Backup-Strategien

Die tragenden Säulen der IT-Sicherheit

Wie der Mittelstand für die Datensicherung die richtigen Weichen stellt und worauf im Hinblick auf das Thema Compliance geachtet werden muss

Säulen

Backup und Disaster-Recovery-Lösungen gehören zu den tragenden Säulen der IT-Sicherheit in Unternehmen.

Im Zeitalter von Industrie 4.0, Internet der Dinge (IoT) und einer generell auf Digitalisierung ausgerichteten Wirtschaft explodieren die Datenmengen von Jahr zu Jahr. Die Marktforscher von IDC prognostizieren in den kommenden fünf Jahren eine Verfünffachung der jährlich generierten Datenmenge. Doch neben den Herausforderungen, denen sich der Mittelstand durch diese Entwicklung stellen muss, sind auch rechtliche Aspekte zu beachten, die schon heute für den Geschäftsbetrieb relevant sind.

Der Gesetzgeber verlangt zur Wahrung der allgemeinen Schutz- und Sorgfaltspflicht, dass regelmäßig und zuverlässig geeignete, lückenlose Datensicherungsroutinen eingesetzt werden. Aber was bedeutet das für das Management? Um rechtskonform zu handeln, ist eine wöchentliche Vollsicherung und die tägliche Sicherung der neu hinzugekommenen Daten notwendig. Aber aus Compliance-Sicht muss das noch lange nicht genügen. Da Compliance-Richtlinien restriktiver als die gesetzlichen Vorgaben sind, müssen auch unternehmensinterne Bestimmungen eingehalten werden. Dazu können beispielsweise längere Aufbewahrungsfristen zählen, die über die gesetzlichen Zeiträume hinausgehen und zur Beweissicherung von Geschäftsabläufen dienen.

Jedes Unternehmen sollte zudem ein funktionierendes IT-Risikomanagement etabliert haben. Zu diesem gehört eine festgelegte Strategie für Backup und Disaster Recovery. Diese muss eine jederzeitige und zeitnahe Wiederherstellung der Systeme und Daten gewährleisten. Das bedeutet das schnelle Wiederanlaufen von Systemen nach einem Ausfall und die zügige und konsistente Wiederherstellung von Daten, die vorher zeitnah gesichert wurden. Schlüsselsysteme wie beispielsweise das Enterprise-Ressource-Planning-System (ERP) sollten umgehend mit möglichst tagesaktuellen Daten wiederhergestellt werden können.

Datensicherung ist nicht gleich Sicherung der Daten

Doch bei der Datensicherung ist zu beachten, dass diese applikationskonsistent erfolgt. Im Gegensatz dazu steht die crashkonsistente Sicherung zur Wiederherstellung eines lauffähigen Systems. Das bedeutet aber nicht, dass wirklich alle Daten gesichert werden. Nur bei der applikationskonsistenten Sicherung werden die Daten so gesichert, wie es der Hersteller einer Anwendung oder Datenbank verlangt. Denn viele Daten befinden sich während des Betriebs gar nicht auf Festplatten, sondern im RAM-Speicher der Server. Daher muss die Backup-Lösung das System vorher in einen konsistenten Zustand bringen und danach wegsichern. Gelöst wird das durch die Nutzung von Herstellerschnittstellen, die zur Datensicherung angesprochen werden. Nur so lassen sich alle Daten auch konsistent wiederherstellen.

Damit der Spagat zwischen den wachsenden Datenmengen in heterogenen Systemumgebungen, dem jederzeit wiederherstellbaren Geschäftsbetrieb und einer compliance-gerechten Datensicherung beherrschbar wird, ist eine Lösung notwendig, die alle Anforderungen erfüllen kann. Die Experten von SEP etwa sehen bei den täglichen Kontakten mit Kunden und Partnern ein enormes Einsparpotential beim Speichern der Backup-Daten – und zwar durch Deduplizierung. Durch dieses intelligente Verfahren erkennt eine entsprechende Software automatisch, wenn Daten mehrfach auf den Quellservern vorhanden sind. Ein Beispiel zeigt: Wenn ein Unternehmen zehn Server, egal ob virtualisiert oder physikalisch, komplett sichert, wird das Betriebssystem nur einmal auf dem Sicherungsmedium abgelegt. Mit dieser Methode hat der Datentsunami ein Ende.

Die blockweise Deduplizierung ist die Basis für eine bandbreitensparende Replikation der gesicherten Daten. Dies ist ein sinnvolles Backup-Szenario für Unternehmen mit Außenstellen oder auch für die Sicherung in die Cloud. Hier sind die gesicherten Daten auf verschiedene Standorte verteilt. Wie sich solche Umgebungen entwickeln, wird sich zeigen. Es muss jedoch auch hier sichergestellt werden, dass auf einer entfernten Cloud liegende große Datenmengen in einer akzeptablen Zeit ins Unternehmen zurückgesichert werden können. Zudem sollte in Zeiten einer globalisierten Wirtschaft auch darauf geachtet werden, mit welchen Anbietern man zusammenarbeitet und wo sich der Cloud-Speicher befindet. Sichert man Daten, die einer Ausfuhrgenehmigungspflicht unterliegen, in ein außereuropäisches Rechenzentrum, kann das zu Konflikten mit dem Bundesamt für Wirtschaft und Ausfuhrkontrolle führen. Das Management sollte sich immer darüber im Klaren sein, dass es sich bei den gesicherten Daten um das wichtigste Gut des Unternehmens handelt und ein sicherer Umgang gewährleistet sein sollte.

Regelmäßiger Test der Systemwiederherstellung

Als Grundlage für alle Szenarien sollte die gewählte Backup-Software die IT-Umgebung im Unternehmen in allen Facetten abbilden können. Neben der Entwicklung in Richtung Cloud nutzen viele Unternehmen Systeme, die teilweise von den Herstellern nicht mehr unterstützt werden, für den laufenden Betrieb aber noch notwendig sind. So muss ein Backup der Daten eines Windows-NT-Systems oder bald des Windows-2003-Servers solange gewährleistet sein, wie diese Systeme noch in Betrieb sind.

Ein weiterer Strategiebestandteil ist die Analyse und Separierung der Daten auf unterschiedliche Speichertechnologien. Die schnellste Art, aber aktuell auch die teuerste, ist das Backup auf SSD-Speichern. Diese eignen sich gut für das sogenannte Instant-Recovery-Verfahren, bei dem virtuelle Maschinen direkt auf dem Backup-Speicher, ohne Rücksicherung, gestartet werden können. Klassische Festplatten sind die Wahl für eine zügige Wiederherstellung jeglicher gesicherter Daten, aber in der Vorhaltung und Wartung teurer als Bänder. Diese sind auch für Sicherungsdaten bestimmt, die für die Langzeitaufbewahrung vorgesehenen sind. Bänder haben zudem hohe Kapazitäten – im aktuellen Standard (LTO 6) bis 6,25 Terabyte pro Band – sind kompakt, günstig und im ausgelagerten Zustand über jeden Virenbefall und Hackerattacken erhaben. Nicht zuletzt gehört zu einer compliance-konformen Backup-Strategie der regelmäßige Test einer Wiederherstellung von Systemen. Denn nur so lässt sich gewährleisten, dass im Ernstfall eine zügige Wiederherstellung des Geschäftsbetriebs möglich ist. Dieser sollte mindestens einmal im Monat stattfinden.

Backup und Disaster-Recovery-Lösungen gehören heute zu den tragenden Säulen der IT-Sicherheit in Unternehmen. Neue Technologien vereinfachen die Administration, steigern die Performance und sparen bares Geld. Davon sind Server, inklusive der darauf installierten Software, sowie der Datenspeicher betroffen.


Backup und Compliance

Als Compliance wird die in der Verantwortung der Geschäftsführung liegende Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien definiert. Ein wesentlicher Bestandteil davon ist die rechtssichere Umsetzung im Bereich Datensicherung. Unternehmen müssen jederzeit nachvollziehbar darstellen können, dass sie ihre Daten durch eine definierte Backup-Strategie sichern und auch zeitnah wiederherstellen können. Ist das nicht der Fall, können das Management, die Compliance- und Sicherheitsbeauftragten und weitere Entscheider in Schlüsselpositionen in die persönliche Haftung genommen werden. Bei erheblichen Pflichtverstößen kann darüber hinaus der Versicherungsschutz des Unternehmens und der Mitglieder des Managements gefährdet sein. Die Gerichte sehen es als unternehmerische Selbstverständlichkeit an, über zeitgemäße Backup-Systeme Vorsorge zu treffen. Deren Funktionalität ist durch regelmäßige Überprüfungen sicherzustellen und gegebenenfalls an veränderte Bedrohungsszenarien anzupassen. Datensicherungssysteme müssen gleichzeitig aber auch den Bedürfnissen des Datenschutzes genügen. Die Aufgabe des Managements ist es daher, organisatorisch und rechtlich effiziente Maßnahmen zum Schutz unternehmenskritischer und personenbezogener Daten gegen Verlust oder ungewollte Offenlegung zu gewährleisten.

Quelle: Dr. Jens Bücking, Fachanwalt für IT-Recht und Lehrbeauftragter an der Hochschule für Technik, Stuttgart


Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok