Was ist Disaster Recovery as a Service?
Disaster Recovery as a Service (DRaaS) ist ein Cloud-basiertes Modell, bei dem ein externer Anbieter die komplette Infrastruktur für die Notfallwiederherstellung bereitstellt, verwaltet und betreibt. Statt ein eigenes, teures Ausweichrechenzentrum vorzuhalten, replizieren Unternehmen ihre Systeme, Daten und Anwendungen kontinuierlich in die Cloud des DRaaS-Anbieters.
Im Ernstfall - ob Hardwaredefekt, Naturkatastrophe, Cyberangriff oder menschlicher Fehler - kann der gesamte IT-Betrieb innerhalb definierter Zeitfenster auf die Cloud-Infrastruktur umgeschaltet werden. Die Mitarbeiter arbeiten weiter, Kunden merken idealerweise nichts, und das Unternehmen gewinnt Zeit, um die primäre Umgebung wiederherzustellen.
Kerndefinition: DRaaS verlagert das gesamte Disaster-Recovery-Konzept in ein As-a-Service-Modell. Der Anbieter stellt die Infrastruktur, die Replikationstechnologie, die Überwachung und im Ernstfall die Rechenkapazität bereit. Das Unternehmen zahlt monatlich statt hohe Einmalinvestitionen.
Der entscheidende Unterschied zu einem einfachen Backup: DRaaS stellt nicht nur Daten wieder her, sondern komplette lauffähige Systeme. Während ein Backup-Restore Stunden oder Tage dauern kann, ermöglicht DRaaS ein Failover in Minuten. Server, Netzwerk, Storage und Anwendungen werden als Einheit repliziert und können als Einheit gestartet werden.
DRaaS vs. klassisches DR vs. Backup
Viele Unternehmen verwechseln Backup, klassisches Disaster Recovery und DRaaS. Die Unterschiede sind jedoch erheblich und bestimmen, wie schnell Sie nach einem Ausfall wieder arbeitsfähig sind:
| Kriterium | Backup | Klassisches DR | DRaaS |
|---|---|---|---|
| RTO (Wiederherstellungszeit) | Stunden bis Tage | Minuten bis Stunden | Minuten |
| RPO (Datenverlust) | Stunden bis 24h | Sekunden bis Minuten | Sekunden bis Minuten |
| Investitionskosten | Niedrig | Sehr hoch | Niedrig (OpEx) |
| Laufende Kosten | Niedrig | Hoch | Mittel |
| Komplexität | Gering | Sehr hoch | Mittel |
| Eigenes Personal nötig | Wenig | Dediziertes DR-Team | Minimal |
| Skalierbarkeit | Begrenzt | Aufwendig | Elastisch |
| Testbarkeit | Einfach | Komplex, teuer | Einfach, automatisiert |
Ein Backup allein ist kein Disaster Recovery. Es sichert Daten, stellt aber keine lauffähige Umgebung bereit. Klassisches DR mit eigenem Ausweichrechenzentrum bietet maximale Kontrolle, erfordert aber enorme Investitionen in Hardware, Fläche und Personal, die im Normalbetrieb ungenutzt bleiben. DRaaS vereint die Vorteile beider Ansätze: schnelle Wiederherstellung bei planbaren, monatlichen Kosten.
Wie funktioniert DRaaS technisch?
Das technische Fundament von DRaaS besteht aus drei Kernmechanismen, die nahtlos ineinandergreifen: Replikation, Failover und Failback.
Kontinuierliche Replikation
Die DRaaS-Lösung installiert einen leichtgewichtigen Agenten auf jedem zu schützenden Server - physisch oder virtuell. Dieser Agent erfasst alle Änderungen auf Block- oder Byte-Ebene und überträgt sie in Echtzeit oder in definierten Intervallen an die Cloud-Infrastruktur des Anbieters. Die initiale Vollreplikation wird einmalig durchgeführt, danach werden nur noch Deltas übertragen, was die Bandbreitenanforderungen drastisch reduziert.
Moderne DRaaS-Lösungen komprimieren und deduplizieren die Daten vor der Übertragung. Eine typische Umgebung mit 10 Servern und 5 TB Gesamtdaten erzeugt nach der Erstreplikation oft nur 50 bis 200 GB täglichen Replikationsverkehr - abhängig von der Änderungsrate.
Automatisierter Failover
Tritt ein Disaster ein, wird der Failover-Prozess ausgelöst - manuell durch einen Administrator oder automatisch durch vordefinierte Gesundheitschecks. Die replizierten Server werden in der Cloud-Umgebung hochgefahren, Netzwerkverbindungen umgestellt und DNS-Einträge aktualisiert. Je nach DRaaS-Anbieter und Konfiguration dauert dieser Vorgang zwischen 5 und 30 Minuten.
Während des Failovers greifen Mitarbeiter über VPN, SD-WAN oder direkte Internetverbindungen auf die Cloud-Server zu. Kritische Anwendungen wie ERP, E-Mail oder Datenbanken laufen auf der Cloud-Infrastruktur, als wären sie lokal vorhanden. Die Performance ist abhängig von der gebuchten Cloud-Kapazität und der Internetanbindung.
Kontrollierter Failback
Sobald die primäre Infrastruktur repariert oder ersetzt ist, beginnt der Failback. Die in der Cloud gelaufenen Systeme und die während des Ausfalls entstandenen Daten werden zurück auf die lokale Umgebung repliziert. Nach Abschluss der Synchronisation erfolgt die Rückmigration - idealerweise während eines geplanten Wartungsfensters, um Ausfallzeiten zu minimieren.
Praxis-Tipp: Testen Sie den Failover mindestens zweimal jährlich. Die meisten DRaaS-Anbieter ermöglichen nicht-disruptive Tests, bei denen die Cloud-Umgebung parallel hochgefahren wird, ohne den Produktivbetrieb zu beeinträchtigen. Nur ein getesteter DR-Plan ist ein guter Plan.
RPO und RTO verstehen und definieren
Die beiden wichtigsten Kennzahlen jeder Disaster-Recovery-Strategie sind RPO und RTO. Sie bestimmen maßgeblich die Architektur, die Kosten und die Anbieterauswahl.
Recovery Point Objective (RPO)
Der RPO definiert den maximal akzeptablen Datenverlust, gemessen in Zeit. Ein RPO von 1 Stunde bedeutet: Sie können maximal die Daten der letzten Stunde vor dem Ausfall verlieren. Je niedriger der RPO, desto häufiger muss repliziert werden und desto höher sind Bandbreiten- und Speicherkosten.
Recovery Time Objective (RTO)
Der RTO definiert die maximal akzeptable Ausfallzeit. Ein RTO von 30 Minuten bedeutet: Vom Zeitpunkt des Ausfalls bis zur vollen Arbeitsfähigkeit dürfen maximal 30 Minuten vergehen. Je niedriger der RTO, desto mehr Automatisierung und vorgehaltene Kapazität ist erforderlich.
| System-Kategorie | Typischer RPO | Typischer RTO | Beispiele |
|---|---|---|---|
| Geschäftskritisch | Sekunden | < 15 Minuten | ERP, Online-Shop, Produktion |
| Wichtig | Minuten | < 1 Stunde | E-Mail, CRM, Fileserver |
| Standard | 1-4 Stunden | < 4 Stunden | Intranet, Test-Systeme |
| Unkritisch | 24 Stunden | < 24 Stunden | Archive, Entwicklung |
Kostenfaktor: Nicht jedes System braucht den gleichen Schutzlevel. Klassifizieren Sie Ihre Systeme nach Geschäftskritikalität und weisen Sie RPO/RTO differenziert zu. Ein RPO von Sekunden für das Archiv-System ist Geldverschwendung, ein RPO von 24 Stunden für das ERP-System ein untragbares Risiko.
DRaaS-Modelle: Self-Service, Assisted, Managed
DRaaS-Anbieter bieten in der Regel drei Servicemodelle an, die sich in Verantwortungsverteilung, Kosten und benötigtem internen Know-how unterscheiden:
Self-Service DRaaS
Das Unternehmen plant, konfiguriert und verwaltet die DR-Umgebung selbst. Der Anbieter stellt lediglich die Cloud-Plattform und die Replikations-Tools bereit. Dieses Modell eignet sich für Unternehmen mit eigenem IT-Team und DR-Erfahrung. Die Kosten sind am niedrigsten, der interne Aufwand am höchsten.
Assisted DRaaS
Der Anbieter unterstützt bei der initialen Planung und Einrichtung und steht für Optimierung und Fehlerbehebung bereit. Die laufende Verwaltung und die Entscheidung über einen Failover liegt beim Unternehmen. Ein guter Kompromiss zwischen Kontrolle und externer Expertise.
Managed DRaaS
Der Anbieter übernimmt die vollständige Verantwortung: Planung, Implementierung, Monitoring, Testing und im Ernstfall die Durchführung des Failovers. Das Unternehmen definiert die Anforderungen (RPO, RTO, Priorisierung), der Anbieter setzt sie um. Ideal für Unternehmen ohne eigenes DR-Know-how oder mit besonders hohen Verfügbarkeitsanforderungen.
| Merkmal | Self-Service | Assisted | Managed |
|---|---|---|---|
| Planung & Design | Eigenleistung | Mit Unterstützung | Anbieter |
| Einrichtung | Eigenleistung | Gemeinsam | Anbieter |
| Monitoring | Eigenleistung | Eigenleistung | Anbieter (24/7) |
| Failover-Entscheidung | Intern | Intern | Abgestimmt |
| Regelmäßige Tests | Eigenleistung | Mit Unterstützung | Anbieter |
| Internes Know-how | Hoch | Mittel | Gering |
| Kosten | Niedrig | Mittel | Hoch |
Wann lohnt sich DRaaS?
DRaaS ist nicht für jedes Unternehmen die richtige Lösung. In bestimmten Szenarien ist es jedoch die mit Abstand sinnvollste Investition:
KMU ohne eigenes Rechenzentrum
Kleine und mittlere Unternehmen können sich kein dediziertes Ausweichrechenzentrum leisten. DRaaS bietet Enterprise-Level-DR-Fähigkeiten zum Bruchteil der Kosten. Statt sechsstellige Summen in Hardware zu investieren, die nur im Ernstfall genutzt wird, zahlen KMU einen planbaren monatlichen Betrag.
Branchen mit hohen Verfügbarkeitsanforderungen
Produktion, Gesundheitswesen, Finanzbranche und E-Commerce tolerieren keine langen Ausfallzeiten. Wenn jede Stunde Stillstand fünf- oder sechsstellige Umsatzverluste bedeutet, amortisiert sich DRaaS bereits beim ersten verhinderten Ausfall.
Compliance-getriebene Unternehmen
Regulierungen wie ISO 27001, DSGVO, KRITIS oder branchenspezifische Normen fordern dokumentierte und getestete Disaster-Recovery-Pläne. DRaaS-Anbieter liefern standardmäßig Nachweise, Testprotokolle und Compliance-Dokumentation, die interne Audits und externe Prüfungen erleichtern.
Unternehmen mit Ransomware-Risiko
Ransomware verschlüsselt nicht nur lokale Systeme, sondern oft auch angebundene Backups. DRaaS mit Air-Gap-Replikation und unveränderlichen Snapshots bietet eine saubere Wiederherstellungsebene, die von Ransomware nicht erreicht werden kann. Im Ernstfall starten Sie einfach den letzten sauberen Snapshot in der Cloud.
Faustformel: Wenn die geschätzten Kosten eines 24-stündigen IT-Totalausfalls die Jahreskosten einer DRaaS-Lösung übersteigen, lohnt sich die Investition. Für die meisten Unternehmen mit mehr als 10 Mitarbeitern und digitalen Geschäftsprozessen ist das der Fall.
Kosten und ROI von DRaaS
DRaaS-Kosten setzen sich aus mehreren Komponenten zusammen: Lizenzgebühren pro geschütztem Server, Speicherplatz für replizierte Daten, reservierte Compute-Kapazität für den Failover-Fall und optional Managed-Services-Gebühren. Die folgende Tabelle gibt eine Orientierung:
| Unternehmensgröße | Server | DRaaS-Kosten/Monat | DRaaS-Kosten/Jahr |
|---|---|---|---|
| Klein (10-30 MA) | 3-5 | 500-1.500 EUR | 6.000-18.000 EUR |
| Mittel (30-100 MA) | 5-15 | 1.500-4.000 EUR | 18.000-48.000 EUR |
| Groß (100-500 MA) | 15-50 | 4.000-12.000 EUR | 48.000-144.000 EUR |
| Enterprise (500+ MA) | 50+ | Ab 12.000 EUR | Ab 144.000 EUR |
Zum Vergleich: Ein eigenes Ausweichrechenzentrum für ein mittelständisches Unternehmen mit 15 Servern kostet in der Anschaffung 150.000 bis 300.000 Euro plus laufende Kosten für Wartung, Strom, Kühlung und Personal von 30.000 bis 60.000 Euro jährlich. DRaaS eliminiert die Investitionskosten komplett und hält die laufenden Kosten planbar.
ROI-Berechnung
Der ROI von DRaaS lässt sich über die vermiedenen Ausfallkosten berechnen. Laut Gartner kostet eine Stunde IT-Ausfall im Mittelstand durchschnittlich 25.000 bis 50.000 Euro - bei Online-Händlern oder Produktionsunternehmen deutlich mehr. Ein einziger 8-Stunden-Ausfall kostet damit zwischen 200.000 und 400.000 Euro. Die DRaaS-Jahreskosten amortisieren sich also bereits bei einem einzigen verhinderten längeren Ausfall.
Versteckte Kosten beachten: Neben den reinen DRaaS-Gebühren fallen Kosten für ausreichende Internetbandbreite, eventuell VPN-Lizenzen und den internen Zeitaufwand für die Ersteinrichtung an. Kalkulieren Sie auch die Kosten für den Failover-Betrieb: Während eines Ausfalls laufen die Cloud-Compute-Ressourcen auf Volllast und werden entsprechend abgerechnet.
DRaaS-Anbieter auswählen: Die wichtigsten Kriterien
Die Wahl des DRaaS-Anbieters ist eine strategische Entscheidung. Sie vertrauen ihm Ihre kritischsten Daten und die Fähigkeit an, Ihr Unternehmen im Ernstfall am Laufen zu halten. Diese Kriterien sind entscheidend:
Rechenzentrumsstandort Deutschland
Für deutsche Unternehmen ist ein Rechenzentrumsstandort in Deutschland oder mindestens in der EU Pflicht. Die DSGVO verlangt, dass personenbezogene Daten innerhalb des EWR verarbeitet werden, sofern kein angemessenes Schutzniveau im Zielland besteht. Zudem bieten deutsche Rechenzentren Vorteile bei Latenz und Datensouveränität.
Zertifizierungen und Compliance
Achten Sie auf ISO 27001, SOC 2 Typ II und branchenspezifische Zertifizierungen. Für KRITIS-Unternehmen sind die Anforderungen des BSI einzuhalten. Der Anbieter sollte aktuelle Audit-Berichte und Zertifikate auf Anfrage bereitstellen können.
SLA-Garantien
Der Service-Level-Agreement muss konkrete, messbare Zusagen enthalten: garantierter RTO und RPO, Verfügbarkeit der DR-Plattform (mindestens 99,95 Prozent), Reaktionszeiten bei Störungen, Entschädigungsregelungen bei SLA-Verletzung. Vage Formulierungen wie "bestmöglich" oder "in der Regel" sind ein Warnsignal.
Technische Kompatibilität
Der Anbieter muss Ihre bestehende Infrastruktur unterstützen: Hypervisor (VMware, Hyper-V, KVM), Betriebssysteme, Datenbanken und spezielle Anwendungen. Prüfen Sie auch die Unterstützung für physische Server, falls Sie nicht vollständig virtualisiert sind.
Testmöglichkeiten
Non-disruptive DR-Tests müssen im Vertrag inkludiert sein - mindestens zwei pro Jahr, besser quartalsweise. Der Anbieter sollte automatisierte Testberichte liefern, die als Compliance-Nachweis dienen können. Ein Anbieter, der Tests erschwert oder zusätzlich berechnet, ist nicht vertrauenswürdig.
- Bandbreitenanforderungen: Klären Sie vorab, welche Upload-Bandbreite für die Erstreplikation und den laufenden Betrieb benötigt wird
- Verschlüsselung: Daten müssen sowohl in Transit (TLS 1.3) als auch at Rest (AES-256) verschlüsselt sein
- Support-Qualität: 24/7-Support mit deutschsprachigen Ansprechpartnern und garantierten Reaktionszeiten unter 15 Minuten
- Exit-Strategie: Klären Sie vor Vertragsabschluss, wie Sie Ihre Daten bei einem Anbieterwechsel zurückerhalten - Format, Kosten und Zeitrahmen
- Ransomware-Schutz: Immutable Snapshots und Air-Gap-Technologie verhindern, dass Ransomware auch die DR-Kopien verschlüsselt
- Netzwerk-Failover: Prüfen Sie, ob der Anbieter DNS-Failover, IP-Übernahme oder SD-WAN-Integration unterstützt
Fazit: DRaaS als strategische Absicherung
Disaster Recovery as a Service hat die Art verändert, wie Unternehmen sich gegen IT-Ausfälle absichern. Was früher nur Großkonzernen mit eigenen Ausweichrechenzentren möglich war, ist heute für jedes Unternehmen erreichbar. DRaaS demokratisiert Enterprise-Level-Ausfallsicherheit durch das Cloud-Modell.
Der entscheidende Vorteil: Sie zahlen nicht für ungenutztes Eisen in einem zweiten Rechenzentrum, sondern für einen Service, der im Hintergrund kontinuierlich repliziert und im Ernstfall innerhalb von Minuten eine lauffähige Umgebung bereitstellt. Die Kosten sind planbar, die Komplexität wird an den Anbieter ausgelagert und die Testbarkeit ist deutlich höher als bei klassischen DR-Lösungen.
Starten Sie mit einer Bestandsaufnahme: Welche Systeme sind geschäftskritisch? Welche RTO- und RPO-Werte brauchen Sie wirklich? Wie hoch sind Ihre aktuellen Ausfallkosten pro Stunde? Mit diesen Zahlen können Sie eine fundierte Entscheidung treffen und den richtigen DRaaS-Anbieter auswählen.
Zusammenfassung: DRaaS ersetzt hohe Einmalinvestitionen durch planbare monatliche Kosten, ermöglicht Failover in Minuten statt Tagen, lässt sich non-disruptiv testen und skaliert elastisch mit Ihren Anforderungen. Für KMU ohne eigenes DR-Rechenzentrum und für Unternehmen mit hohen Verfügbarkeitsanforderungen ist DRaaS die wirtschaftlich und technisch sinnvollste Lösung.
DRaaS von HostSpezial
Wir sichern Ihre IT-Infrastruktur mit Disaster Recovery aus deutschen Rechenzentren ab - maßgeschneidert auf Ihre Anforderungen.
Beratung anfragen