Level of Paranoia

DSGVO gilt auch für Backup-Daten

„Die Datenschutz-Grundverordnung gilt natürlich auch für Daten im Backup“, betont Christoph Storzum, Director Commercial Sales Germany Data Protection Solutions bei Dell EMC. So müsse etwa geregelt sein, wie sich in Bandsicherungen einzelne Kunden- oder Mitarbeiterdaten löschen lassen. Außerdem sei festzulegen, welche Daten gesichert werden und für welchen Zeitraum.

Christoph Storzum, Director Commercial Sales Germany Data Protection Solutions bei Dell EMC

„Klare Vorteile des Cloud-Backups sind die flexible Nutzung und Bezahlung“, meint Christoph Storzum, Director Commercial Sales Germany Data Protection Solutions bei Dell EMC.

ITM: Herr Storzum, inwieweit können (Natur-)Katastrophen wie Hochwasser, Erdbeben, Feuer oder Blitzeinschläge für Mittelständler und ihre Daten gefährlich werden?
Christoph Storzum:
Alle der genannten Naturkatastrophen können zum Datenverlust in einem Unternehmen führen. Gerade im Mittelstand gibt es häufig Budgetrestriktionen, die es nicht erlauben, ein zweites Rechenzentrum oder einen Server-Raum aufzubauen und in einem entfernten Gebäude oder an einem zweiten Standort zu betreiben, inklusive der entsprechenden Kosten für Konnektivität und Spiegelung. Die Folge: Die wichtigsten Daten werden in einem zweiten Brandabschnitt im gleichen Gebäude vorgehalten oder die Backups mit viel Aufwand auf Tape geschrieben und manuell ausgelagert. Sehr häufig wird nicht einmal dieser Sicherheitsschritt vollzogen. Würde nun das Firmengebäude samt Rechenzentrum durch eine Naturkatastrophe zerstört, wären sämtliche Daten verloren.

Bei der Datensicherung geht es im Einzelfall immer um den „Level of Paranoia“ – sprich gegen welche Unglücksfälle sich ein Unternehmen absichern möchte. Das ist keine IT-Entscheidung, sondern muss in der Geschäftsführung diskutiert und beschlossen werden. Daran hängt im Fall der Fälle der Weiterbetrieb des Unternehmens, von der Kundenkommunikation bis hin zur Rechnungsstellung. Die kritischen Fragestellungen hierbei sind die nach der Zeit, die es braucht, um nach einem Disaster-Fall wieder online zu sein, und den Kosten eines IT-Ausfalls – beides ist ab einem bestimmten Punkt kritisch für die Produktion und den Geschäftsbetrieb. Hinzu kommt die Gefahr eines möglichen Datenverlustes, den das Unternehmen verkraften muss.

Bewertet werden sollte auch die Wahrscheinlichkeit für den Eintritt einer Bedrohung – von Blitzschlag, Stromausfall und Brand über den Bagger, der die Datenleitung zum eigenen Server-Raum lahm legt, bis hin zum Cyber-Recovery-Szenario eines Hacker-Angriffs, einer Ransomware-Attacke oder schlichtweg Viren-Befall. Die Geschäftsführungsentscheidung muss dann mit geeigneten Maßnahmen in der IT umgesetzt werden. Das ist im einfachsten Fall, z.B. dem Komponentenausfall eines Speichersystems, eine physikalische Maßnahme wie RAID-Schutz oder Spiegelung auf ein Zweitsystem. Bei einem Brand reicht dies aber schon nicht mehr aus. Dann benötigt man mindestens eine Sicherung in einem losgelösten Brandabschnitt, am besten mit alternativer Strom- und Datenverbindung, oder auch losgelöste Sicherungskopien. Wenn diese nicht online im Netzwerk verfügbar sind, ist sogar im Falle einer Ransomware-Verschlüsselung ein Restore garantiert.

ITM: Wie ernst nimmt der deutsche Mittelstand anno 2018 die Sicherung seiner Unternehmensdaten?
Storzum:
Die wenigsten Geschäftsführer beschäftigen sich gerne mit dem Thema „Backup“ – selbst in IT-Abteilungen werden häufig die Augen vor dem vermeintlich unwahrscheinlichen Fall eines Ausfalls oder Angriffs verschlossen. Regelmäßige Datensicherungen sind zwar eine Standardmaßnahme, aber die wenigsten testen auch wirklich einen Wiederherstellungsfall. Wir sehen immer wieder, dass das eigentliche Backup gerne vernachlässigt wird, während Bedrohungsszenarien mit Verschlüsselungsangriffen oder generell Hacking-Angriffe viel Beachtung finden. Gerade bei einem Security-Vorfall spielt aber die richtige Datensicherungsstrategie eine entscheidende Rolle, um im Falle eines Falles den weiteren Betrieb zu ermöglichen.

ITM: Warum geht hier das eine oder andere Unternehmen Ihrer Ansicht nach noch zu sorglos mit dem Thema um?
Storzum:
Die Antwort darauf ist vielschichtig – von Budget-Restriktionen bis hin zur überlieferten Denkweise, dass man sich einen zweiten IT-Standort nicht leisten kann. Auch der Aufwand, der mit einer begrenzten IT-Mannschaft nur schwer abgebildet werden kann und üblicherweise außerhalb der Nutzungszeiten erfolgen muss, spielt eine Rolle. Oft verschließt man aber auch einfach die Augen vor einem Risikofall, der hoffentlich nie eintritt und fortlaufend viel Aufwand und Budget verschlingen würde. Wer keine besonderen Auflagen zu erfüllen hat, ist mit dem Regelbetrieb meist schon genügend ausgelastet.

ITM: Wie sollte eine vernünftige Backup-Strategie grundsätzlich aussehen, um für einen IT-Ausfall und möglichen Datenverlust gewappnet zu sein?
Storzum:
Generell sollte eine regelmäßige Sicherungskopie auf einem losgelösten Medium, getrennt von meiner primären Infrastruktur, vorgehalten werden. Die Häufigkeit der Kopie-Erstellung bestimmt die oben gestellte Frage nach dem möglichen Datenverlust, den mein Geschäftsbetrieb verkraftet. Diese Kopie muss konsistent sein und eine Wiederherstellung ermöglichen, was regelmäßig getestet werden sollte. Im besten Fall sollte das Verfahren möglichst automatisiert laufen und mit möglichst wenigen Sicherungswerkzeugen erfolgen, um den Aufwand für die IT zu reduzieren.

Wir haben in Umfragen ermittelt, dass die Wahrscheinlichkeit eines Ausfalls und die Wahrscheinlichkeit von Datenverlust bei Ausfällen mit der Anzahl der eingesetzten Hersteller und Tools in einer Umgebung signifikant steigen. Deshalb ist es empfehlenswert, Systeme und Werkzeuge zu nutzen, die alle Sicherungsaufgaben vereinen und die auch in Cloud-Infrastrukturen und SaaS-Umgebungen verfügbar sind.

Die optimale Sicherungsumgebung sichert heute schon das eigene Rechenzentrum, ermöglicht den Weg in die Cloud und nutzt diese eventuell als Archivierungserweiterung zur automatisierten Auslagerung von Altdaten, erlaubt eine Cloud-zu-Cloud-Sicherung und hilft auch wieder aus einer proprietären Cloud herauszukommen. Damit kann eine optimale Sicherungsstrategie auch das Risiko beim Aufbau einer Cloud-Infrastruktur reduzieren. Die Erweiterung einer Sicherungsumgebung in eine Cloud ermöglicht sogar ein „Stand-by“-Rechenzentrum, wenn man sich vorher keinen eigenen zweiten Standort erlauben konnte.

ITM: Mit welchen (personellen, zeitlichen, finanziellen) Herausforderungen ist die Umsetzung solch einer Strategie oftmals verbunden?
Storzum:
Generell gilt: je automatisierter, desto einfacher – je weniger Tools, umso leichter – je mehr Integration in Kernanwendungen, umso transparenter. Letztendlich fängt diese Fragestellung bereits bei der Klassifizierung der Daten im Geschäftsbetrieb an, wird durch das Konzept und die eingesetzten Systeme und Tools beeinflusst und sollte immer in der Gesamtkostenbetrachtung über eine Betriebsdauer von drei bis fünf Jahren erfolgen. Unter Umständen machen sich höhere Anschaffungskosten durch effiziente Speicherung und Automation bis hin zu geringeren Ausfall- und Wiederanlaufzeiten am Ende bezahlt.

ITM: Welche Rolle spielt hierbei das Cloud-Backup im Vergleich zum physischen Backup?
Storzum:
Ein Cloud-Backup kann im Unterschied zum physischen Backup auf verschiedene Weise betrieben und genutzt werden: zur automatisierten Auslagerung und damit Erweiterung meiner lokalen Infrastruktur; als „virtuelles“, vollständiges Ausfallrechenzentren, das im Ernstfall einen kompletten Wiederanlauf in der Cloud ermöglicht; oder zur Sicherung von einer Cloud in eine andere Cloud. Das umfasst auch die Sicherung von SaaS-Angeboten in der Cloud.

ITM: Worin bestehen die Vorteile und Möglichkeiten eines Cloud-Backups?
Storzum:
Klare Vorteile des Cloud-Backups sind die flexible Nutzung und Bezahlung („Pay-per-Use“) ohne den Aufbau einer eigenen Infrastruktur. Damit lassen sich zudem kurzfristige Auslastungsspitzen ohne Vorhaltung von eigenem Equipment abfangen. Effiziente Backup-Verfahren geben auch mehr Flexibilität beim Wechsel zwischen verschiedenen Cloud-Providern.

ITM: Welche Daten sollten besser durch eine andere Backup-Methode gesichert werden und warum?
Storzum:
Dafür gibt es keine Vorgaben, sondern vielmehr individuelle Vorlieben. Oftmals sehen wir in Deutschland noch starke Vorbehalte, die Kerndaten und -Anwendungen des Unternehmens in fremde Hände zu legen. Im Grunde ist dies aber nur eine Frage der Geschäftsbeziehung, der Zugriffsregelungen und letztlich eine Kosten- und Kompetenzfrage.

ITM: Was sind häufige Probleme bei der Datenwiederherstellung?
Storzum:
Probleme treten sehr häufig auf, da die wenigsten Unternehmen ihre Recovery-Abläufe zuvor getestet haben. Daher fehlen entsprechende Routinen und die Prozedur wird zum Testszenario – allerdings nach einem Ernstfall, was alle Beteiligten enorm unter Druck setzt. Dabei ist der Faktor „Zeit“ entscheidend, um den Geschäftsbetrieb schnellstmöglich wiederherzustellen.

ITM: Welchen Einfluss üben die neuen Regeln der europäischen Datenschutz-Grundverordnung (EU-DSGVO) auf die Backup-Strategie der Unternehmen aus?
Storzum:
Die Datenschutz-Grundverordnung gilt natürlich auch für Daten im Backup. So muss etwa geregelt sein, wie sich in Bandsicherungen einzelne Kunden- oder Mitarbeiterdaten löschen lassen. Außerdem ist festzulegen, welche Daten gesichert werden und für welchen Zeitraum. Eine Backup-Strategie sollte festlegen, wie sich sowohl die Sicherung als auch das Löschen der Daten automatisieren und nachweislich behandeln lässt, um mit den Regelungen der DSGVO konform zu sein.

ITM: Auf welche Kriterien sollten Mittelständler letztlich bei der Auswahl entsprechender Backup-Lösungen achten?
Storzum:
Wichtige Kriterien sind eine möglichst hohe Automation und die Integration in alle Kernanwendungen. Backup auch in Self-Service-Portale zu integrieren, erleichtert im Ernstfall die Wiederherstellung. Im Hinblick auf die Explosion der Datenmengen, die sich auch im Backup widerspiegelt, ist eine effiziente Datendeduplizierung zur Entlastung und Beschleunigung der gesamten Infrastruktur unerlässlich. Durch Deduplizierung direkt an der Quelle und nicht erst im Backup-Speichersystem werden zudem die gesamte Infrastruktur (Server, Netzwerk, Cloud) entlastet und eine deutliche Beschleunigung der Sicherung und Wiederherstellung gewährleistet. Es empfiehlt sich, Systeme und Werkzeuge zu nutzen, die möglichst alle Sicherungsaufgaben vereinen, und die Zahl der Hersteller gering zu halten. Wichtig ist natürlich auch die Einfachheit im Handling. So lässt sich eine individuelle Backup-Lösung, entsprechend der von der Geschäftsleitung vorgegebenen Risiko-Abwägung, am besten umsetzen.

Bildquelle: Dell EMC

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok