Datenverlusten vorbeugen

Backup braucht eine Strategie

Für viele Mittelständler zählen die eigenen Datenbestände zu den zentralen Produktionsfaktoren. Vor diesem Hintergrund können Datenverluste im Zuge von (Natur-)Katastrophen oder Cyberangriffen hohe wirtschaftliche Schäden mit sich bringen und gar existenzbedrohend sein. Eine umfassende Backup-Strategie ist daher unerlässlich.

  • Datentresor

    Im besten Fall sollte das Sicherungsverfahren automatisiert laufen und mit möglichst wenigen Sicherungswerkzeugen erfolgen, um den Aufwand für die IT zu reduzieren

  • Uwe Jockel, Netapp

    „Ein Cloud-Backup birgt für Unternehmen viele Vorteile: Dazu zählen u.a. kürzere Recovery-Zeiten sowie ein innovativer Cloud-Speicher und ein geringerer Speicher-platzbedarf vor Ort.“ (Uwe Jockel, Netapp)

  • Daniel Model, Acronis

    „Datensicherungslösungen haben nahezu alle Unternehmenskunden im Einsatz, was sicher auch mit der neuen DSGVO sowie einer verpflichtenden Vorgabe aus recht-licher Sicht zusammenhängt.“ (Daniel Model, Acronis)

  • Christoph Storzum, Dell EMC

    „Bei der Datensicherung geht es im Einzel-fall immer um den ‚Level of Paranoia‘ – sprich gegen welche Unglücksfälle sich ein Unternehmen absichern möchte. Das ist keine IT-Entscheidung, sondern muss in der Geschäftsführung diskutiert und beschlossen werden.“ (Christoph Storzum, Dell EMC)

  • Benjamin Bayer, Thomas-Krenn

    „Das Backup muss als letzte Verteidigungslinie, übrigens auch gegen Cyberangriffe, mitbedacht werden. Nur beschäftigt sich wohl niemand gern mit existenzbedrohenden Risiken.“ (Benjamin Bayer, Thomas-Krenn)

Glücklicherweise sind Naturkatastrophen wie Erdbeben oder große Überschwemmungen hierzulande relativ selten, aber „dank“ Flächenversiegelung und Klimawandel nicht ausgeschlossen. Man erinnere sich beispielsweise an das Hochwasser in Mitteleuropa Ende Mai/Anfang Juni 2013 oder das Schwarmbeben in der Vogtlandregion vor erst wenigen Wochen. Eine größere Gefahr für viele Unternehmen sieht Stefan Roth, Head of Storage Central Europe bei Fujitsu, allerdings in eher „unspektakulären Ereignissen“ wie lokalen Überspannungen im Stromnetz – etwa durch Blitzeinschlag – oder ganz banalen Wasserschäden im Gebäude. Nicht zu vernachlässigen sind aber auch Feuerschäden: So brannte z.B. erst vor wenigen Tagen ein Rewe-Supermarkt in Köln-Frechen komplett nieder. Der Schaden wird auf 1,5 Millionen Euro geschätzt. In Lünen ging ein offenes Lager der Elektro- und Verbundstoff-Recyclingwerke in Flammen auf. In Ibbenbüren im Kreis Steinfurt traf es kürzlich eine Autowerkstatt und in Meckenheim bei Bonn löste der Brand in einer Lagerhalle für Harze und Lacke einen Großeinsatz aus.

Von solchen Bränden (und anderen Katastrophen) könnten theoretisch auch wichtige IT-Systeme und damit auch die Datenbestände eines Unternehmens betroffen sein. „Gerade im Mittelstand gibt es häufig Budgetrestriktionen, die es nicht erlauben, ein zweites Rechenzentrum (RZ) oder einen Server-Raum aufzubauen und in einem entfernten Gebäude oder an einem zweiten Standort zu betreiben, inklusive der entsprechenden Kosten für Konnektivität und Spiegelung“, meint Christoph Storzum, Director Commercial Sales Germany Data Protection Solutions bei Dell EMC. Die Folge: Die wichtigsten Daten werden in einem zweiten Brandabschnitt im gleichen Gebäude vorgehalten oder die Backups mit viel Aufwand auf Tape geschrieben und manuell ausgelagert. Sehr häufig wird aber nicht einmal dieser Sicherheitsschritt vollzogen. „Würde nun das Firmengebäude samt Rechenzentrum durch eine Naturkatastrophe zerstört, wären sämtliche Daten verloren“, warnt Storzum.

DSGVO übt Druck aus

Die wenigsten Geschäftsführer beschäftigen sich gerne mit dem Thema „Backup“ – selbst in IT-Abteilungen werden häufig die Augen vor dem vermeintlich unwahrscheinlichen Fall eines Ausfalls oder Angriffs verschlossen. Regelmäßige Datensicherungen sind zwar eine Standardmaßnahme, „aber die wenigsten testen auch wirklich einen Wiederherstellungsfall“, kritisiert Storzum. Auch Benjamin Bayer, im Produktmanagement von Thomas-Krenn Spezialist für Virtualisierung und Storage, ist der Ansicht, dass der deutsche Mittelstand die Sicherung seiner Unternehmensdaten „immer noch nicht ernst genug“ nimmt. Bei der Anschaffung neuer Server- und Storage-Hardware stehe die zugehörige Backup-Hardware und -Software oft genug nicht auf der Einkaufsliste. „In der Regel ist dies auf das fehlende Bewusstsein der Verantwortlichen für die Tragweite von Datenverlusten insbesondere in Kleinunternehmen zurückzuführen“, erklärt Stefan Roth. Auch werde der Nutzen – gemessen an den Investitionen – oft nicht gesehen, weshalb dann auch keine Budgets für Backup-Lösungen bereitgestellt werden.

Zwei weitere Faktoren, warum das eine oder andere Unternehmen zu sorglos mit dem Thema „Datensicherheit“ umgeht, sind die Zeit und fehlende personelle Ressourcen. „IT-Administratoren sind nicht spezialisiert auf Themen wie ‚Datensicherung’, sondern müssen möglichst alle Technologien auch vom Know-how her abdecken“, so Daniel Model, Senior Manager Sales Engineering EMEA bei Acronis. „Oft erleben wir, dass über Backup erst dann wieder ernsthaft nachgedacht wird, wenn es einen Disaster-Recovery-Fall gab und Ausfälle zu beklagen sind.“

Mit Sicherheit haben auch die Diskussionen um die neuen Regelungen der europäischen Datenschutz-Grundverordnung (EU-DSGVO), die seit dem 25. Mai 2018 gelten, den Unternehmen einen Schups gegeben, fortan etwas gründlicher über ihre Datensicherung nachzudenken. Denn „die Datenschutz-Grundverordnung gilt natürlich auch für Daten im Backup“, betont Christoph Storzum. So müsse etwa geregelt sein, wie sich in Bandsicherungen einzelne Kunden- oder Mitarbeiterdaten löschen lassen. Außerdem sei festzulegen, welche Daten gesichert werden und für welchen Zeitraum. Eine Backup-Strategie sollte festlegen, wie sich sowohl die Sicherung als auch das Löschen der Daten automatisieren und nachweislich behandeln lassen, um mit den Regeln der DSGVO konform zu sein. „Wenn ein Unternehmen hierbei unsauber arbeitet, drohen im Schadensfall nicht nur Ausfälle, sondern zusätzlich auch Bußgeldzahlungen und die persönliche Haftung der Verantwortlichen“, warnt Stefan Roth. Seiner Ansicht nach erhöhe die DSGVO den Druck auf sie, sich mit dem Thema intensiv zu befassen und geeignete Konzepte zu entwickeln und umzusetzen.

3-2-1-Regel der Datensicherung

Doch wie sollte eine vernünftige Backup-Strategie im Mittelstand grundsätzlich aussehen? Uwe Jockel, Business Development EMEA, Emerging Solutions and Innovation Group bei Netapp, empfiehlt die „3-2-1-Regel der Datensicherung“: „Um der Gefahr eines Datenverlustes erfolgreich vorbeugen zu können, sollten Unternehmen mindestens drei Kopien ihrer Daten anfertigen, diese auf zwei unterschiedlichen Medien speichern und eine Backup-Kopie an einem externen Speicherort aufbewahren.“

Laut Daniel Model sollten grundsätzlich alle internen und auch externen Systeme Bestandteil dieses Datensicherungskonzeptes sein. Intern bedeutet aus seiner Sicht: Server sowie Clients, sowohl physische als auch virtuelle Systeme. Die Sicherungsstrategie sollte dabei auf image-basierten und hardware-unabhängigen Technologien basieren, so dass im Notfall komplette Systeme, einzelne Dateien bzw. Verzeichnisse oder auch granulare Elemente von Applikationen wiederhergestellt werden können. „Externe Systeme sind z.B. mobile Endgeräte sowie die Daten auf diesen oder auch VMs, welche in Cloud-Infrastrukturen betrieben werden“, erklärt Model. Hinzu komme auch gerade beim Einsatz mobiler Endgeräte der sichere Zugriff auf die Firmendaten. Und auch er betont, dass es sehr wichtig sei, die Datensicherungen auf mehreren Systemen innerhalb und außerhalb des Unternehmens bzw. eines Brandabschnittes abzulegen: „Optimal kann eine Sicherung für schnellstmögliche Wiederherstellung z.B. auf einem NAS/SAN-Device im Netzwerk abgelegt sein, ein Replikat davon auf einem Storage in einer anderen Niederlassung bzw. einem anderen Brandabschnitt sowie auf einem dritten Medium, was sich komplett außerhalb des Unternehmens befindet.“

Im besten Fall sollte das Sicherungsverfahren automatisiert laufen und mit möglichst wenigen Sicherungswerkzeugen erfolgen, um den Aufwand für die IT zu reduzieren. „Wir haben in Umfragen ermittelt, dass die Wahrscheinlichkeit eines Ausfalls und die Wahrscheinlichkeit von Datenverlust bei Ausfällen mit der Anzahl der eingesetzten Hersteller und Tools in einer Umgebung signifikant steigen“, berichtet Christoph Storzum. Deshalb sei es empfehlenswert, Systeme und Werkzeuge zu nutzen, die alle Sicherungsaufgaben vereinen und die auch in Cloud-Infrastrukturen und Software-as-a-Service-Umgebungen (SaaS) verfügbar sind.

Cloud-Backup vs. physisches Backup

Apropos „Cloud“: Ein Backup in der Wolke ist laut Uwe Jockel eine sinnvolle Alternative zum physischen Backup, „da deutsche Service-Provider alle nationalen Datenbestimmungen erfüllen“. Anders als beim physischen Backup werde hier nach Volumen gezahlt und die Aufgaben seien komplett übergeben. Den Kostenfaktor rückt auch Daniel Model in den Vordergrund: Speichermedien im Cloud-Umfeld seien in der Regel kosteneffizienter – „mit einer jedoch wesentlich höheren Verfügbarkeit der Daten“. In Verbindung mit entsprechenden Aufbewahrungsregeln könne man unter Verwendung neuer Subscription-Modelle lizenztechnisch auch nach Verbrauch abrechnen und nur das „zahlen“, was man nutzt. Außerdem erfordern Cloud-Backups keine lokalen Infrastrukturen und somit auch keine zusätzlichen Maßnahmen zur Absicherung dieser Infrastrukturen.

Aus Sicht von Benjamin Bayer kann ein Cloud-Backup das physische Backup allenfalls ergänzen, aber niemals ersetzen. „Im Katastrophenfall ist ja oft auch die Netzwerkverbindung betroffen“, bemerkt der Storage-Spezialist. „Und selbst wenn nicht, kann eine komplette Wiederherstellung einiger Terabytes lange Zeit in Anspruch nehmen.“ Auch Daniel Model empfiehlt, Daten nicht ausschließlich extern – z.B. in einem Cloud-Rechenzentrum – abzulegen. „Dies sollte strategisch eine Mischung aus interner Datenvorhaltung für schnellstmögliche Sicherung- und Wiederherstellungszeiten sowie der externen Auslagerung sein, um für größere Disaster-Recovery-Szenarien vorbereitet zu sein.“

In Deutschland gibt es ohnehin oftmals noch starke Vorbehalte, die Kerndaten eines Unternehmens in fremde Hände zu legen. Im Grunde sei dies aber nur eine Frage der Geschäftsbeziehungen, Zugriffsregelungen, Kosten und Kompetenzen, meint Storzum.


Abhängig von der Größe eines Unternehmens sind für die Gesamtplanung und Umsetzung der Backup-Strategie einige Personentage nötig. „Angefangen bei einer ausführlichen Planung, den Investments bis hin zur Umsetzung ist mit einer Dauer ab vier bis acht Wochen zu rechnen“, konkretisiert Stefan Roth. Nach oben gäbe es zeitlich keine Grenzen. Allerdings sei der Aufwand bei einer integrierten und sauber geplanten Lösung absolut überschaubar. „Einmal richtig aufgesetzt, liegt der personelle Aufwand im laufenden Betrieb nahe Null“, ergänzt Benjamin Bayer. Auf jeden Fall sollten aber mehrere Mitarbeiter des Unternehmens oder Dienstleisters die Wiederherstellung unter wirklichkeitsnahen Bedingungen trainieren und bei der Hardware auf Skalierbarkeit achten.

Die Routinen fehlen

Da allerdings die wenigsten Unternehmen ihre Recovery-Abläufe zuvor testen, treten häufig Probleme bei der Datenwiederherstellung auf. Es fehlen die Routinen und ein möglicher Ernstfall setzt somit alle Beteiligten erheblich unter Druck. Der Faktor „Zeit“ ist hierbei entscheidend, um den Geschäftsbetrieb schnellstmöglich wiederherzustellen. „Ein Backup ist wie eine Versicherung“, kommentiert Uwe Jockel, „die Bedeutung wird erst im Versicherungsfall klar.“ Davor würden Unternehmen dazu tendieren, Herausforderungen kleinzureden und die Maßnahmen minimal zu halten.

Um der steigenden Datenflut Herr zu werden und für den Katastrophenfall gewappnet zu sein, benötigen Mittelständler letztlich eine langfristig funktionierende Backup-Strategie. Die verwendeten Datensicherungslösungen sollten zentral verwaltbar sein sowie die rechtlichen Anforderungen bezüglich Datenhaltung und -schutz erfüllen. Wichtig sind zudem klare Verträge mit fairen Lizenzierungs- und Abrechnungsmodellen sowie eine Evaluierung der zur Verfügung stehenden Bandbreiten. Schließlich sollte die Anbindung an Cloud-Services „einfach zu gestalten und umsetzbar sein“, betont Daniel Model. Am Ende seien viele Automatismen innerhalb der Lösung sowie eine flexible Anwendung dieser wesentlicher Faktor, um bei einer ROI-Kalkulation das richtige Produkt zu wählen, auf das man sich in jedem Falle eines möglichen Datenverlustes verlassen kann – mit minimal möglicher Ausfallzeit.

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok