30-5 · Kapitel 30 · 5 Min. Lesezeit

Warum Ihr Wiederherstellungsplan ohne Übung scheitern wird

Ein Wiederherstellungsplan, der nur im Ordner liegt, ist keine Absicherung. Erfahren Sie, warum regelmäßige Übungen wie Game Days und Chaos Engineering den Unterschied ausmachen.

Warum Ihr Wiederherstellungsplan ohne Übung scheitern wird

Ein Wiederherstellungsplan, der in einem freigegebenen Ordner liegt, von der Führungsebene abgesegnet und dann nie wieder angefasst wird, ist kein Wiederherstellungsplan. Er ist eine Sicherheitsdecke. Das erste Mal, dass ihn jemand liest, ist während eines echten Incidents – wenn die Panik hoch, die Urteilsfähigkeit niedrig ist und das Überspringen von Schritten wie der schnellste Weg zur Behebung erscheint.

Ich habe Teams erlebt, die eine Rollback-Prozedur zum ersten Mal während einer Produktionsstörung durchgeführt haben. Sie haben den Schritt zur Überprüfung der DNS-Propagation übersprungen. Sie gingen davon aus, dass eine Datenbankmigration reversibel sei, obwohl sie es nicht war. Sie riefen einen Ansprechpartner an, der das Unternehmen sechs Monate zuvor verlassen hatte. Keines dieser Probleme war im Dokument sichtbar. Sie traten erst unter Druck auf.

Ein Wiederherstellungsplan ist nur so gut wie das letzte Mal, dass ihn tatsächlich jemand ausgeführt hat.

Das Problem mit ungetesteten Plänen

Wenn ein Plan nur auf dem Papier existiert, gehen mehrere Dinge stillschweigend schief. Anweisungen, die beim Schreiben klar erschienen, erweisen sich unter Stress als mehrdeutig. Schritte, die bestimmte Tools voraussetzen, scheitern, weil sich Berechtigungen geändert haben. Die Abfolge von Aktionen, die in einem Diagramm logisch aussah, entspricht nicht dem tatsächlichen Systemverhalten.

Schlimmer noch: Ungetestete Pläne erzeugen falsches Vertrauen. Teams glauben, sie seien vorbereitet, weil sie ein Dokument haben. Sie erkennen nicht, dass das Dokument nie gegen die Realität validiert wurde. Wenn der echte Fehler eintritt, entdecken sie die Lücken im denkbar ungünstigsten Moment.

Die Lösung ist nicht bessere Dokumentation. Die Lösung ist Übung.

Der Unterschied zwischen einem ungetesteten und einem geübten Plan wird in diesem Vergleich deutlich:

flowchart TD A[Wiederherstellungsplan] --> B{Getestet?} B -->|Nein| C[Ungetesteter Plan] C --> D[Mehrdeutige Schritte] D --> E[Falsches Vertrauen] E --> F[Echter Incident] F --> G[Fehler unter Druck] B -->|Ja| H[Geübter Plan] H --> I[Game Day / Simulation] I --> J[Validierte Schritte] J --> K[Team vertraut dem Plan] K --> L[Echter Incident] L --> M[Erfolgreiche Wiederherstellung]

Game Days: Strukturierte Fehlerübung

Das gängigste Format zum Testen von Wiederherstellungsplänen in DevOps-Teams ist der Game Day. Ein Game Day ist eine geplante Sitzung, in der das Team bewusst ein Fehlerszenario in einer sicheren Umgebung erzeugt – normalerweise in Staging oder einer produktionsähnlichen Umgebung.

Das für die Wiederherstellung zuständige Team kennt das genaue Szenario nicht im Voraus. Sie wissen nur, dass innerhalb eines bestimmten Zeitraums ein Fehler ausgelöst wird und sie ihn beheben müssen. Ziel ist es nicht, jemanden hereinzulegen. Ziel ist es, Muskelgedächtnis für die Notfallreaktion aufzubauen.

Ein typischer Game Day funktioniert so:

Jemand im Team simuliert einen Fehler, z. B. eine Netzwerkkonfigurationsänderung, die die Hälfte der Server unerreichbar macht.
Das Bereitschaftsteam erkennt den Fehler, entscheidet, ob ein Rollback oder Failover durchgeführt wird, und führt die Wiederherstellungsschritte aus dem dokumentierten Plan aus.
Nach der Sitzung hält das Team eine Retrospektive ab, um zu besprechen, was funktioniert hat, was übersehen wurde und was im Plan geändert werden muss.

Der erste Game Day deckt immer Probleme auf. Ein Schritt, der zu lange dauert. Ein Befehl, der aufgrund fehlender Berechtigungen fehlschlägt. Ein Entscheidungspunkt, den der Plan nicht abdeckt. Jedes Problem wird zu einer Verbesserung des Plans.

Chaos Engineering: Automatisierte, kontinuierliche Tests

Game Days sind geplante Ereignisse. Chaos Engineering verfolgt die gleiche Idee, macht sie aber kontinuierlich. Tools wie Chaos Monkey oder Gremlin können bestimmte Fehler automatisch simulieren: Ein Server fällt aus, eine Datenbankverbindung bricht ab, ein TLS-Zertifikat läuft ab.

Der entscheidende Unterschied ist die Häufigkeit. Game Days finden einmal im Monat oder einmal im Quartal statt. Chaos-Experimente können täglich laufen. Für das Testen von Wiederherstellungsplänen ist Chaos Engineering gezielt einsetzbar. Statt zufälliger Fehler erzeugen Sie Experimente, die genau den Fehlerszenarien in Ihrem Wiederherstellungsplan entsprechen. Dann lassen Sie das System laufen und beobachten, ob der Plan tatsächlich funktioniert, wenn der Fehler automatisch auftritt.

Dieser Ansatz erkennt Regressionen. Ein Wiederherstellungsschritt, der letzten Monat funktioniert hat, könnte scheitern, weil jemand eine Firewall-Regel geändert oder einen Credential rotiert hat. Chaos-Experimente decken diese Brüche sofort auf – nicht erst beim nächsten Ausfall.

Prozesssimulationen: Kommunikation testen, nicht nur Code

Nicht jeder Teil eines Wiederherstellungsplans ist technisch. Einige Teile betreffen, wer wen anruft, welche Informationen weitergegeben werden und wie Entscheidungen getroffen werden. Diese Teile sind mit Game Days oder Chaos-Experimenten allein schwerer zu testen.

Prozesssimulationen lösen dieses Problem. In einer Simulation werden keine Server tatsächlich ausgeschaltet. Das Team erhält einen fingierten Incident-Bericht und geht den Wiederherstellungsplan von Anfang bis Ende auf dem Papier oder in einem Mock-Monitoring-System durch. Sie prüfen, ob die Anweisungen klar sind, ob der Zugriff auf Systeme möglich ist und ob die Kommunikationskette noch funktioniert.

Simulationen decken oft Probleme auf, die technische Übungen übersehen. Eine Kontaktnummer, die nicht mehr funktioniert. Ein Schritt, der voraussetzt, dass jemand von einem anderen Team um 3 Uhr morgens verfügbar ist. Eine Genehmigungsstufe, die einen Manager erfordert, der im Urlaub ist. Das sind die Arten von Fehlern, die keine Automatisierung beheben kann, die aber ein einfacher Walkthrough aufdecken kann.

Was mit den Ergebnissen zu tun ist

Jede Übungssitzung – ob Game Day, Chaos-Experiment oder Prozesssimulation – sollte eine Liste von Verbesserungen hervorbringen. Der Wiederherstellungsplan ist kein statisches Dokument. Er ist ein lebendiges Artefakt, das sich basierend auf dem ändert, was das Team lernt.

Aktualisieren Sie den Plan nach jeder Sitzung. Entfernen Sie Schritte, die sich als unnötig erwiesen haben. Fügen Sie Schritte hinzu, die gefehlt haben. Beheben Sie Tooling-Probleme. Aktualisieren Sie Kontaktlisten. Klären Sie mehrdeutige Anweisungen. Der Plan sollte nach jeder Übungssitzung anders aussehen.

Wenn sich der Plan nie ändert, lernt das Team nicht aus der Übung.

Eine kurze Checkliste für den Einstieg

Wenn Ihr Team noch nie einen Wiederherstellungsplan getestet hat, fangen Sie klein an. Hier ist eine praktische Checkliste für die erste Sitzung:

Wählen Sie ein Fehlerszenario aus Ihrem bestehenden Wiederherstellungsplan aus. Beginnen Sie mit dem einfachsten.
Planen Sie einen einstündigen Game Day in einer Staging-Umgebung. Keine Auswirkungen auf die Produktion.
Weisen Sie eine Person zu, die den Fehler auslöst und beobachtet. Sie hilft nicht bei der Wiederherstellung.
Lassen Sie das Bereitschaftsteam den Plan wie geschrieben ausführen. Keine Improvisation während der Sitzung.
Notieren Sie nach der Sitzung jede Abweichung vom Plan und jeden unklaren Schritt.
Aktualisieren Sie den Plan basierend auf Ihren Erkenntnissen. Planen Sie dann die nächste Sitzung.

Streben Sie nicht nach Perfektion in der ersten Sitzung. Streben Sie nach Entdeckung. Jede Lücke, die Sie finden, ist eine Lücke, die Sie während eines echten Incidents nicht überraschen wird.

Das einzige Maß, das zählt

Ein Wiederherstellungsplan, der nie getestet wurde, ist ein Wunsch, kein Plan. Der einzige Weg, um zu wissen, ob Ihr Team sich tatsächlich von einem Fehler erholen kann, ist, es dabei zu beobachten – unter kontrollierten Bedingungen, bevor der echte Notfall eintritt.

Beginnen Sie mit einem Szenario. Führen Sie eine Sitzung durch. Beheben Sie, was kaputt geht. Dann machen Sie es wieder. Mit der Zeit wird die Übung zur Routine, und der Wiederherstellungsplan wird etwas, dem das Team vertraut – nicht etwas, das es ignoriert, bis es zu spät ist.