DATENSICHERUNGSKONZEPT

You are currently viewing DATENSICHERUNGSKONZEPT

DATENSICHERUNGSKONZEPT

  • Beitrags-Autor:
  • Beitrags-Kategorie:Technik

Regelmäßige Datensicherungen sind unverzichtbar. Ohne Backups ist ein Datenverlust nicht nur ärgerlich, sondern kann sogar existenzbedrohend Auswirkungen haben. Eine umfassende Backup-Strategie umfasst viele Aspekte und muss tief und nachhaltig in der Organisationsstruktur verankert werden.

In vielen Unternehmen wird die Vorgehensweise bei der Erstellung von Sicherungskopien rein pragmatisch implementiert, aber nicht auf Basis eines ganzheitlichen Datensicherungskonzepts. Dies birgt zahlreiche technische und finanzielle Risiken:

  • Datenverluste (z.B. aufgrund von Systemausfällen oder Ransom-Angriffen)
  • Schwierigkeiten beim Einspielen von Backups (z.B. wegen unklarer Zuständigkeiten)
  • Wiederholung bereits gemachter Fehler
  • Produktivitätseinbußen (z.B. durch Arbeitsausfälle wegen fehlendem Zugriff auf Daten)
  • Bußgelder (z.B. wegen Fehlern beim Datenschutz)
  • Kostenrisiken (z.B. wegen Rechtskosten oder Schadensersatzzahlungen)

Ziele eines Datensicherungskonzepts

Ein Datensicherungskonzept schafft einen verbindlichen Rahmen für die Umsetzung von Maßnahmen, um (personenbezogene) Daten vor einem dauerhaften Verlust schützen. Zugleich regelt solch ein Konzept, wie – im Falle eines Datenverlusts – zeitnah eine Wiederherstellung gelingt. Darüber hinaus stellt es die Einhaltung geltender Datenschutzbestimmungen sicher, legt Verantwortlichkeiten fest und dient als Dokumentation.

Aufbau eines Datensicherungskonzepts

Angesichts der zahlreichen, schwer wiegenden Risiken muss ein Datensicherungskonzept eine Vielzahl unterschiedlicher Details berücksichtigen. Aus diesem Grund existieren verschiedene Ansätze, die bis hin zu genormten Vorgaben reichen. Die wichtigsten Bestandteile sind insbes.

  • einzubeziehende IT-Systeme
  • betroffene Daten und Datenarten (z.B. Mitarbeiterdaten, Kundendaten, etc.)
  • Art der Datensicherung (volle, inkrementelle oder differenzielle Sicherung)
  • Sicherungshäufigkeit
  • Sicherungsmaßnahmen für das Backup-System (Backup vom Backup, Räumlichkeiten, Zugänge)
  • Prozesse zur Wiederherstellung der Daten
  • Regeln zur Nutzung der Backup-Daten für abweichende Zwecke (z.B. zur Beweissicherung)
  • Zuständigkeit (z.B. von Abteilungen, Teams oder Mitarbeitern)

Welche Bestandteile notwendig und in welcher Reihenfolge sie zu dokumentieren sind, hängt vom Einzelfall ab. Hierbei kann es eine Rolle spielen, ob eine Zertifizierung angestrebt wird. Sofern eine solche Lösung notwendig ist, ist es erforderlich, tief in die Materie einzusteigen und es folgt zumeist ein ressourcenaufwändiger strukturgebender Prozess.

Die größten Gefahren für Daten

Die Gefährdungsszenarien lassen sich im Wesentlichen auf drei Ursachen zurückführen:

  • Faktor Mensch: Die meisten Datenverluste sind auf menschliche Fehler zurückzuführen. Ein typisches Beispiel ist die unbewusste Installation von Schadsoftware, die sich über betrügerische E-Mails einschleicht. Ein vollständiger Schutz kann niemals gewährleistet werden, Security-Awareness-Schulungen können das Risiko jedoch erheblich verringern.
  • Technische Störfälle: In diese Gefahrenkategorie fallen Ausfälle der Infrastruktur wie Festplattendefekte oder Stromausfälle. Zur Risikoverringerung trägt vor allem eine automatisierte Erkennung solcher Störfälle bei sowie der Einsatz redundanter Systeme.
  • Höhere Gewalt: Von Schäden durch äußere, nicht zu beeinflussende Risiken wie Gebäudebrand oder Hochwasser, geht ein besonders hohes Risiko aus. Die besondere Bedrohungslage besteht darin, dass lokale, redundante Lösungen ebenfalls ausfallen oder verloren gehen können. Mehr Sicherheit versprechen redundante Systeme, die sich an verschiedenen Orten befinden.

Der Datenschutz bei Datensicherungskonzepten

Datensicherungen können Daten mit Personenbezug einschließen. In diesem Zusammenhang sind die Bestimmungen der DSGVO zu berücksichtigen. Ohne die Würdigung dieser Tatsache und entsprechenden Maßnahmen drohen Datenschutzverstöße, z.B. wenn die Datensicherung auf Servern oder Cloud-Infrastrukturen erfolgt, die sich in Drittstaaten befinden. Eine frühzeitige Berücksichtigung des Datenschutzes hilft, derartige Stolpersteine zu umgehen.

Bewertung von Datensicherungskonzepten

Bewertungen von Datensicherungskonzepten werden dann relevant, wenn Geschäftspartner Wert darauf legen und entsprechende Sicherheiten einfordern. Es gibt Auftraggeber, die Unternehmen nur dann als Geschäftspartner zulassen, wenn diese bestimmte (Mindest-)Anforderungen erfüllen. In solch einem Umfeld wird dann üblicherweise mit Zertifizierungen gearbeitet, weil diese die Erfüllung von genormten Vorgaben klar und standardisiert dokumentieren.

31.08.2022

Photo by Lars Kienle on Unsplash

Schlagwörter: ,