Funktioniert eigentlich Ihr Backup?

Datensicherung

Viele Unternehmen zeigen im Bereich Datensicherung und Gefahrenabwehr weiterhin großen Nachholbedarf. So manches Unternehmen neigt zum Beispiel nach einem Virenbefall zum Schnellschuss und gibt viel Geld für EDV-Sicherheit aus.

Dabei wird oft vergessen, dass die EDV-Sicherheit an die Ansprüche des Unternehmens angepasst sein sollte. Kein Immobilienverwalter wird eine Verschlüsselung von Daten innerhalb des eigenen Netzwerkes einsetzen, wenn insgesamt nur vier Personen im Unternehmen tätig sind. Es ergibt auch keinen Sinn, eine Firewall zu verwenden, die für Unternehmen ab einer Größe von 500 Mitarbeitern geeignet ist. Und noch weniger ergibt es Sinn, mehrere Virenscanner auf einem System zu installieren. Diese haben unter Umständen den Effekt, dass sie sich gegenseitig beeinflussen und somit das System verlangsamen oder dass sie seltsame Fehlermeldungen hervorrufen.

Die Datenschutz-Grundverordnung (DSGVO) kommt in großen Schritten

Die DSGVO stellt den Datenschutz ganz neu auf und vieles auf den Kopf. Strategische Datenschutzziele müssen konzipiert und Rollen sowie Verantwortlichkeiten für die effektive Sicherstellung der Datenschutzvorschriften festgelegt werden (Governance-Struktur). Immer wieder wird diese Governance-Struktur Prüfpunkt der Aufsichtsbehörden sein. Datenschutzstrukturen und die Rechenschaftspflicht der Geschäftsführung gegenüber den Aufsichtsbehörden setzen völlig neue Maßstäbe beim Thema Datenschutz. Aber auch die Datensicherheit findet in der neuen Verordnung ihre wichtige Bestimmung. Nach der DSGVO muss jedes Unternehmen die Bestimmungen zur Datensicherheit (technische und organisatorische Maßnahmen) besonders im Fokus haben. Nach der neuen Verordnung wird jedes Unternehmen verpflichtet, die „Sicherheit der Verarbeitung“ zu gewährleisten und zu dokumentieren (Art. 5 Abs. 1 f DSGVO und Art. 32 DSGVO). Gerade der Art. 32 DSGVO gibt die Zielrichtung vor. Im ersten Abschnitt heißt es:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten …“

Wie schnell ein Unternehmen plötzlich nicht mehr arbeitsfähig ist, zeigen die Vorkommnisse des letzten Jahres. Das Risiko, seinen gesamten Datenbestand zu verlieren, ist extrem gestiegen, sollte nicht ein vernünftiges Backup-System vorhanden sein. Aber oft fangen Unternehmen erst dann an, Datensicherung als wichtigstes Instrument im Umgang mit PCs, Handys, Laptops, etc. einzusetzen, wenn sie bereits Daten verloren haben.

Virenbefall ist 2016 häufigste Ausfallursache

Beim Befall durch Viren ist es wichtig, ein zuverlässiges, regelmäßiges und funktionierendes Backup zu haben. Verschlüsselungstrojaner waren 2016 die größten Bedrohungen für Computer. Immer neuere Varianten tauchten auf und nisteten sich auf PCs, Servern und dem gesamten Netzwerk ein. Und in der Zukunft wird es nicht weniger werden, denn auch die Programmierer dieser Übeltäter werden erfahrener und raffinierter.

Der Admin ist generell nicht für Datensicherung verantwortlich

Viele Unternehmen verlassen sich ganz auf den „Admin“. Sobald dieser eine Software zur Datensicherung bestellt, installiert, konfiguriert und in Betrieb genommen hat, wähnen sich die meisten Unternehmen in Sicherheit. Ein gefährlicher Trugschluss. Denn auch der Admin kann Fehler machen. Weiterhin gehen die meisten Unternehmen davon aus, dass der externe Admin (exA) auch für die Datensicherung verantwortlich ist. Aufgrund fehlender Kommunikation zwischen dem Unternehmen und dem exA kann es deswegen zu einer existenzbedrohenden Situation kommen. Nämlich dann, wenn die Datensicherung eben nicht funktioniert. So geschehen bei einer kleinen Hausverwaltung im Allgäu, bei der der Geschäftsführer mit dem exA nur mündlich vereinbart hatte, dass er sich um die Datensicherung kümmern solle. Es wurde eine teure Software zur Datensicherung angeschafft und auch durch den Admin installiert. Der Geschäftsführer verließ sich darauf, dass nun alle Daten täglich und zuverlässig gesichert würden. Es kam zum Systemcrash. Der Geschäftsführer informierte den exA und beauftragte ihn mit der Wiederherstellung des produktiven Systems. Als der exA dieses durchführen wollte stellte er fest, dass keine entsprechenden Daten zur Wiederherstellung des Systems vorhanden waren. Damit begann das Hin- und Herschieben der Schuld zwischen beiden Parteien. Da zwischen dem Unternehmen und dem exA nicht vereinbart war, dass die Verantwortlichkeit für sämtliche Datensicherungsmaßnahmen auf den exA übertragen werden würde, blieb das Unternehmen für den Datenverlust voll haftbar. Mit einem Urteil des OLG Hamm im Jahr 2003 (Urteil vom 1.12.2003 – 13 U 133/03) wurde entschieden, dass ein Unternehmen gegen den exA keinen Schadensersatz geltend machen könne, weil das Unternehmen keine geeigneten Datensicherungsmaßnahmen eingeleitet und vorgenommen habe. Die Richter ließen sich sogar dazu hinreißen, dem Unternehmer eine gewisse „Blauäugigkeit“ zu bescheinigen.

Der Admin ist nicht erreichbar. Was tun?

Viele Unternehmen sind gar nicht in der Lage (trotz funktionierendem Backup) die Daten „alleine“ wiederherzustellen. Es muss somit ein Fachmann herangezogen werden. Den wenigsten Geschäftsführern ist zuzumuten, dass sie sich selbst an den entsprechenden Server setzen und versuchen, die Datensicherung z. B. vom Vortag wiederherzustellen. Wenn der Admin im Urlaub, krank oder schlichtweg nicht erreichbar ist, hängt das Unternehmen in der Luft und kann nur noch abwarten, bis „er“ wieder erreichbar ist oder sich von selbst meldet. Hier ist es ganz hilfreich, wenn der Admin eine kleine Anleitung (Screenshots) erstellt, bei welcher Schritt für Schritt erklärt wird, wie man Daten aus der vorhandenen Datensicherung wiederherstellen kann. Es ist sinnvoll, hierzu einen technisch verständigen Mitarbeiter aus dem Unternehmen heranzuziehen. Viel teurer wäre es, einen anderen externen EDV-Dienstleister damit zu beauftragen. Denn dieser würde sich auch nicht auf Anhieb im System zurechtfinden und würde Zeit brauchen, um die Struktur der vorhandenen EDV zu erfassen und die notwendigen Schritte einzuleiten.

Der Vergleich mit einem Auto

Gerade in diesen Zeiten ist es wichtig, auch das vorhandene Equipment zu überprüfen. Behalten Sie immer die Produktivität im Auge. Vergleichen Sie Ihr System mit einem Auto, das im Wesentlichen aus zwei wichtigen Komponenten besteht. Einmal der Motor – das sind die Daten – und die Karosserie – das ist die Hardware. Sie benötigen beides, um sich bewegen zu können. Natürlich können Sie den Motor auch in eine andere Karosserie einbauen. Nur wird es wesentlich aufwendiger sein, diesen Motor an die geänderte Karosserie anzupassen. Deswegen sollten Sie immer eine exakte Kopie des Motors und der Karosserie haben.

Folgende Punkte sind zu prüfen:

Wer ist für die Datensicherungsmaßnahmen verantwortlich?

Es ist wichtig, dass nicht nur bestimmt wird, wer die Datensicherung auf Funktionalität überprüft, sondern auch, wer die Administration und Pflege der Software übernimmt. Auch die regelmäßige Prüfung von Updates gehört auf den Plan. Dadurch wird eine Verbindlichkeit festgelegt. Außerdem entlastet es unter Umständen auch den exA oder die IT-Abteilung.

Wurde der Einsatz der speziellen Sicherungssoftware definiert?

In kleinen Unternehmen kommen meist nur PCs ohne Server zum Einsatz. Manchmal ist noch dazu ein externer Datenspeicher (NAS oder Festplatte) ins Netzwerk eingebunden. Hier ist der Einsatz einer großen Software wohl leicht übertrieben. Die Ansprüche an die zu sichernden Daten und das System bestimmen die Anschaffung der Hardware und auch der Sicherungssoftware. Heute bekommt man schon für ca. 50 Euro eine gute Datensicherung für einen einzelnen PC. Zur Sicherung von Server-Systemen steigt die Anforderung an die Sicherungssoftware. Dementsprechend ist die Anschaffung teurer.

Fand eine Bewertung zur Sicherung der Daten statt?

Wichtig ist es, eine sogenannte „Sicherungswürdigkeit“ der zu sichernden Daten festzulegen. Nicht alle Daten müssen täglich gesichert werden. Eine einfache Faustregel lautet: Daten, die ich jeden Tag benötige (E-Mails, Hausverwalterprogramm, etc.), sind hoch verfügbare Daten. Hier muss die Datensicherung häufiger erfolgen (mind. täglich). Besonders kritische Daten sollten vielleicht sogar mehrmals am Tag gesichert werden. Gerade größere Unternehmen haben hierzu ganz spezielle Szenarien. Man stelle sich vor, ein Unternehmen mit 200 Mitarbeitern erleidet einen Datenverlust und die Datensicherung fand nur einmal täglich statt. Wenn also alle Mitarbeiter einen ganzen Tag wieder „rein arbeiten“ müssen, sind die Kosten extrem hoch.

Welche Geräte müssen gesichert werden?

Hier haben Unternehmen oft auf das falsche Pferd gesetzt. Zwar findet eine Datensicherung statt, jedoch ist das System, auf welchem die Daten verarbeitet werden, plötzlich nicht mehr einsatzbereit (Virenbefall, Hardwareschaden, etc.). Es müssen aber immer die zwei Komponenten, Karosserie und Motor bzw. Hardware, und zu verarbeitende Daten (Datenbanken, Datensätze), gesichert werden. Man spricht von Systemsicherung und Datensicherung. Viele vergessen, dass z. B. beim Ausfall des PCs in der Buchhaltung eine Datensicherung erst mal herzlich wenig nützt, wenn man kein System (PC) hat, auf welchem die Daten verarbeitet werden können. Erfahrungsgemäß dauert es lange, bis ein PC der Buchhaltung wieder vollends einsatzbereit ist. Natürlich müssen Serversysteme heute ebenfalls so gesichert werden, dass das System binnen kürzester Zeit wieder auf die Beine gestellt werden kann und die Daten dann wieder auf dem System wiederhergestellt werden können. Hierzu gibt es mittlerweile gute Software, die wahre Wunder vollbringen (z. B. Acronis, Veeam, etc) kann. Zu guter Letzt sind auch Laptops, Handys und Tablets in die Überlegungen mit einzubeziehen. Hier wird oft vergessen, dass zum Beispiel ein Handy wie eine Festplatte anzusehen ist. Daten, die sich heute auf einem Handy befinden, sind persönlicher aber nicht selten eben auch unternehmerischer Natur. Die Sicherung von Handy-Daten sollte ebenfalls in den Datensicherungsplan eingefügt werden.

Wurden die Sicherungsmaßnahmen nachvollziehbar und angemessen definiert?

Großes Augenmerk sollte man darauf legen, wie der gesamte Sicherungsprozess abläuft und welche Ressourcen er einnimmt. Findet eine Datensicherung mehrmals am Tag statt, muss man in Betracht ziehen, dass das System insgesamt mehr Leistung in Anspruch nimmt und u. U. die Verarbeitungsgeschwindigkeit sinken wird. Findet die Sicherung abends statt, sollte gesichert sein, dass tatsächlich kein Mitarbeiter mehr Überstunden zu der Sicherungszeit macht. Gerade bei kleineren Datensicherungssystemen fehlt die Möglichkeit, offene Dateien, die gerade bearbeitet werden, sichern zu können. Wenn Mitarbeiter über Nacht ihren PC in Betrieb lassen und ein Programm geöffnet haben, ist ebenfalls nicht gewährleistet, dass alle Daten gesichert werden. Die Definition des Sicherungsziels wird nur erreicht, wenn diese Überlegungen mit einfließen.

Ist eine erfolgreiche oder gescheiterte Datensicherung dokumentiert?

Vor ca. zehn Jahren war die häufigste Datensicherungsmethode die Datensicherung auf Magnetbändern (DAT-Bänder). Ähnlich wie bei einem Musikkassettenrekorder wurden die Kassetten in das entsprechende Laufwerk eingeschoben. Am nächsten Morgen wurden die Bänder dann entnommen und gegen ein anderes Band ausgetauscht. Viele Unternehmen merkten dabei nicht, dass die Datensicherung gar nicht funktionierte. Denn laut Hersteller dieser Magnetbänder hatten diese eine Betriebszeit von ca. sechs Monaten. Danach sollten die Bänder erneuert werden. Viele verließen sich darauf, dass auch schon zwei Jahre alte Bänder immer noch funktionierten. Erst als man dazu überging, die Datensicherungssoftware mit einer entsprechenden Benachrichtigungsmöglichkeit (E-Mail, Ausdruck am Drucker, Meldung am Bildschirm, etc.) auszustatten, konnte man das Ergebnis der letzten Datensicherung dokumentieren. Versicherungen, die zur Schadensregulierung bei einem Datenverlust herangezogen werden, verlangen oft die Vorlage der Datensicherungsdokumentation (Berichte) des letzten Monats.

Ist es möglich zu erkennen, ob die gesicherten Daten auch tatsächlich nutzbar sind?

Sie sollten sicherstellen, dass die gesicherten oder wiederhergestellten Daten auch tatsächlich wieder nutzbar sind. Verschiedene Hersteller bieten dies in ihrer Software als integriertes Feature mit an. D. h., die Software überprüft nach dem Sicherungsvorgang die gesicherten Daten (via Prüfziffern-Verfahren und CRC-Prüfung) daraufhin, ob der gesicherte Datensatz auch 1 zu 1 dem Original-Datensatz entspricht. Dies muss aber explizit in der Software aktiviert werden.

Wurde eine Rücksicherung der Daten (live) getestet?

Verlassen Sie sich nicht darauf, dass die Datensicherung jeden Tag funktioniert und ein Bericht über die erfolgreiche Datensicherung erstellt wird, sondern testen Sie den „Super-Gau“! Bei virtuellen Umgebungen lässt sich dieses leicht prüfen. Achten Sie darauf, wie lange es dauert, ein System wieder gänzlich herzustellen. Dies ist auch der Richtwert für Sie, um festzustellen, welche Software Features bietet, die die Produktivität wieder schnellstens ermöglichen. Bei Hardware-Systemen muss u. U. eine spezielle Software eingesetzt werden, die es ermöglicht, das Betriebssystem auch auf veränderten Hardwarekomponenten wieder zu starten.

Wohin wird gesichert?

Die oben angesprochene Datensicherung mit Magnetbändern wurde bei vielen Unternehmen so durchgeführt, dass das entnommene Band einfach oben auf dem Regal abgelegt wurde. Manche Chefs nahmen die Bänder einer Woche mit nach Hause. So war wenigstens gewährleistet, dass, sollte es zu einem Schaden (Brand, Diebstahl, Wasser, Blitzschlag etc.) kommen, die Datenbänder wenigstens nicht mit dem gesamten System vernichtet werden. Heutige Datensicherungen werden meist auf externen Datenspeichern (entweder im Netzwerk oder in der Cloud) vorgenommen. Achten Sie bei der Sicherung im eigenen Netzwerk darauf, dass der Datenspeicher sich in einem anderen Teil des Gebäudes befindet (Brandabschottung)! Es nützt wenig, wenn es im Serverraum brennt und die Datensicherung sich gleichzeitig darin befindet. Wenn Sie auf externe Festplatten sichern, ist es sinnvoll, sich jeden Freitag eine Vollsicherung auf eine Festplatte zu „ziehen“ und diese im Aktenkoffer mit nach Hause zu nehmen. Allerdings ist in letzter Zeit festzustellen, dass viele Unternehmen wieder auf die klassischen Magnetbänder ausweichen. Denn durch die Sicherung auf ein externes Magnetband ist gewährleistet, dass bei einem Virenbefall diese Medien definitiv nicht betroffen sind.

Datensicherung in der Cloud?

Mit der zunehmenden Mobilität von Mitarbeitern ist die Cloud eine perfekte Alternative, um Daten schnell und jederzeit zur Verfügung zu stellen. Es ist ebenso sinnvoll, eine Datensicherung in der Cloud vorzunehmen. Allerdings sollten Sie darauf achten, welchem Unternehmen Sie Ihre Daten anvertrauen. Nicht selten sind verlockende, sogar kostenlose Angebote (Google, Dropbox, MyCloudFiles, etc.) der falsche Weg, weil die Daten u. U. auf Servern außerhalb der EU liegen. Zudem besagt das derzeit geltende Datenschutzgesetz (BDSG), dass die Speicherung personenbezogener Daten (Name, Adressen, Telefonnummern, etc.) nur dann erlaubt ist, wenn gemäß § 11 BDSG eine Auftragsdatenverarbeitung vertraglich mit entsprechenden Kontrollpflichten vereinbart worden ist. Unternehmen, die ihre Dienste zum Beispiel in den USA anbieten, können den oben genannten Anforderungen oft nicht entsprechen. Ganz wichtig ist aber die Verschlüsselung. Daten sollten niemals in ihrem Ursprungsformat in der Cloud gesichert werden. Es muss zwingend eine spezielle Verschlüsselungsmethode eingesetzt werden. Nur dann ist es möglich, den Zugriff durch unbefugte Dritte zu verwehren bzw. zu erschweren. Einige Cloud-Anbieter bieten zwar eine Verschlüsselung an, Sie sollten jedoch besser auf einen Drittanbieter setzen, der die Kompatibilität zu allen gängigen Cloud-Anbietern gewährleistet. Es sollte außerdem ein Zwei-Faktoren-Verschlüsselungscode-Management möglich sein. Sie sollten sich darüber im Klaren sein, dass auch ein großer Cloud-Anbieter mal einen Datenverlust erleiden kann. Wenn Sie also Ihre Daten jeden Tag vertrauensvoll und verschlüsselt in die Cloud sichern, der Anbieter aber einen Datenverlust erleidet, bleibt die Haftung für die Daten auf der Seite des Dateninhabers. Sicherlich, Sie können sich in einem zivilrechtlichen Streit auseinandersetzen. Jedoch dürfte dieser Weg sehr beschwerlich und teuer werden. Deswegen ist eine zusätzliche Sicherung auf eigenen Serversystemen der sicherste Weg. Sie haben dann sozusagen eine Sicherung der Sicherung.

ACHTUNG! Wer gänzlich auf eine Cloud-Sicherung setzt, sollte sich darüber im Klaren sein, dass die Daten nicht ohne weiteres wieder auf das System zurückgespielt werden können. Manche Datenbestände sind so groß, dass die Internetleitung in die Knie gehen würde. Ein „normales“ Arbeiten wäre nicht möglich. Es gibt auch die Option, dass der Cloud-Anbieter Ihnen eine Festplatte mit dem Datenbestand übersendet. Dabei sollten Sie darauf achten, dass der Versand datenschutzkonform (verschlüsselt und per Boten) erfolgt und in Kauf nehmen, dass die Übersendung seine Zeit dauert. Sie sind gut beraten, wenn Sie sich vorher mit dem Anbieter genau über diese Themen auseinandersetzen und dringende Fragen klären.

Welches Datensicherungsprinzip wird angewendet?

Eine Datensicherung, die nur eine Woche zurückreicht, ist unzureichend. Als am effektivsten und sinnvollsten hat sich das sogenannte Großvater-Vater-Sohn-Prinzip (GVS) herausgestellt. Dieses Prinzip garantiert verschiedene Sicherungsstufen. Großväter (Monatssicherungen), Väter (Wochensicherungen) und Söhne (Tagessicherungen) sind zwar alte Hasen aus den Zeiten der Bandsicherungen, finden jedoch heute noch ihre Daseinsberechtigung. Sind zum Beispiel die „Sohn“-Daten beschädigt, so lassen sich diese aus den „Vater“-Daten oder aus den „Großvater“-Daten wiederherstellen. Außerdem verschafft diese Methode einen sehr guten Überblick über das gesamte Backup-System.

Was passiert mit „alten“ Medien?

Der Dateninhaber hat die Verantwortung, dass die Daten und Medien gelöscht und vernichtet werden. Ein Magnetsicherungsband sollte nicht im Hausmüll landen. Eine Festplatte sollte weder per Auktion versteigert noch verkauft werden. Ein alter PC sollte nicht an den Admin verschenkt oder übergeben werden, wenn nicht gewährleistet ist, dass dieser dann die Daten auf dem PC nach gängigen Verfahren sicher und unwiederbringlich löscht. Viele Unternehmen, die sich auf Daten- und Aktenvernichtung spezialisiert haben, bieten eine fachgerechte Entsorgung der o.g. Medien an.

Jedes Unternehmen ist gesetzlich dazu verpflichtet, eine regelmäßige Datensicherung einzusetzen und anzuwenden. Sollte es zu einem Schadensfall kommen, ist es durchaus möglich, dass ein Geschädigter Schadensersatz vom Schädiger verlangen kann, wenn diesem Versäumnisse bei der Sicherung von Daten nachgewiesen werden können. Daher ist eine Dokumentation der Datensicherung eine unternehmerische Pflicht. In der Dokumentation müssen die Methoden, Abläufe und Verantwortlichkeiten ganz klar aufgeführt werden, damit auch intern im Unternehmen schnelle und klare Prozesse definiert und im Schadensfall ausgeführt werden können. Wenn ein Unternehmer seine Datensicherung nicht selber kontrolliert, sondern sich auf andere verlässt und dieses nicht vertraglich vereinbart hat, ist er im Schadensfall schnell selbst verlassen.

Der BVI hat sich zum Ziel gesetzt, seine Mitglieder tatkräftig bei allen Fragen der Digitalisierung, des Datenschutzes und der dazugehörigen Technik zu unterstützen. Wenden Sie sich an den BVI, wenn Sie Unterstützung benötigen! Wir begleiten Sie auf dem Weg.

Reinhold Okon, Datenschutzbeauftragter des BVI e.V.
www.bvi-verwalter.de

Kommentare
Kommentieren
Kommentar schreiben