Kandidaten auszuwählen. Neben den technischen Kapazitäten zählen hier vor allem die Compliance der Anbieter mit etablierten Vorgaben sowie eine faire und nachvollziehbare Preisstruktur.
4. Aus den ermittelten Kandidaten muss nun der passende Anbieter gewählt werden. Spätestens an diesem Punkt sollte man Tests durchführen, um die technischen Möglichkeiten der Anbieter auf Herz und Nieren zu überprüfen.

Schauen wir uns die wichtigsten Eckpunkte an, denen ein professioneller DRaaS-Anbieter genügen sollte.

Grundlegend für eine DRaaS-Lösung ist die automatische, kontinuierliche Sicherung kritischer Daten und Systeme. Die Sicherung sollte über Betriebssystemgrenzen hinweg funktionieren und sämtliche wichtigen Datentypen umfassen. Dazu gehören Dateien, Datenbanken, Serverumgebungen und Endnutzer-Geräte, sowie virtualisierte Umgebungen in virtuellen Maschinen und Containern. Bei der Continuous Data Protection (CDP) wird der Zustand eines ganzen Datencenters mit sekundengenauer Granularität gesichert.

Vor dem Transfer zum DRaaS-Anbieter müssen die bei der Speicherung erfassten Daten automatisch verschlüsselt werden. Die Backup-Daten und -Systeme sollten ständig automatisiert auf Fehler und Abweichungen hin überprüft werden. Zur Speicherung der Daten sollten redundant ausgelegte, global verteilte Systeme zum Einsatz kommen.

Im Schadensfall sollte der DRaaS-Anbieter zumindest zwei Leistungen erfüllen: Zum einen gilt es, die betroffenen Systeme wiederherzustellen. Die Wiederherstellung muss sämtliche essenziellen Daten, Anwendungen und Systeme umfassen. Bei der Anbieterwahl sollte bedacht werden, dass ggf. eine Wiederherstellung in Multi-Cloud-Umgebungen nötig ist. Zum anderen sollte der DRaaS-Anbieter während der Wiederherstellung Failover-Systeme zwischenschalten, so dass der Betriebsablauf aus Nutzersicht mit minimalen Unterbrechungen weiterläuft.

Über diese Basis-Anforderungen hinaus ist es mit Blick auf die aktuelle Bedrohungslage ratsam, einen DRaaS-Anbieter zu wählen, dessen Angebot Anti-Ransomware umfasst. Kunden mit exorbitanten Anforderungen an die Menge der zu speichernden Daten sollten diese bei der Anbieterwahl in Betracht ziehen. Der Transfer enormer Datenmengen benötigt über das Internet im Extremfall mehrere Jahre. Viel zu lange für eine zielführende Wiederherstellung. In diesen Fällen kommen spezielle mobile Datenspeicher zum Einsatz, wie das berühmte „Amazon Snowmobile“: