search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

Welche Schutzunterschiede bestehen zwischen ausgelagerter Datensicherung und einem Managed Disaster Recovery Plan?

Welche Schutzunterschiede bestehen zwischen ausgelagerter Datensicherung und einem Managed Disaster Recovery Plan?

Von Eric Deronzier

Am 7. Mai 2025

IT-Lösungen haben sich in den letzten zehn Jahren immer mehr in Richtung "as a Service"-Modell entwickelt. IT-Lösungen für Datensicherung und Disaster Recovery bilden hier keine Ausnahme.

Backup as a Service wird auch als Backup as a Service (BaaS) bezeichnet und Disaster Recovery Plan as a Service (DRaaS) ist auch als Disaster Recovery as a Service (DRaaS) bekannt. Diese Dienstleistungen beziehen sich auf Lösungen, die von Anbietern für Unternehmen bereitgestellt werden.

Das bedeutet, dass die IT-Teams des Unternehmens die Lösungen nicht lokal in ihren eigenen Rechenzentren installieren und warten müssen. Auch die Durchführung von Tests (Neustart, PRA, Netzwerk) und die Aufrechterhaltung des Betriebs des Dienstes können Teil der Angebote der Dienstleister sein.

Die CIOs stehen bei der Auswahl dieser Lösungen im Mittelpunkt. Sie müssen die verschiedenen Optionen, die ihnen angeboten werden, verstehen und wissen, was dies für den Schutz ihrer Daten bedeutet, bevor sie eine Entscheidung treffen. Diese beiden Schutzarten, die oft als ähnlich wahrgenommen werden, decken nicht die gleichen Risikoszenarien ab.

Definition von Backup as a Service (BaaS)

Man sieht immer mehr Anbieter, die Backup as a Service-Lösungen anbieten. Diese entsprechen dem Kauf einer Online-Backup-Dienstleistung, in der Regel in eine Cloud (öffentlich, privat, privat).

BaaS kann mehrere verschiedene Bereiche abdecken:

  • die Sicherung von Dateien, Ordnern,
  • die Sicherung eines kompletten Laufwerks,
  • die Sicherung einer Anwendung (Domain Controller, Exchange) oder einer Datenbank (SQL Server, PostgreSQL, Oracle usw.).

Die jüngsten Entwicklungen bei BaaS ermöglichen es, Tests zur Wiederherstellung oder zum Neustart von Servern (vollständig/teilweise) zu automatisieren. Diese Tests können dann entweder manuell oder über APIs oder Automaten durchgeführt werden.

Definition von Disaster Recovery Plan as a Service (DRaaS)

Der Begriff Disaster Recovery Plan as a Service ist jüngeren Datums, erfährt aber eine starke Ausweitung, da er auf neue Probleme wie Cyberbedrohungen reagiert.

Es handelt sich um ein umfassendes Dienstleistungsangebot, das von einem Anbieter bereitgestellt und verwaltet wird, auf dem Cloud-Modell aufbaut und eine Wiederherstellungsgarantie (RTO) bietet.

Diese Lösungen nutzen die Hauptvorteile der Cloud (Elastizität, nutzungsabhängige Bezahlung) und führen daher zu einer Senkung der Kosten, die mit der Größe der Infrastruktur verbunden sind.

Die von diesen DRaaS-Lösungen angesprochenen Umfänge sind potenziell sehr unterschiedlich:

  • In Bezug auf die abgedeckten Betriebssysteme: Während x86-Architekturen immer abgedeckt sind, werden seltenere Betriebssysteme (OS400, proprietäre Unixe usw.) nur in geringem Umfang unterstützt.

  • Die RTO-Zeiten (Neustart bei Aktivierung des PRA): Die verwendeten Technologien können sehr unterschiedlich sein und RTOs von einigen Dutzend Minuten (dann spricht man eher von einem Kontinuitätsplan als von einem Wiederherstellungsplan) bis zu einigen Stunden ermöglichen.

  • Die erbrachten Dienstleistungen: Es kann sich entweder um einen teilweise gemanagten PRA handeln (der Kunde ist für die Aufrechterhaltung der Betriebsbereitschaft und die Durchführung der PRA-Tests in Eigenregie verantwortlich) oder um einen vollständig vom Anbieter gemanagten PRA (regelmäßige Server-Neustarttests, Überwachung der Cloud-Backups usw.).

Diese verschiedenen Elemente sind wichtig und sollten bei der Auswahl Ihrer Lösung berücksichtigt werden. Aus diesem Grund ist eine vorherige Analyse erforderlich, um Ihre Bedürfnisse in Bezug auf die zu schützenden Server, die Wiederherstellungszeiten und die Aktualität der Daten zu ermitteln.Sie sollten auch den Bedarf an Management in Abhängigkeit von der Verfügbarkeit und den Fähigkeiten Ihrer technischen Teams berücksichtigen.

Welche Risiken werden von den beiden Lösungen abgedeckt und welche nicht?

Um den Unterschied zwischen diesen beiden Dienstleistungen zu verstehen, müssen wir uns zunächst die Frage nach den verschiedenen Risiken stellen, mit denen sich jede der beiden Lösungen befasst.

Wir werden mehrere Arten von Risiken analysieren, die durch Backups (BaaS) und PRAs (DRaaS) abgedeckt werden, die in Familien unterteilt sind.

Familie des Risikos Risiken Mögliche Ursprünge Wichtigster Wiederherstellungsmechanismus
Verlust oder Beschädigung von Daten

Verlust oder Beschädigung von Dateien

Korruption von Daten, OS oder DBD

    		 Benutzer- oder Verfahrensfehler Backup
    Nichtverfügbarkeit der Serverinfrastruktur

    Ein HS-Server

    Eine Gruppe von Servern HS

    Die gesamte Infrastruktur HS

    		 Hardware- oder Software-Problem Backup oder PRA
    Nichtverfügbarkeit des Rechenzentrums

    Lange Ausfallzeit aufgrund eines Schadensfalls

    Ausfallzeiten im Zusammenhang mit Flüssigkeiten (Strom usw.)

    Ausfallzeiten im Zusammenhang mit Telekommunikation

    		 Brand, Sturm, Terroranschlag, Bauarbeiten usw. PRA
    Ransomware

    Ransomware auf einem Dateiserver

    Ransomware auf der Ebene des IS-Betriebssystems

    		 Über E-Mail verbreitete Malware, Schwachstelle, etc. Backup oder PRA
    Cyber-Angriff

    Ausgeklügelter Angriff

    Denial of Service (Ddos)

    Advanced Persistent Threat

    		 Koordinierter Angriff auf die IT-Infrastruktur. PRA

    Risikoszenarien: Verlust oder Beschädigung von Daten.

    Verlust durch Dateibeschädigung: Es kann sich entweder um einen Benutzer-/Informatikfehler oder ein Hardwareproblem oder einen Verfahrensfehler handeln.

    Absicherung des Risikos mit der
    Ausgelagerte Datensicherung (BaaS)    		 Abdeckung des Risikos mit einem
    Managed Disaster Recovery Plan (DRaaS).

    Dieses Risiko ist das Hauptrisiko, das von allen Lösungen für ausgelagerte Datensicherung abgedeckt wird.

    Die spezifischen Punkte, die es zu erforschen gilt, sind :

    • Die Dauer und Aufbewahrungspolitik der Backups (die Tiefe in Tagen/Wochen/Monaten usw.).
    • Die Autonomie des Kunden bei der Durchführung der Wiederherstellung.

    Hängt von den Sicherungs- oder Replikationsmechanismen ab, die von der PRA-Lösung verwendet werden:

    • Einige Lösungen betreiben eine synchrone oder nahezu synchrone Festplattenreplikation (ohne historisierte Schnappschüsse) und decken dieses Risiko daher nicht ab.
    • Andere Lösungen basieren auf Backup-Mechanismen und sind daher vergleichbar mit ausgelagerten Backup-Lösungen mit denselben Überwachungspunkten (Mindestaufbewahrungsdauer usw.).

    Fragen, die man sich in Bezug auf das Risikoszenario stellen sollte :

    • Speicherung von Cloud-Backups :
      • Wie viele Replikationen der gesicherten Daten werden in der Cloud durchgeführt (1, 2 oder 3 Replikationen?)?
      • Werden die Replikationen der Cloud-Backups auf mehreren entfernten DCs durchgeführt?
    • Fähigkeit oder Unfähigkeit, unterschiedliche Aufbewahrungsfristen für Backups zu haben :
      • Nach Dateityp,
      • Durch Aufbewahrung von N Versionen jeder Datei.

    Risikoszenarien: Verlust oder Beschädigung des Betriebssystems (OS) oder der Datenbank

    Risikoabsicherung mit
    Ausgelagerte Datensicherung (BaaS)    		 Abdeckung des Risikos mit einem
    Managed Disaster Recovery Plan (DRaaS).
    Die Abdeckung dieses Risikos hängt von der funktionalen Abdeckung der ausgelagerten Datensicherung ab:
    • Ermöglicht sie die Sicherung von Betriebssystemen und die Wiederherstellung eines vollständigen Betriebssystems?
      • über einen der auf dem Markt erhältlichen Hypervisoren (VMware, Hyper-V, HAV, Xen usw.),
      • aber auch über einen Agenten in dem immer häufigeren Fall, dass der Kunde keinen direkten Zugriff mehr auf den Hypervisor hat (Drittanbieter-Hosting, Cloud, VPS usw.).
    • Wie autonom kann der Client die Wiederherstellung des Betriebssystems oder des DBMS durchführen?
    		 Die Abdeckung dieses Risikos hängt von den Sicherungs- oder Replikationsmechanismen ab, die von der PRA-Lösung verwendet werden:
    .
    • Einige Lösungen arbeiten mit Festplattenreplikation (ohne Schnappschüsse) und decken dieses Risiko daher nicht ab.
    • Andere Lösungen basieren auf Backup-Mechanismen und sind daher vergleichbar mit ausgelagerten Backup-Lösungen mit denselben Überwachungspunkten (Mindestaufbewahrungsdauer usw.).

    Fragen, die man sich in Bezug auf das Risikoszenario stellen sollte :

    • Gibt es Mechanismen zur Sicherung von Linux-OS in Infrastrukturkontexten, in denen die Mechanismen von Hypervisoren nicht genutzt werden können (typischerweise in öffentlichen oder privaten Clouds)?
    • Verfügt die Lösung über die Fähigkeit, nur bestimmte Laufwerke/Partitionen der Maschine zu sichern, um die Menge der zu sichernden Daten zu begrenzen und die Wiederherstellungsgeschwindigkeit zu beschleunigen?

    Risikoszenarien: Vollständige Nichtverfügbarkeit eines oder mehrerer Server

    Absicherung des Risikos mit der
    Ausgelagerte Datensicherung (BaaS)    		 Abdeckung des Risikos mit einem
    Managed Disaster Recovery Plan (DRaaS).
    Je nach Abdeckung durch die Backup-Lösung ist dieses Risiko abgedeckt.

    Aber man muss analysieren:

    • Die Fähigkeit, den Server wiederherzustellen auf :
      • einen physischen Server,
      • einen anderen Hypervisor als den ursprünglichen.
    • Die Autonomie des Clients, den Neustart durchzuführen.
    • Die Zeit, die benötigt wird, um alle Cloud-Backups über das Netzwerk lokal zurückzuholen.
    		 Dieses Risiko wird in der Regel nicht gut von einer PRA-Lösung abgedeckt:
    • Es ist in der Regel einfach, einen einzelnen oder einige wenige Server neu zu starten.
    • Dagegen kann die Verwaltung des Netzwerks und des Adressplans komplex sein, wenn ein Teil des IS im ursprünglichen Rechenzentrum verbleibt und ein Teil in den Notfallmodus wechselt.
      Einige PRA-Lösungen haben MPLS- oder SD-WAN-Modelle integriert, um dieses Problem zu umgehen.

    Fragen, die Sie sich in Bezug auf das Risikoszenario stellen sollten :

    • Ohne Tests keine Rettung: Hat die Lösung die Durchführung regelmäßiger Server-Neustarttests (entweder vollautomatisch oder manuell) berücksichtigt? Es wird empfohlen, den Neustart mindestens einmal jährlich zu testen.
    • Welche Fristen gelten für die Beschaffung von IT-Infrastruktur vor Ort: Tatsächlich sind sie oft nicht mit den geschäftlichen Anforderungen vereinbar (vor allem derzeit mit der Knappheit an Komponenten) und erlauben daher nicht, eine Infrastruktur vor Ort innerhalb einer akzeptablen Frist neu aufzubauen.

    Risikoszenarien: Nichtverfügbarkeit des Rechenzentrums

    Datenzentrum vollständig nicht verfügbar, entweder aufgrund eines Schadens (Brand, Sturm, Überschwemmung, Terroranschlag usw.) oder in Verbindung mit einer längeren Nichtverfügbarkeit des Netzwerks oder der Flüssigkeiten (Strom, Klimaanlage usw.).

    Absicherung des Risikos mit der

    Ausgelagerte Datensicherung (BaaS)

    		 Abdeckung des Risikos mit einem

    Managed Disaster Recovery Plan (DRaaS)
    Nicht abgedeckt Dieses Risiko wird von einer PRA-Lösung vollständig abgedeckt, da dies ihr Hauptzweck ist.

    Die Begriffe RTO und RPO sind vorherrschend. Dann muss man sich folgende Fragen stellen:

    • Wie werden sie garantiert?
    • Wie werden sie getestet?

    Fragen, die man sich in Bezug auf das Risikoszenario stellen sollte :

    Ohne PRA-Tests gibt es keine Rettung, daher müssen Sie die Durchführung regelmäßiger PRA-Tests überprüfen: Es wird eine halbjährliche Testfrequenz oder weniger empfohlen.

    Die Tests Ihres PRA sollten sich auf den Wiederaufbau der Infrastruktur, Netzwerktests und die Wiederherstellung der Benutzerverbindung mit Funktionstests des Backup-Speichers durch den Endbenutzer beziehen.

    Risikoszenario: Ransomware auf einem Dateiserver oder auf Server-Betriebssystemen.

    Infektion mit Ransomware über eine per E-Mail verbreitete Malware, die eine Schwachstelle ausnutzt.

    Risikoabsicherung mit
    Ausgelagerte Datensicherung (BaaS)    		 Risikoabsicherung mit einem
    Managed Disaster Recovery Plan (DRaaS).
    Die Risikoabdeckung hängt davon ab, wie dicht das Backup gegen Ransomware ist:
    • Wenn eine Abdichtung by design über Sicherheitsmechanismen (Unveränderlichkeit der Backups, Technologiewechsel zwischen Quell- und Zielsicherung usw.) konstruiert wird, die verhindern, dass sich der Virus auf die Backup-Umgebung ausbreitet, ist das Risiko abgedeckt. Andernfalls ist das Risiko kaum oder gar nicht abgedeckt.
    • Die Zeit, die benötigt wird, um alle Cloud-Backups über das Netzwerk wieder lokal verfügbar zu machen, ist in der Regel nicht mit den Anforderungen der Geschäftswelt vereinbar.
    		 Dieses Risiko wird von einer PRA-Lösung vollständig abgedeckt, da dies ihr Hauptzweck ist.

    Die Begriffe RTO und RPO sind hierbei ausschlaggebend. Dann muss man sich die folgenden Fragen stellen:

    • Wie werden sie garantiert?
    • Wie werden sie getestet?

    Fragen, die man sich in Bezug auf das Risikoszenario stellen sollte :

    • Berücksichtigt die gewählte Lösung die Abdichtung gegen einen Ransomware-Angriff? Der Sicherungsraum sollte für Ransomware nicht leicht zugänglich sein (z. B. Windows-Mountpoint usw.).
    • Die Zeitspanne, um alle Cloud-Backups über das Netzwerk wieder lokal verfügbar zu machen, sollte Ihren geschäftlichen Anforderungen entsprechen. Die Frage, die Sie sich stellen müssen, lautet also: Erlaubt die Lösung, die Daten über spezielle Boxen (Typ NAS, SSD usw.) vom Anbieter zurück in den lokalen Bereich zu bringen?

    Risikoszenarien: Ein ausgeklügelter Cyberangriff, der mehrere Angriffsmechanismen vermischt.

    Konstruierter Angriff, bei dem der Angreifer mit privilegierten Rechten die Kontrolle über die Infrastruktur des Kunden übernimmt.

    Risikoabsicherung mit
    Ausgelagerte Datensicherung (BaaS)    		 Abdeckung des Risikos mit einem

    Managed Disaster Recovery Plan (DRaaS)
    Hängt davon ab, wie dicht das Backup vor Angriffen ist :
    • Hat der Angreifer eine Möglichkeit, die Cloud-Backups zu zerstören oder zu verschlüsseln :
      • Wenn er die Kontrolle über das AD übernimmt?
      • Wenn er die Rechte eines Systemadministrators übernimmt?
    • Wenn der Kunde hingegen keinen Zugriff auf die Cloud-Sicherungsbereiche hat, ist das Risiko abgedeckt
    		 Gleiche Risikoabdeckung wie für den Sicherungsteil.

    Wachsamkeit: Die Dichtigkeit von Cloud-Backups ist im Falle eines ausgeklügelten Cyberangriffs zu einem wichtigen Thema geworden.

    Risikoszenarien: Advanced Persistent Threat oder ruhender Angriff.

    Infektion mit einem APT oder ruhender Malware, die mehrere Monate nach der Infektion aktiviert werden kann und eine lange Speicherung von OS-Daten erfordert (mehr als 6 Monate).

    Absicherung des Risikos mit der

    Ausgelagerte Datensicherung (BaaS)

    		 Abdeckung des Risikos mit einem

    Managed Disaster Recovery Plan (DRaaS)
    Hängt von der Tiefe der Sicherung des Betriebssystems ab.

    Dies erfordert, dass der Anbieter Möglichkeiten zur Langzeitarchivierung auf kalten Speichern anbietet.

    		 Wird in der Regel nicht von PRA-Lösungen abgedeckt.

    Es sei denn, die PRA-Lösung bietet die Möglichkeit der Langzeitarchivierung auf kalten Speichern.

    Fragen, die man sich in Bezug auf das Risikoszenario stellen sollte :

    • In diesem Fall spricht man eher von der Archivierung von VMs über lange Zeiträume (z. B. 1 Monat für 24 Monate).
    • Die Lösung einer vollständigen Wiederherstellung des Betriebssystems ist in manchen Fällen nicht verfügbar.

    Zusammengefasst, die drei guten Ratschläge

    1 - Verstehen Sie die geschäftlichen Herausforderungen.

    Der erste Ratschlag ist, wie bei vielen IT-Projekten, die Herausforderungen der Geschäftsbereiche des Unternehmens zu verstehen:

    • Ihre Bedürfnisse in Bezug auf Backups (Tiefe der Backups, Mechanismen zur Datenarchivierung usw.),
    • ihre Bedürfnisse in Bezug auf kritische Anwendungen, die im Falle einer Katastrophe oder eines Cyberangriffs neu gestartet werden müssen :
      • Sie nach Priorität (RTO) zu ordnen,
      • die erforderliche Datenfrische definieren (hauptsächlich bei Datenbanken).

    2 - Identifizieren Sie die abzudeckenden Risikoszenarien.

    Anschließend müssen Sie die Risikoszenarien identifizieren, die im Fall der Geschäftsbereiche des Unternehmens und der Infrastruktur abgedeckt werden müssen (Datenverlust, Ransomware, Verlust des Rechenzentrums):

    • Aus dieser Risikokartierung wird sich zwangsläufig ein Trend ergeben: Entweder reicht eine BaaS-Lösung aus oder es besteht ein Bedarf an DRaaS ;
    • Diese Risikoabdeckung von der Geschäftsleitung bestätigen lassen. Trotz ihres Unverständnisses in Bezug auf die Themen Backup und PRA ist die IT-Risikodeckung hingegen ein wichtiges Thema, dessen sich die Geschäftsleitungen sehr wohl bewusst sind. Sie verstehen zwar nichts von Backup und PRA, sind sich aber zunehmend der IT-Risiken bewusst, die sie abdecken müssen.

    3 - Anforderungen identifizieren und ausdrücken

    Ausgehend von der Identifizierung der abzudeckenden Risiken müssen die Anforderungen an die Lösung ermittelt werden:

    • Zunächst die Erwartungen an den Anbieter: Möchte man eine teilweise gemanagte Lösung oder eine vollständig gemanagte Lösung mit vertraglichen Verpflichtungen?
    • Im Falle eines Bedarfs an Backup:
      • Welcher Umfang soll abgedeckt werden: Betriebssysteme, DBMS-Typen usw.?
      • Wie soll das anfängliche Laden der Daten erfolgen (Verfügbarkeit dedizierter Appliance)?
    • Bei Bedarf an PRA :
      • Welche Server müssen bei PRA geschützt werden und für welche reicht eine Backup-Lösung?
      • Was sind die Besonderheiten des Netzwerks: Wie können Standorte (MPLS, SD-Wan) und mobile Nutzer (SSL-VPN usw.) wieder verbunden werden?
      • Was sind die Besonderheiten in Bezug auf die Sicherheit: Welche Sicherheitslösungen sind im Fall eines Backups erforderlich?

    Artikel übersetzt aus dem Französischen