Einleitung
Erstellen von Backups (Datensicherungen) ist nicht nur ein absolut lebenswichtiger Bestandteile von digitaler Infrastruktur, sondern oft auch so komplex, dass dieses Thema liegen bleibt.
Obwohl der organisatorische und technische Aufwand recht groß ist, macht man diese Arbeit oft nur, damit man sie nicht braucht.
Wir versuchen hier einen Einblick über die Bausteine zu geben, die ein wirkliches Backup für Ihr Unternehmen sind.
Ausgangssituation
Wir gliedern hier grob in 3 Bestandteile für eine erfolgreiche Backup-Strategie für Ihr Unternehmen.
Organisatorische Maßnahmen
Rechtliche Aspekte
Neben Ihrem eigenen Interesse nach Erhalt Ihrer Betriebsfähigkeit, gibt es gesetzliche Vorschriften (auch innerhalb der DSGVO), die zum Erstellen von Sicherungen verpflichten.
In DSGVO Art.5 Abs.1 (f) wird wie folgt geregelt:
“Personenbezogene Daten müssen […] vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)” geschützt werden.
Die Aspekte „Integrität und Vertraulichkeit“ geben die technischen Maßnahmen vor, wie Sie Backups erstellen und speichern müssen. Nämlich so dass die Integrität nicht verletzt werden kann, also u.a. schreibgeschützt und verschlüsselt (Vertraulichkeit) übertragen und gespeichert werden.
In einigen Branchen oder Geschäftsbereichen sind Sie in bestimmten Fällen zu gesonderten Aufbewahrungspflichten verpflichtet, die z.B. die Speicherdauer beeinflussen.
Dokumentation
Im Fall eines Datenverlusts durch Cyberangriffe, Defekte oder Naturkatastrophen wie Brände oder Überschwemmung, oder einfache Rohrbrüche, ist es wichtig, dass Sie nachvollziehen können, welche Systeme Sie zu welchen Sicherungsständen wiederherstellen können. Oder einfach: Sie sollten in Ihren Dokumenten sehen können, wie groß der Schaden ist.
Gleichzeitig sind Sie in solchen Fällen dem Gesetzgeber Rechenschaft schuldig. DSGVO Art.5 Abs.1 (f) regelt wie folgt:
“Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können” Spoiler: Der Verantwortliche steht im Impressum Ihrer Webseite.
Nutzen Sie ein Asset Management, für die Dokumentation. Der erste Entwurf gibt schon viel Klarheit über Ihre Situation.
Asset Management: Risiko-Bewertung
Es gilt beim Thema Datensicherung einen Angemessenen Umfang zu bestimmen. Hier gibt es nun einen praktischen Tipp.
Im BSI Grundschutz ist im Kapitel “CON.3” im Baustein A1 erklärt, wie man die “Einflussfaktoren für Datensicherungen” erhebt. Nutzen Sie diese Tabelle dafür. (Erklärung in den Zeilen)
System | Art | Ort | Änderungs-volumen | Verfügbarkeits-Anforderung | Integritäts-Bedarf | rechtliche-Anforderung |
---|---|---|---|---|---|---|
Beschreibung des zu sichernden Systems “Win-0054” |
Art des Systems, z.B. NAS, Server, Tablet, Router, etc. Workstation |
Wo ist dieses Geräte, z.B. Hauptstandort, Rechenzentrum, Homeoffice | Dieser Wert hängt vom allgmeinen Sicherungsrythmus ab. Er beschreibt wie viel Datenmenge sich jeden Tag ändert | Beschreiben Sie wie viele Stunden, Tage oder Wochen Sie auf dieses System verzichten können | Entscheiden Sie ob die Daten auf diesem System unbedeutend, wichtig, geschäftskritisch sind. | Antworten Sie mit Ja oder nein, ob die Daten auf diesem System rechtlichen Anforderungen, wie Aufbewahrungsfristen unterliegen |
DB01 | Server | Cloud | 500MB pro Tag | 1h - sehr bedrohlich | geschäftskritisch | nein |
WINPK1220 | Workstation | Office | >1GB pro Monat | 24h - Austausch-Gerät vorhanden | wichtig (E-Mailkonten angebunden) | nein |
SHARE | NAS | Office | 2GB pro Monat | 2-3 Tage, keine operativ wichtigen Daten | geschäftskritisch | JA (Rechnungsarchiv) |
Befüllen Sie diese Tabelle mit Ihren Systemen. Damit erhalten Sie schnell einen Überblick, welche Systeme unbedingt gesichert werden müssen, welche nicht so wichtig sind und wie häufig Sie Sicherungen erstellen müssen.
Diese Tabelle ist natürlich keine perfekte Dokumentation, aber ein hilfreiches Instrument und ein guter Start.
Technische Bestandteile
Software
In den wenigstens Fällen macht es überhaupt Sinn Backups händisch zu erstellen. Dateien per Maus auf einen USB-Stick zu kopieren ist unter keinen Umständen ein legitimer Arbeitsprozess. Das sollte an dieser Stelle unbedingt klar gestellt sein.
Die Auswahl von Backup-Software ist ein schwieriges Unterfangen und kommt besonders auf den Anwendungsfall an. Wir unterscheiden der Einfachheit halber nach drei Sicherungsmodellen:
Datei-Sicherung
Hier sichern Sie Verzeichnisse und Dateien und erstellen Sicherungskopien, die Sie im Verlustfall wiederherstellen können.
Für NAS Systeme oder PCs mit vielen Dateien, z.B. der PC eines Grafikers oder der Buchhaltung wäre das ggf. eine geeignete Variante.Applikationssicherung
Ein praxisorientiertes Beispiel hierfür, ist die Sicherung eines Datenbankservers, z.B. Microsoft SQL Server. Dabei wird theoretisch “nur” die Datenbankdatei gesichert, aber praktisch hängt ein wenig mehr daran. Bei vielen Datenbankservern muss tatsächlich nur die Datenbank selbst gesichert werden, weil (im besten Fall) keine anderen Dateien oder Anwendungen auf dem System gespeichert sind.Systemabbild
Dafür gibt es noch weitere Namen “Image-Backup” oder “Bare Metal Restore”. Hierbei wird so gesichert, dass Sie das komplette System an einer anderen Stelle wiederherstellen können. Für Systeme, die besonders verfügbar sein müssen, ist das eine gute Lösung.
Hinweis zur Güte: Die Sicherungsmodelle sind nur grob zusammengefasst, damit Sie eine grundsätzliche Idee davon bekommen.
Jetzt kann es sein, dass Sie mehrere Programme brauchen, weil Sie verschiedene Systeme unterschiedlich sichern möchten.
Worauf muss ich achten? [Software]
Software
Ist mein Betriebssystem bzw. meine Anwendung (bei Applikationssicherung) kompatibel?
Können Backups verschlüsselt werden?
Können Backups auf entfernte Speicher verschlüsselt übertragen werden?
Kann ich einen automatischen Rhythmus/Zyklus einstellen?
Kann ich mich informieren lassen, wenn eine Sicherung nicht erstellt wird?
Bin ich in der Lage das Programm zu bedienen und korrekt einzustellen?
Speicher
Beim Speichern von Sicherungen halten Sie sich an die allgemein anerkannte “3-2-1 Regel”. Die besagt folgendes:
Haben Sie 3 Kopien in 2 Speicherorten, von denen 1 außerhalb des Netzwerks ist.
Praxis:
Erstellen Sie ein Backup Ihrer Datenbank. Ein Backup liegt auf dem Datenbank-Server, eins liegt auf Ihrem NAS und eins liegt in der Cloud.
Damit haben Sie grundsätzlichste Sicherheit erreicht.
Bei der Auswahl von Cloudspeicher achten Sie darauf:
Genug Speicherplatz für den Zyklus
Speicher ist verschlüsselt
Speicher ist verschlüsselt erreichbar (Hinweis ftp:// ist nicht verschlüsselt)
Sicherungen sind nicht von fremden erreichbar
Ihre Backups sollten unter keinem Umstand der Welt unter www.example.com/Mein-Datenbank-Backup-2022.bak erreichbar sein.
Um Speicherplatz zu sparen, können Sie auf Software oder Speicherplatz setzen, der de-dupliziert. Sie sollten aber nicht an der Anzahl Backups sparen.
Betrieb/Wartung/Aufrechterhaltung
Überwachung
Etwas Klischeehaft: Kontrolle ist gut, Vertrauen ist besser…
Aber bei der Sicherung Ihrer Daten ist das entscheidend. Die Softwarelösung sollte durch Sie überwacht werden können. Schlägt ein Backup fehl, sollte es einen Alarm geben. Läuft Ihr Speicherplatz voll, sollten Sie das wissen. Wenn Sie in einem Bericht sehen, dass die erwartete Menge, deutlich kleiner ist, sollten Sie die Möglichkeit haben, das zu überprüfen.
Das Stichwort ist Monitoring. Im Zweifel ist es sinnvoll sich für ein Managed Backup zu entscheiden, also eine Lösung, die durch den Anbieter überwacht wird.
Rücksicherungstest
Das Erstellen und richtige Speichern von Backups ist das eine. Es gehört aber zu einer richtigen Strategie, dass Sie Backups regelmäßig in ein Testsystem einspielen, um zu überprüfen, ob es funktioniert.
Weiter oben haben wir von Integrität gehört - und dass man verpflichtet ist, dafür zu sorgen.
Aller spätestens nach 6 Monaten sollte ein Rücksicherungstest durchgeführt werden.
Überblick
Datensicherung ist ein elementarer Bestandteil moderner digitaler Infrastruktur. Für rechtliche Anforderungen u.a. der DSGVO und als Versicherung für einen Datenverlust sind Backups entscheidende Faktoren, die im Zweifel für das Fortbestehen eines Unternehmens entscheiden.
Vergangene Vorfälle wie der Brand im Straßburger Rechenzentrum von OVH, bei dem viele Firmen Daten unrettbar verloren haben, zeigen die Relevanz von Sicherungen. Unter den betroffenen sind große Firmen wie Facepunch (ein Spieleentwickler mit über 38 Mio. verkauften Spielen) oder die internationale Anwaltskanzlei Leroi&Associés.
Eine richtige Sicherungs-Strategie ist eine Versicherung und ein Garant für ruhigen Schlaf.
Chancen / Vorteile
Wiederherstellung
Ob verlorene Daten durch defekt oder zerstörte Daten durch Hackerangriffe und Malware - Wenn Sie im Schadenfall auf Sicherungen zurückgreifen können, stellen Sie Ihre Betriebsfähigkeit im Handumdrehen wieder her.
Migration
Mit einer Datensicherung stellen Sie nicht nur Daten wieder her, sondern können auch schneller in andere Systeme umziehen. Das macht einen Server-Wechsel in einigen Fällen zum Kinderspiel.
Cyber Sicherheit
Wir wünschen niemanden, Bitcoins an Erpresser zu zahlen, um Systeme wieder zu entschlüsseln. Laut einer Studie wird der Gesamtumsatz von Cyber-Kriminalität auf ca. 600 Mrd. Euro geschätzt.
Eine Backup-Strategie ist ein wichtiger Baustein, um Ihr Unternehmer von Angriffen zu schützen.
Versicherung
Viele Unternehmen versichern sich gegen die Schäden, die durch “Cyber-Crime” verursacht werden. Die meisten Versicherungen stellen hohe Bedingungen an Ihre IT Infrastruktur, um Sie überhaupt zu versichern. Eine Backup-Strategie ist in der Regel immer Bestandteil dieser Bedingungen.
Risiken / Nachteile
Fehlende Datensicherungen haben bei Verlusten verheerende Auswirkungen. Daher sind Backups unverzichtbare Basics für IT Systeme.
Erst im Jahr 2022 musste der Küchenhersteller “Rational” aus Melle Insolvenz anmelden, weil ein Stromausfall zu irreparablen Datenverlust geführt habe.
Ziele
Schutz vor Daten-Verlust
Mit einer ausgefeilten Backup-Strategie schützen Sie Ihr Unternehmen davor, wichtige Daten dauerhaft zu verlieren. Bei Defekten und Ausfällen können Sie Ihren Betrieb schnell wieder herstellen.
Erlangen von Versicherungs-Schutz
Angriffe aus dem Internet werden immer häufiger und immer raffinierter. Viele Unternehmen versichern sich gegen den finanziellen Schaden. Versicherer setzen oft ein gewissen Standard in der IT-Sicherheit voraus. Mit einem Backup machen Sie einen Schritt zur sicheren IT.
Einhaltung von Datenschutzrecht
Die Datenschutzgrundverordnung verpflichtet Sie personenbezogene Daten verschlüsselt und vertraulich zu sichern.
Sicherstellen des Geschäftsbetriebs
Schlussendlich geht es bei der Sicherung von Daten darum, dass Sie Ihr Unternehmen für die Zukunft sichern. Wie weit kämen Sie, wenn Sie morgen alle Daten verloren hätten? Wie gut würden Sie schlafen, wenn Sie wüssten, dass Sie richtig professionelles Datensicherungs-Konzept haben, auf das Sie sich im Notfall verlassen könnten?