Datencrash & Datensicherung. Bereit für den Ernstfall?

Datensicherung und ihre Tücken

Schwere Datenpanne im Unternehmen. Keine Daten mehr verfügbar. Das Tagesgeschäft ist erst mal gelaufen.

Kann bei Ihnen nicht passieren? Das hat man in der Arztpraxis auch gedacht, wo täglich eine Bandsicherung erfolgte, um ein zuverlässiges Backup der Patientendaten zu haben – um nach einem Festplattencrash festzustellen, dass eines der zwei (!) verfügbaren Sicherungsbänder völlig unbrauchbar war. Das Band nämlich war so lange im Einsatz gewesen und hatte sich über die Zeit so abgenutzt, dass das neueste verwertbare Backup mehr als sechs Wochen alt war. Das hatte keiner bemerkt. Der geschätzte Schaden: 40.000 Euro wegen ausgefallener Honorare.

Wie wäre das bei Ihnen? Können Sie im Notfall alle benötigten Daten wiederherstellen, wirklich alle? In einem Zeitraum, der ein vernünftiges Weiterarbeiten ermöglicht? Kennen Sie den Zeitraum, wie lange welche Daten im Off sein dürften, bevor ein von Ihnen bestimmter finanzieller Schaden entstanden ist? Haben Sie überhaupt einen Überblick, welche Daten insgesamt zur Arbeit erforderlich sind, wo sie liegen, wie schnell sie wiederhergestellt werden könnten?

Wo ist das Risiko?

Kein Unternehmen kann heute ernsthaft ohne Informationstechnik arbeiten. Fällt diese aus, weil etwa die Daten nicht mehr verfügbar sind, kann in der Regel faktisch nicht mehr gearbeitet werden. Die Folgen kann sich jeder selbst ausrechnen. Das ist ja nicht nur so, dass sich die Bürokräfte langweilen und eben alle zu stricken anfangen. Die gesamte IT liegt lahm, es geht nichts mehr. Aufträge, die nicht mehr vertragsgemäß bearbeitet werden, können die Existenz des Unternehmens gefährden.

Wenn es so weit ist, ist es im Grunde egal, ob der Crash durch einen Angriff von außen oder innen verursacht wurde, durch einen Fehler oder ein Versehen passiert ist. Jetzt besteht das Risiko, den Betrieb wirtschaftlich komplett an die Wand zu fahren. Dazu kommen rechtliche Risiken. Für KRITIS-Unternehmen beispielsweise gilt die rechtliche Verpflichtung, Daten innerhalb einer bestimmten Zeit wieder verfügbar zu machen. Für alle gilt: Personenbezogene Daten, die verarbeitet werden dürfen, müssen auch verfügbar sein. So will es die Datenschutzgrundverordnung.

Was der Datenschutz sagt

Was verlangt der Datenschutz? Laut DSGVO sind technische und organisatorische Maßnahmen zu treffen, mit denen die Daten verfügbar sind und im Notfall schnell wiederhergestellt werden können. Rasche Datenverfügbarkeit ist in der Datenschutzgrundverordnung also eine klare Anforderung. Und die bezieht sich nicht etwa nur auf einen Teil der personenbezogenen Daten, sondern aller personenbezogener Daten.
Datenschutzbeauftragte und Informationssicherheitsbeauftragte müssen also gemeinsam sicherstellen, dass im Fall des Datenverlusts die zuvor vorhandenen und erlaubt verarbeiteten Daten rasch wiederhergestellt werden können. Ohne Wenn und Aber.

Tipps für erfolgreiches Datensichern und Wiedereinspielen von Backups

1. Erstellen Sie eine Übersicht, welche Daten wo gespeichert sind. Berücksichtigen Sie mindestens all diejenigen, die für die tägliche Arbeit nötig sind.
2. Priorisieren Sie erforderliche Daten je nach Risiko: Welche dürfen wie lange ausfallen, damit ein festgesetzter Schaden vermieden werden kann?
3. Tragen Sie die anfallenden Kosten zusammen, wenn bestimmte Systeme nicht innerhalb der ermittelten Zeit wiederhergestellt werden können. Damit erhalten Sie das in Ziffern gefasste Risiko.
4. Erstellen Sie eine Übersicht aller Datensicherungen und der dafür verwendeten Technik.
5. Prüfen und dokumentieren Sie, ob Rücksicherungen erfolgreich durchgeführt werden können.
6. Bestimmen Sie die erforderlichen Maßnahmen, falls es beim Wiedereinspielen von Backups Abweichungen vom Sollzustand gibt (und die gibt es nahezu immer).
7. Erstellen Sie eine Liste der wieder einzuspielenden Daten im Notfall in der entsprechenden Reihenfolge.
8. Wenn möglich, führen Sie einen Härtetest durch. Bedenken Sie, dass das nur an ausgewählten Tagen wie Wochenende oder Feiertag in Frage kommt - es ist aber äußerst sinnvoll und empfehlenswert!
   
   Das ist die Kernfrage: Kann Ihr Unternehmen Daten im Ernstfall so wiederherstellen, wie das Datenschutz und Informationssicherheit, die Compliance und vor allem das Risikomanagement fordern?