NAKIVO > Bloggen

Risikobewertung bei Disaster Recovery: Wo soll man anfangen?

Veröffentlicht am: Februar 4, 2020

Written by: NAKIVO Team

Die Bewertung von Risiken ist einer der ersten Schritte, um Wege zu ihrer Reduzierung zu finden und somit die Sicherheit Ihrer Infrastruktur zu gewährleisten. Die Erstellung eines wirksamen Plans für Disaster Recovery beginnt mit der Suche nach potenziellen Bedrohungen und Schwachstellen Ihrer Infrastrukturkomponenten sowie nach Möglichkeiten, darauf zu reagieren. Die Risikobewertung ist kein einmaliger Vorgang. Sie sollten Ihre Richtlinien zur Risikobewertung regelmäßig aktualisieren, insbesondere wenn Sie eine sich ständig verändernde Infrastruktur betreiben. Unser Artikel soll die Bedeutung der Risikofolgenabschätzung bei der Planung der Wiederherstellung erläutern und grundlegende Informationen darüber liefern, wie eine Risikobewertung durchgeführt wird.

Ensure Availability with NAKIVO

Ensure Availability with NAKIVO

Meet strict requirements for service availability in virtual infrastructures. Achieve uptime objectives with robust DR orchestration and automation features.

DISCOVER SOLUTION

Risikofolgenabschätzung: Verwandte Konzepte

Die Bewertung von Risiken ist ein wichtiger Bestandteil sowohl der Planung der Wiederherstellung (Disaster Recovery, DR) als auch der Geschäftskontinuitätsplanung (Business Continuity, BC). Obwohl Details zu DR und BC zwei separate Blogbeiträge erfordern würden, finden Sie im Folgenden eine kurze Übersicht über die beiden Praktiken:

  • Der Disaster-Recovery-Plan ist ein Dokument, das einen genau definierten Algorithmus von Aktionen enthält, die im Falle eines Vorfalls zu ergreifen sind. Sein Zweck ist es, die Wiederherstellung nach den negativen Auswirkungen des Vorfalls zu vereinfachen. Die in einem DR-Plan enthaltenen Anweisungen sollen Ihrem Unternehmen helfen, kritische Abläufe aufrechtzuerhalten oder schnell wieder aufzunehmen und so Ausfallzeiten auf ein Minimum zu reduzieren.
  • Der Business Continuity Plan bezieht sich auf eine Reihe von Aktionen, die darauf abzielen, potenzielle Bedrohungen zu verhindern und Ihr Unternehmen nach Vorfällen wiederherzustellen. Der Grundgedanke besteht darin, sicherzustellen, dass die Mitarbeiter und Vermögenswerte Ihres Unternehmens geschützt sind und den Betrieb im Katastrophenfall wieder aufnehmen können. Ein BC-Plan ist umfassender als ein DR-Plan: Er soll sicherstellen, dass das Unternehmen nach einer Katastrophe weiterarbeiten kann, während ein DR-Plan darauf ausgelegt ist, die negativen Auswirkungen einer Katastrophe schnell zu mildern.

Vor der Umsetzung eines DR-Plans wird eine Bewertung der Risiken und aller potenziellen Schwachstellen Ihres Unternehmens durchgeführt. Es hat sich bewährt, damit unmittelbar nach der Durchführung einer Business Impact Analysis (BIA) zu beginnen, einem weiteren wichtigen Element einer DR-Strategie, das darauf abzielt, mögliche Folgen einer Unterbrechung Ihrer Geschäftsabläufe oder -prozesse zu identifizieren.

Die Risikobewertung für Disaster Recovery enthält ein Dokument, das eine Beschreibung der potenziellen Risiken für die Funktionalität einer Organisation enthält. Es umfasst sowohl Naturkatastrophen als auch von Menschen verursachte Katastrophen und schätzt die Wahrscheinlichkeit des Eintretens jedes Szenarios. Die Ergebnisse der Schätzung werden dann mit den Folgen eines Vorfalls multipliziert. Der erhaltene Wert definiert den Schutzgrad Ihrer Organisation vor einer bestimmten Bedrohung. Einige der grundlegenden Themen, die in dem Dokument hervorgehoben werden sollen, sind die folgenden:

  • Mögliche Schäden, die der Vorfall verursachen kann;
  • Zeit- und Arbeitsaufwand, der erforderlich ist, um die Auswirkungen des Vorfalls zu mindern & damit verbundene Kosten;
  • Präventive Maßnahmen zur Verringerung von Katastrophenrisiken;
  • Anweisungen zur Verringerung der Schwere eines Vorfalls.

Die Bewertung von Risiken ist ein zeitaufwändiger Prozess, der sowohl Fachkenntnisse als auch Liebe zum Detail erfordert. Bei der Erstellung dieses Dokuments ist es ratsam, die Richtlinien zu befolgen, auf Risikobewertungstools zu achten und ein Beispiel für eine Risikobewertung zur Disaster Recovery herunterzuladen, um ein besseres Verständnis zu erlangen.

Durchführung einer Risikofolgenabschätzung

In der Regel umfasst die Durchführung einer Risikobewertung zur Disaster Recovery die folgenden Schritte. Je nach den Anforderungen Ihres Unternehmens können Sie zusätzliche Schritte hinzufügen oder einige der aufgeführten Schritte überspringen.

  1. Auflisten der Vermögenswerte

Der erste Schritt zum Schutz Ihrer Vermögenswerte besteht darin, die für Ihr Unternehmen wertvollsten Vermögenswerte zu definieren. Vermögenswerte sind ein recht weit gefasster Begriff, der Server, Websites und Anwendungen, Kundeninformationen, Datenbanken, Papier- oder elektronische Dokumente usw. und sogar wichtige Teammitglieder umfassen kann.

Um diese Aufgabe zu bewältigen, sollten Sie die Erstellung eines Fragebogens in Betracht ziehen: . Es ist wichtig, nicht nur Feedback von den wichtigsten Führungskräften und Abteilungsleitern, sondern von allen Mitarbeitern des Unternehmens zu erhalten. Dadurch können Sie Dinge erkennen, die möglicherweise übersehen wurden. Beginnen Sie damit, spezifische Risiken und Bedrohungen innerhalb jeder Abteilung zu dokumentieren.

  1. Identifizieren Sie die Risiken

Konkret sollten Sie definieren, was genau Ihre einzelnen Vermögenswerte beeinträchtigen könnte und auf welche Weise. Dazu gehören Software, Hardware, Daten und Mitarbeiter. Stellen Sie sicher, dass Sie einen integrierten Ansatz verfolgen, der einen möglichst breiten Bereich an Katastrophenformen und -ausprägungen abdeckt. Dazu gehören:

  • Naturkatastrophen. Selbst wenn sich Ihre Infrastruktur an einem Standort befindet, an dem Hurrikane oder Erdbeben unwahrscheinlich sind, können Sie die Möglichkeit von Bränden und Wasserrohrbrüchen nicht außer Acht lassen. Berücksichtigen Sie dies bei der Entscheidung, wo Sie Ihre Server aufstellen.
  • Systemausfall. Die Ausfallwahrscheinlichkeit hängt von der Qualität Ihrer Computerausrüstung und Ihrem Aufwand für die Wartung ab. Es besteht immer das Risiko, dass ein Gerät ohne Vorwarnung oder Fehlermeldung ausfällt und nicht mehr funktioniert. Darüber hinaus kann ein Systemausfall durch schwerwiegende Softwareprobleme verursacht werden, wie beispielsweise eine fehlerhafte Codezeile.
  • Versehentlicher Fehler. Die Schulung Ihrer Mitarbeiter, die Gewährung ausreichender Ruhezeiten, die Umsetzung von Sicherheitsprotokollen und andere vorbeugende Maßnahmen können das Risiko menschlicher Fehler nicht vollständig ausschließen. Einige Ihrer Mitarbeiter könnten unbeabsichtigt eine wichtige Datei löschen, auf einen Malware-Link klicken oder versehentlich ein Gerät beschädigen.
  • Böswillige Aktivitäten. Diese Gruppe von Risiken tritt in verschiedenen Formen auf, von traditionellen Hackerangriffen auf Ihre Daten bis hin zu Insider-Bedrohungen wie dem Missbrauch von Anmeldeinformationen und der vorsätzlichen Veränderung oder Beschädigung von Daten.
  1. Finden Sie die Schwachstellen

Es ist wichtig, Schwachstellen zu identifizieren, die ausgenutzt werden können, um an die Vermögenswerte Ihres Unternehmens zu gelangen oder diese zu schädigen. Um eine unbefugte Aktion durchzuführen, benötigt ein Angreifer einen Angriffsvektor (d. h. eine Methode), mit dem er die Schwachstelle eines Systems ausnutzen kann. Die Summe dieser Angriffsvektoren in Ihrer IT-Infrastruktur wird als Angriffsfläche bezeichnet. Das Hauptziel besteht darin, die Angriffsfläche auf ein Minimum zu reduzieren.

Stellen Sie sicher, dass Sie die Wahrscheinlichkeit der Ausnutzung von Schwachstellen bewerten. Dies ist der erste Schritt, um Lücken in der Sicherheit zu priorisieren und Ressourcen zu ihrer Beseitigung zuzuweisen. Laut den Statistiken, die auf dem Common Vulnerability Scoring System (CVSS) basieren, einem Industriestandard zur Bewertung der Schwere von Schwachstellen, werden in den meisten Fällen Schwachstellen mit hoher Schwere ausgenutzt. Dies ist jedoch keine Regel ohne Ausnahmen.

  1. Bewerten Sie die potenziellen Folgen

Führen Sie eine Risiko-Auswirkungsanalyse durch, um die finanziellen Verluste zu ermitteln, die Ihrem Unternehmen entstehen können, wenn eines Ihrer Vermögenswerte beschädigt wird. Neben entgangenen Einnahmen können mögliche Folgen auch Datenverluste, Schäden an Ihrer IT-Umgebung aufgrund von Ausfallzeiten, Reputationsschäden und rechtliche Probleme sein. Seien Sie sich bewusst, dass oberflächliche Verluste möglicherweise nur der Anfang sind. Ein Vorfall kann zu versteckten Kosten im Zusammenhang mit PR und Untersuchungen sowie zu Erhöhungen der Versicherungsprämien und Rechtskosten führen.

risk impact assessment

  1. PPriorisieren Sie die Risiken

Definieren Sie das Risikoniveau für jedes Paar aus Bedrohung und Schwachstelle. Stützen Sie Ihre Bewertung auf eine Kombination aus zwei Faktoren: der Wahrscheinlichkeit der Ausnutzung der Schwachstelle und den möglichen Folgen dieses Vorfalls. Versuchen Sie abzuschätzen, wie viel Umsatz Ihr Unternehmen infolge des Risikoereignisses verlieren könnte.

Die Priorisierung sollte auf der Korrelation zwischen dem Ausmaß der Auswirkungen und der Wahrscheinlichkeit des Eintretens eines bestimmten Vorfalls basieren. Wenn der Vorfall schwerwiegende negative Auswirkungen haben kann und mit hoher Wahrscheinlichkeit eintreten wird, sollte ihm höchste Priorität eingeräumt werden. Jeder der Bedrohungen sollte ein entsprechender Wert zugewiesen werden, von „sehr hoch“ (hohe Risikowahrscheinlichkeit in Kombination mit erheblichen finanziellen Verlusten) bis „sehr niedrig“ (geringe Wahrscheinlichkeit und unbedeutender Schaden).

  1. Dokumentieren Sie die Ergebnisse

Der letzte Schritt bei der Durchführung einer Risikofolgenabschätzung ist die Erstellung eines Berichts oder Dokuments, das alle oben genannten Einschätzungen enthält. Dieses Dokument kann Ihnen später bei der Budgetplanung, der Zuweisung von Ressourcen, der Umsetzung von Sicherheitsrichtlinien usw. Hilfe bieten. Das Dokument soll die Schwachstellen, die potenziellen Auswirkungen und die Wahrscheinlichkeit des Auftretens jeder Bedrohung beschreiben. Zum besseren Verständnis finden Sie unten ein Beispiel:

Bedrohung Schwachstelle Asset Auswirkung Wahrscheinlichkeit Risiko Vorsichtsmaßnahmen
Überhitzung im Serverraum (Systemausfall) – Hoch Klimaanlage ist alt und schlecht gewartet – Hoch Server – Kritisch Dienste, Websites, Anwendungen usw. sind für einige Stunden nicht verfügbar – Kritisch Die Temperatur in den Serverräumen beträgt 40 °C – Hoch Erhebliche finanzielle Verluste pro Stunde Ausfallzeit – Hoch Kauf einer neuen Klimaanlage & Sicherstellung einer besseren Wartung

Gleich nach dem Start werden Sie ein besseres Verständnis für die Abläufe und Prozesse Ihres Unternehmens sowie für die Möglichkeiten zu deren Optimierung gewinnen. Erstellen Sie auf der Grundlage der Risikofolgenabschätzung eine Richtlinie, die den Umfang der Aktionen regelt, die Ihr Unternehmen monatlich, jedes Quartal oder jedes Jahr ergreifen soll. Versuchen Sie herauszufinden, wie jede der Bedrohungen angegangen und gemindert werden sollte und wann die nächste Risikobewertung durchgeführt werden sollte.

Bereiten Sie sich im Voraus vor

Die Bedeutung der Erstellung eines umfassenden Risikobewertungsberichts zu ignorieren, ist eines der häufigsten Risiken bei der Disaster Recovery. Dieser Bericht ist ein bewährtes Hilfsmittel, um die Wahrscheinlichkeit eines Vorfalls zu verringern, dessen negative Auswirkungen zu mindern und Ausfallzeiten auf ein Minimum zu beschränken.

So ist beispielsweise die regelmäßige Erstellung von Backups und die Speicherung von Backupkopien außerhalb des Standorts eine sinnvolle Maßnahme, um die Wiederherstellbarkeit Ihrer Daten in einem breiten Bereich zu gewährleisten, von versehentlichem Löschen bis hin zur vollständigen Zerstörung eines Serverraums. Mit einem gültigen Replikat können Sie außerdem mit nur wenigen Klicks nach einer Katastrophe die Daten wiederherstellen.

NAKIVO Backup & Replication bietet eine Vielzahl von Tools und Funktionen, die Ihnen bei der Sicherung und Replikation Ihrer Workloads helfen. Nachfolgend finden Sie eine kurze Übersicht über unsere Funktionalitäten:

Datensicherung

  • Sichern Sie virtuelle, physische und Cloud-Workloads.
  • Sofortiges Wiederherstellen von Dateien, Ordner und Anwendungsobjekte direkt aus komprimierten und deduplizierten Backups. Sie können Daten an ihrer Quelle oder an einem benutzerdefinierten Standort wiederherstellen. Die Funktion ist sowohl im LAN als auch im WAN verfügbar, wobei alle Dateiberechtigungen wiederhergestellt werden.
  • Senden Sie Kopien Ihrer Backups außerhalb des Standorts , um sicherzustellen, dass sie nicht durch versehentliches Löschen, Beschädigung, Festplattenausfall, Cyberangriffe oder andere unvorhergesehene Ereignisse verloren gehen.

VMware VM-Replikation

  • Erstellen Sie identische Kopien, auch Replikate genannt, von VMware-, Hyper-V- und AWS EC2-basierten VMs.
  • Setzen Sie Ihre geschäftskritischen Vorgänge nahezu sofort fort, indem Sie ein Failover von auf ein VM-Replikat durchführen. Mit anderen Worten: Sie können eine von einem Software- oder Hardwarefehler betroffene VM mit nur wenigen Klicks wiederherstellen.
  • Führen Sie eine Replikation aus Backups durch, um Ihre Produktionsumgebung zu entlasten und Zeit zu sparen, was besonders in großen IT-Infrastrukturen wichtig ist.

Um Datenverluste zu minimieren und Ausfallzeiten zu reduzieren, sollten Sie sich im Voraus vorbereiten. Zusammen können NAKIVO Backup & Replikation & Replication und ein angemessener Bericht zur Risikobewertung Ihnen helfen, Ihre Umgebung vor einem breiten Bereich unerwarteter Szenarien zu schützen.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Empfohlene Artikel

Picture
Ein vollständiger Überblick über Probleme mit der Leistung bei virtuellen Maschinen von VMware
Picture
So installieren Sie VMware PowerCLI für die Automatisierung des Managements von VMware vSphere
Picture
Leitfaden zum Thema Tiering: Arten von Speicherebenen und Lösungen