Ihre Daten sind von entscheidender Bedeutung und angesichts der zunehmenden Verbreitung von Ransomware ist der Schutz Ihrer Daten ein wesentlicher Bestandteil Ihres Disaster Recovery Plans. Die Erstellung eines Plans für Datenschutz und -wiederherstellung beginnt damit, dass Sie genau wissen, wie viele Daten Ihr Unternehmen verlieren kann, ohne dass ein erheblicher Schaden entsteht. Diese Berechnung, gemessen in Zeiträumen, wird als Recovery Point Objective (RPO) bezeichnet. RPOs hängen zwar mit RTOs zusammen, sind aber etwas anderes. Als RPO bezeichnet man die maximale Menge an Datenverlust, die Ihr Unternehmen verkraften kann, ohne dass sich dies negativ auf den Geschäftsbetrieb auswirkt, während RTO die maximale Zeitspanne angibt, die ein Computer, ein System, ein Netzwerk oder eine Anwendung benötigen darf, um nach einem Ausfall oder Datenverlust wiederhergestellt zu werden, ohne dass Geschäftsbetrieb beeinträchtigt wird.
Während RTO die gesamte IT-Infrastruktur abdeckt und erhebliche Auswirkungen auf die Sicherstellung der Kontinuität des gesamten Geschäftsbetriebs hat, befasst sich RPO ausschließlich mit den Daten Ihres Unternehmens und bildet die Grundlage für den Aufbau Ihrer Daten-Backup- und Wiederherstellungsstrategien. Um den besten Plan für das Daten-Backup für unterschiedliche Datenebenen zu bestimmen, sind korrekte RPO-Berechnungen entscheidend. Lesen Sie weiter, um mehr zu erfahren!
Die Bedeutung des RPO
Stellen Sie sich vor, Sie arbeiten auf Ihrem eigenen Computer an einem Dokument, und dann passiert es. Vielleicht wird durch einen Sturm die Stromversorgung lahmgelegt oder ein übermäßig verspieltes Haustier betrachtet das Kabel Ihres Computers als sein neues Lieblingsspielzeug. Was auch immer es ist, Sie haben gerade verloren, woran Sie gearbeitet haben. Jetzt stellen sich also mehrere Fragen. Wann haben Sie das Dokument zuletzt gespeichert? Wie wichtig ist dieses Dokument? Haben Sie sich schnell eine Einkaufsliste gemacht oder dem Antrag, an dem Sie seit einer Woche arbeiten, den letzten Schliff gegeben – oder haben Sie das letzte Kapitel des Romans zu Ende geschrieben, an dem Sie schon seit zehn Jahren arbeiten? Ganz gleich, was es war: Alle Änderungen, die Sie seit dem letzten Speichern vorgenommen haben, sind jetzt weg. Ohne uns dessen bewusst zu sein, setzen wir inoffizielle RPOs in unserem eigenen Leben jedes Mal, wenn wir beschließen, die automatische Speicherung eines Dokuments zu aktivieren, die Einstellungen für die automatische Speicherung ändern, damit Speichervorgänge häufiger erfolgen, oder ein Dokument überhaupt nicht erst speichern. Wir messen bestimmten Daten zeitbasiert einen Wert bei, der sich danach richtet, wie viel es uns kosten würde, diese Daten zu verlieren – sei es in Form von Zeit, Geld oder eines anderen Maßstabs.
Zu einem gewissen Grad stützt sich jedes Unternehmen auf Daten. Und jedes Unternehmen verfügt über verschiedene Arten von Daten, auf die es mehr angewiesen ist als auf andere, sowie über besonders sensible Datenebenen. Die Festlegung dieser Datenklassifizierung beginnt mit einer gründlichen Analyse der Auswirkungen auf das Geschäft (Business Impact Analysis, BIA), bei der alle Arten von Daten, die Ihr Unternehmen sammelt und verwendet, untersucht werden und eine wichtige Frage gestellt wird: Wie viele dieser Daten können wir verlieren, ohne dass der Schaden für unser Unternehmen nicht mehr tragbar ist? Auf dieser Grundlage wird entschieden, wie häufig (und mit welchen Verfahren) Ihre Daten gesichert werden sollen. Es ist sicherlich schwierig, jeden Datenverlust zu verhindern, aber Sie können RPOs erstellen, die dafür sorgen, dass Sie die Verluste abmildern und Daten im Falle einer Katastrophe wiederherstellen können. Sehen wir uns einige Beispiele für Recovery Point Objectives an.
Beispiele für RPOs
Während Recovery Time Objectives und Recovery Point Objectives in vielerlei Hinsicht miteinander verwoben sind, gelten RPOs spezifisch für die Daten, die Ihr Unternehmen speichert. Ob es sich um eine Kundendatenbank, Finanztransaktionen oder die Liste der Geburtstage von Mitarbeitern handelt: Für alle Daten gibt es ein RPO, und ein erfolgreicher Notfallwiederherstellungsplan berücksichtigt diesen in seinen Strategien und Vorbereitungen.
Wie hoch sind die Kosten eines Datenverlusts? Das hängt von den Daten und von der Datenmenge ab. Datenverluste können finanzielle und rechtliche Folgen nach sich ziehen und sich negativ auf den Ruf eines Unternehmens auswirken. Stellen Sie sich zwei Hotels vor. Das erste ist klein. Es verfügt über 20 Zimmer, die Anmeldung erfolgt auf Papier und die meisten Reservierungen werden über das Telefon getätigt. Es verfügt nicht einmal über ein Online-Reservierungssystem. In der Regel gehen bei dem Hotel etwa drei Reservierungen täglich ein und es checken drei bis fünf Personen ein. Bei einem Datenverlust dürfte in diesem Hotel kein größeres Chaos ausbrechen. Dieses Hotel kann für seine Reservierungsdaten ein langes RPO festlegen. Schließlich würde sich ein RPO von 24 Stunden bei nur drei Reservierungen pro Tag auf lediglich drei Gäste auswirken. In diesem Fall könnten die Hoteldaten einmal täglich manuell gesichert werden.
Nehmen wir nun aber ein anderes Hotel mit einem aktiven Online-Reservierungssystem und mehr als 500 Zimmern. Täglich checken durchschnittlich bis zu 100 Personen ein. Welche Folgen könnte ein langes RPO für dieses Unternehmen haben? Chaos, wütende Kunden, finanzielle Einbußen – um nur einige zu nennen. Dieses Hotel könnte ein wesentlich kürzeres RPO für die Reservierungsdaten benötigen. Um dieses RPO zu bestimmen, könnte man sich das eigene Online-Reservierungssystem ansehen und bestimmen, wie viele Reservierungen pro Stunde getätigt werden, und dann festlegen, wie viele fehlende Reservierungen einfach zu bewältigen wären, ohne dass Chaos ausbricht. Man stellt fest, dass pro Stunde im Durchschnitt 3 Reservierungen erfolgen und dass sich die Mitarbeiter an der Rezeption mit Leichtigkeit um bis zu 10 Gäste mit fehlenden Reservierungen gleichzeitig kümmern können. Auf dieser Grundlage kann das RPO für das Gästereservierungssystem auf 3 Stunden festgelegt werden, um ein Worst-Case-Szenario von neun Reservierungen (drei Reservierungen pro Stunde drei Stunden lang) abzudecken, die alle in derselben Nacht zur gleichen Zeit im Hotel eintreffen. Das Hotel kann dann automatische Backups seiner Reservierungen alle drei Stunden in Erwägung ziehen.
Stellen Sie sich nun eine Bank vor, in der den ganzen Tag komplexe Finanztransaktionen stattfinden. Ihre RPOs müssen bei nahezu null liegen – und die Lösungen werden komplexer. Das kann zu einem Balanceakt werden. Unternehmensleiter möchten Datenverluste immer so gering wie möglich halten: je näher an null, desto besser. Das geht allerdings nicht ganz ohne Kosten ab. Wenn es um die Umsetzung von Schutzmaßnahmen geht, müssen Unternehmen daher häufig selbst entscheiden, was im Rahmen des Erschwinglichen akzeptabel ist.
Erfahren Sie, wie Rubrik der Grove Bank and Trust geholfen hat, ihre RPOs zu erreichen und einem Wirbelsturm standzuhalten.
FAQs zum RPO
Zusammenfassung
Ihr DR-Plan umfasst sowohl Ihre Recovery Time Objectives (RTOs) als auch Ihre Recovery Point Objectives (RPOs). Für beide müssen Sie abwägen zwischen Ausfallzeiten und Datenverlusten sowie zwischen Komplexität und Kosten für die Einrichtung der für eine schnelle Rückkehr zum Normalbetrieb nötigen Systeme und der Daten-Backup-Lösungen, die die Geschäftskontinuität sicherstellen. Während das RTO Ihre gesamte IT-Infrastruktur einbezieht, geht es beim RPO gezielt um Daten. Beim RPO geht es um die maximale Menge an Datenverlust – gemessen in Zeiträumen –, die Ihr Unternehmen ohne größeren Schaden verkraften kann. In Ihrem Unternehmen gelten unterschiedliche RPOs für verschiedene Daten, abhängig von einer Reihe von Faktoren, z. B. davon, wie wichtig die Daten für Ihr Unternehmen sind, von den rechtlichen Auswirkungen und den Auswirkungen auf den Ruf des Unternehmens, von der Möglichkeit, die Daten wiederherzustellen, sowie von den Kosten und der Komplexität der Lösungen, die zur Einhaltung kürzerer RPOs erforderlich sind. Angesichts der zunehmenden Menge und Komplexität von Ransomware sowie der unzähligen anderen potenziellen Ursachen für Datenverluste ist es für Ihr Unternehmen von entscheidender Bedeutung, RPOs korrekt zu berechnen und die richtigen Lösungen zu finden, um sie zu erreichen.
