14 Tipps für ein erfolgreiches Datensicherungskonzept

Was tun, wenn Daten weg sind?

Kennen Sie das? Sie brauchen nur mal schnell eine Datei. Damit wollen Sie ein Dokument erstellen, das heute noch raus muss. Davon hängt viel ab. Also schalten Sie Ihren Rechner an. Allerdings dauert das heute deutlich länger als sonst. Und länger als sonst. Und länger. Sie starten den Rechner neu. Und wieder beginnt er nicht zu laufen. Irgendwas stimmt da nicht.

Was, wenn jetzt der Rechner kaputt ist? Sich auch nicht mehr zur Zusammenarbeit überreden lässt? Na, dann wird er eben neu aufgesetzt. Oder ein neuer wird beschafft. Dann werden die Daten wieder eingespielt. In einem Unternehmen oder einer Institution wird die IT verständigt. Im Homeoffice haben Sie hoffentlich die Kontaktdaten, aber die lassen sich im Zweifel ermitteln. Und dann müssen Sie eben ein paar Stunden überbrücken.

Wenn Sie aber selbst für Ihre Daten verantwortlich sind oder wenn aus anderen Gründen die Datensicherung nicht richtig funktioniert hat oder bestimmte Daten möglicherweise gar nicht gesichert wurden, weil Sie im Homeoffice keine Sicherung durchgeführt haben oder wenn … Klar ist: In einem solchen Fall hängt sehr viel davon ab, ob die Datensicherung richtig strukturiert ist und auch die Rücksicherung funktioniert.

Und dafür gibt es hoffentlich ein professionelles Datensicherungskonzept (das hoffentlich auch richtig umgesetzt wurde), damit jetzt die erforderliche Rücksicherung zur Verfügung steht.

Daten sichern mit erfolgreichen Back-ups

Moderne IT-Systeme speichern eine Vielzahl von Daten. Unternehmen sind stärker denn je darauf angewiesen, dass keine Daten verloren gehen – oder zumindest zeitnah rückgesichert werden können. Dazu können Daten mit unterschiedlichen Lösungen abgespeichert werden, beispielsweise auf speziellen Storage-Systemen, auf Bandlaufwerken, auf mobilen Datenträgern wie mobilen Festplatten oder USB-Sticks, auf optischen Datenträgern wie CD, DVD, Blu-Ray usw. In Frage kommen auch Online- und Cloud-Lösungen wie einer internen Cloud oder einer bei einem externen Dienstleister.

Mancher verwendet auch Datenspiegelungen wie beispielsweise RAID-Systeme. Die werden jedoch nicht als Datensicherung verstanden, da die gespiegelten Daten simultan verändert werden und die Spiegelung daher nicht vor unbeabsichtigtem Überschreiben oder einer Infektion mit Schadsoftware schützen kann. Das kann einem Hardwaredefekt einzelner Datenträger vorbeugen, ist aber nicht für die langfristige Datensicherung vorgesehen.

Back-ups sicher erstellen und aufbewahren

Daneben ist noch wichtig, wer die Datensicherung vornimmt und wo die Datenträger möglichst sicher gelagert werden. Denn im Falle der erforderlichen Rücksicherung (Restore) ist eine schnelle Reaktion bares Geld wert. Dazu muss zumindest hin und wieder geprüft werden, ob die Datensicherungen auch wirklich durchgeführt wurden und ob die Datenträger funktionieren und für einen erforderlichen Restore zur Verfügung stehen.

Damit das klappt, braucht es auf jeden Fall eines: eine Übersicht aller Daten, die in die regelmäßige Datensicherung einzubinden sind. Alle müssen wissen, wer im Zweifelsfall was in welcher Reihenfolge zu tun hat.

Klar ist: Die mötigen Tätigkeiten müssen umfangreich und strukturiert erfolgen. Es stimmt also: Ein Datensicherungskonzept muss sein. Und zwar so, dass es zuverlässig umgesetzt wird und aktuell und vollständig ist.

Die wichtigsten Risiken mangelhafter Back-ups

Die Risiken eines fehlenden Datensicherungskonzepts sind, da hilft kein Schönreden, existenzbedrohend. Wenn Daten nicht zur Verfügung stehen, können die für den Geschäftsbetrieb erforderlichen Tätigkeiten nicht ausgeführt werden. Sprich: Arbeit bleibt liegen. Das Unternehmen oder die Institution ist nicht oder kaum mehr handlungsfähig.

Risiko Nr. 1: fehlende Datensicherung

Gibt es keine Backups, kann es zum Datenverlust und zur Handlungsunfähigkeit kommen.

Risiko Nr. 2: fehlende Prüfungen

Immer wieder werden Daten nicht gesichert, weil beim Back-up ein Fehler vorliegt. Wer nicht prüft, ob die Wiederherstellung funktioniert, verhindert das Entdecken etwaiger Fehler, solange man sie leicht beheben könnte.

Risiko Nr. 3: Aufbewahrung

Werden Datensicherungsmedien falsch aufbewahrt, könnten Datenträger ausfallen, gestohlen werden oder nur teilweise funktionieren. Insbesondere bei technischen Neuerungen wie neuen Systemen oder neuer Systemsoftware können Sie dann nicht mehr auf Daten zugreifen.

Risiko Nr. 4: fehlende Dokumentation

Ist die Dokumentation der Datensicherung und der Datensicherungsmedien nicht vorhanden oder fehlerhaft, kann das im Wiederherstellungsfall zu Datenverlust führen.

Risiko Nr. 5: Rechtsverstoß

Werden gesetzliche Vorgaben wie Datenschutzvorschriften verletzt, kann dies zu Geldbußen oder Schadenersatzforderungen führen.

Risiko Nr. 6: unübersichtliche Aufbewahrung

Wer gesicherte Daten chaotisch aufbewahrt, riskiert, dass einzelne Datenträger nicht gefunden und auch nicht eingespielt werden können. Damit betraute Verantwortliche oder Dienstleister können dann womöglich nicht Hand in Hand mit der IT arbeiten, weil sich erforderliche Abläufe nicht einhalten lassen.

Risiko Nr. 7: Abweichung von der Herstellerempfehlung

Hersteller geben Empfehlungen, wann Datensicherungsmedien erneuert werden sollten, um Datenverlust zu vermeiden. Werden diese Empfehlungen ignoriert, kann es bei abgenutzten Datenträgern zu Datenverlust kommen.

Risiko Nr. 8: zu wenig Speicherplatz

Falls die Speicherkapazitäten nicht ausreichen, treffen Sicherungssysteme womöglich eigene Entscheidungen. Die Datensicherung kann nicht abgeschlossen werden, ein Teil der Daten bleibt ungesichert.

Risiko Nr. 9: Missachtung spezieller Vorgaben

Werden Anforderungen des Fachbereichs zur Erfüllung zwingender Vorgaben nicht beachtet, werden womöglich falsche Intervalle oder Termine für die Datensicherung gewählt. Die Sicherung ist dann nur teilweise oder gar nicht verwertbar oder Daten müssen aufwendig nachbearbeitet werden.

Risiko Nr. 10: mangelnde Organisation

Organisatorische Mängel können eine Wiederherstellung gesicherter Daten unmöglich machen. Dies kann beispielsweise der Fall sein, wenn Back-ups verschlüsselt sind und der Schlüssel auf dem System gespeichert wurde, das vom Datenverlust betroffen ist. In diesem Fall kann die Datensicherung nicht verwendet werden.

Risiko Nr. 11: Sicherungszyklus

Wenn die Datensicherung länger dauert als der Rhythmus der regelmäßigen Sicherung, können Daten verloren gehen. Soll das System beispielsweise täglich sichern, die Sicherung dauert jedoch länger als 24 Stunden, werden Datensicherungen entweder unvollständig oder das System führt eine neue Sicherung durch, bevor die alte abgeschlossen ist. Das kann zu Überlastung oder zu fehlender Datenkonsistenz führen.

Risiko Nr. 12: ungeschützte Back-ups

Wird das Unternehmen von einem Kryptotrojaner angegriffen, darf die Ransomware keine Möglichkeit haben, das Back-up zu verändern. Kann sie das, wird eine Wiederherstellung der Daten unmöglich. Daher: Schützen Sie Datenträger hinreichend vor nachträglicher Änderung.
 

Risiko Nr. 13: Missachtung von Datenschutzvorgaben der DSGVO

Mit jeder Datensicherung werden immer auch personenbezogene oder auf Personen beziehbare Daten verarbeitet. Für deren Verarbeitung gelten die Grundsätze sowie die Rechtmäßigkeit der Datenverarbeitung, zu ergreifende Schutzmaßnahmen sowie umfangreiche technische und organisatorische Maßnahmen. Sind Datensicherungen nicht oder nur unzureichend mit dem Datenschutzmanagement abgestimmt, kann es zu Datenschutzverletzungen kommen, die möglicherweise meldepflichtig sind.

Risiko Nr. 14: mangelnde Abstimmung

Rechteverletzungen wegen unzureichender Zusammenarbeit von IT und Fachbereich sind dann möglich, wenn Fachbereiche über die hier genannten informationstechnischen und datenschutztechnischen Gefährdungen nicht ebenso informiert sind wie die IT über die fachlichen Anforderungen. Fehlende Abstimmung ist häufig die entscheidende Ursache für Datenschutzverletzungen.

Back-ups und Datenschutzrecht

Die Übersicht der Risiken erhebt keinen Anspruch auf Vollständigkeit. Sie zeigt jedoch: Fast immer sind in der Folge Datenschutzverletzungen zu befürchten. Davon abgesehen gilt im Datenschutz: Daten müssen in der Zeit, da sie verarbeitet werden, verfügbar sein. Weiterhin müssen Sie Daten, die nicht mehr erforderlich sind, löschen. Das ist dann der Fall, wenn sie für die Geschäftsprozesse nicht mehr gebraucht werden und keine gesetzlichen Bestimmungen mehr zu einer längeren Aufbewahrung verpflichten.

Beachten Sie also, dass nicht nur Datenschutz zur Aufbewahrung von Personendaten verpflichtet. Auch Vorgaben aus dem Steuerrecht sind strikt zu beachten. Unternehmensverantwortliche müssen sich darüber im Klaren sein, dass eine nicht funktionierende Datensicherung Geldbußen oder Schadenersatzforderungen nach sich ziehen kann.

14 Tipps für Ihr Datensicherungs­konzept

Stellen Sie sicher, dass ...

1. ein aktuelles und vollständiges Datensicherungskonzept vorhanden ist und erfolgreich angewendet wird.
   
   
2. im Datensicherungskonzept alle erkannten Risiken bei der Datensicherung festgehalten und mit den Methoden des Risikomanagements bewertet sind und entsprechende Maßnahmen vorgesehen sind.
   
   
3. im Konzept alle Anwendungen in einer Übersicht wie einem Softwareinventar erfasst sind und dass diese Übersicht aktuell gehalten wird.
   
   
4. in jedem Einzelfall bekannt ist, ob und wie lange die Daten gesichert werden müssen.
   
   
5. das Datensicherungskonzept eine Übersicht aller Datenträger enthält, auf denen Daten gespeichert werden.
   
   
6. Datensicherungen gemäß dem Datensicherungskonzept definiert sind.
   
   
7. Datensicherungen gemäß dem Datensicherungskonzept vorgenommen werden.
   
   
8. geprüft wird, ob vorgesehene Sicherungen auch wirklich vorgenommen wurden.
   
   
9. die Datensicherungsmedien wie vorgesehen gelagert werden.
   
   
10. eine erforderliche Datenrücksicherung, also die Wiederherstellung verlorener Daten, strukturiert ausgeführt wird.
    
    
11. Datenschutzbeauftragte in alle Maßnahmen zur Datensicherung eingebunden sind.
    
    
12. Datenschutzbeauftragte im Rahmen ihrer Überwachungsaufgabe alle konzeptionellen, strategischen und operativen Schritte der Datensicherung und möglicher Rücksicherungen prüfen und bewerten.
    
    
13. die Datensicherung im Datenschutz-Jahresbericht angemessen berücksichtigt wird.
    
    
14. das Datensicherungskonzept keine Angriffsfläche bietet für mögliche Schadenersatzforderungen von betroffenen Personen.

Und die Kernfrage: Kann gewährleistet werden, dass ein aktuelles und vollständiges Datensicherungskonzept vorhanden ist, das erfolgreich angewendet wird?