Sie befinden sich hier:

Anforderungen an ein Datensicherungskonzept

Durch ein Datensicherungskonzept und regelmäßige Datensicherungen lassen sich Auswirkungen von Datenverlusten minimieren. Eine Datensicherung soll gewährleisten, dass durch einen redundanten Datenbestand der Betrieb der Informationstechnik kurzfristig wiederaufgenommen werden kann, wenn Teile des aktiv genutzten Datenbestandes verloren gehen.

Die Erstellung eines Datensicherungskonzeptes ist auch erforderlich, um den Mitarbeitern zur Erledigung ihrer Aufgaben (soweit möglich) einen jederzeitigen Datenzugriff (auch nach einem Katastrophenfall) gewährleisten zu können. In diesem Sicherungskonzept ist die Art und Weise der Datensicherung festzulegen, sodass der IT-Betrieb nach einem Schadensereignis durch einen redundanten Datenbestand kurzfristig wiederaufgenommen werden kann, auch wenn Teile des operativen Datenbestandes verloren gegangen sind.

Die Verfahrensweise der Datensicherung wird von einer großen Zahl von Einflussfaktoren bestimmt. Das IT-System, das Datenvolumen, die Änderungsfrequenz der Daten und die Verfügbarkeitsanforderungen sind einige dieser Faktoren. Im Datensicherungskonzept gilt es, eine Lösung zu finden, die diese Faktoren berücksichtigt und gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist.

Zu einem Datensicherungskonzept gehört nicht nur der Aspekt, wie Datensicherungen präventiv erstellt werden (Backup), sondern auch, wie angefertigte Datensicherungen auf dem Ursprungssystem wiederhergestellt werden (Restore). Denn selbst wenn Daten regelmäßig gesichert werden, gewährleistet dies nicht automatisch, dass diese auch problemlos wiederhergestellt werden können. Wenn nicht regelmäßig getestet wird, ob sich Daten wiederherstellen lassen, kann es sein, dass die gesicherten Daten nach der Wiederherstellung nicht nutzbar sind.

Festlegung der Verfahrensweisen für die Datensicherung

Für die Datensicherungsverfahren müssen Art, Häufigkeit und Zeitpunkte der Datensicherungen bestimmt werden. Dies muss wiederum auf Basis der erhobenen Einflussfaktoren und in Abstimmung mit den jeweiligen Fachverantwortlichen geschehen. Auch muss definiert sein, welche Speichermedien benutzt werden und wie die Transport- und Aufbewahrungsmodalitäten ausgestaltet sein müssen. Datensicherungen müssen immer auf separaten Speichermedien für die Datensicherung gespeichert werden. Besonders schützenswerte Speichermedien für die Datensicherung sollten nur während der Datensicherung und Datenwiederherstellung mit dem Netz der Institution oder dem Ursprungssystem verbunden werden.

Es sollten folgende Punkte bei der Festlegung einer Verfahrensweise für die Datensicherung betrachtet werden:

  • Art der Datensicherung
  • Häufigkeit und Zeitpunkt der Datensicherung
  • Anzahl der Generationen
  • Vorgehensweise und Speichermedium
  • Zuständigkeit für die Datensicherung
  • Aufbewahrungsort
  • Anforderungen an das Datensicherungsarchiv
  • Transportmodalitäten und
  • Aufbewahrungsmodalität

Beschaffung eines geeigneten Datensicherungssystems

Bevor ein Datensicherungssystem beschafft wird, sollte eine Anforderungsliste erstellt werden, nach der die am Markt erhältlichen Produkte bewertet werden. Die angeschafften Datensicherungssysteme sollten die Anforderungen des Datensicherungskonzepts der Institution erfüllen.

Bei der Beschaffung eines Datensicherungssystems sollte nicht allein auf seine Leistungsfähigkeit geachtet werden, sondern auch auf die Bedienbarkeit und insbesondere auf seine Toleranz gegenüber Benutzerfehlern.

Durchführung einer regelmäßigen Datensicherung

Regelmäßige Datensicherungen müssen gemäß dem Datensicherungskonzept erstellt werden. Alle zuständigen Mitarbeiter müssen über die Regelungen zur Datensicherung informiert sein und welche Aufgaben sie bei der Erstellung von Datensicherungen haben.

Abhängig von der Menge und Wichtigkeit der laufend neu gespeicherten Daten und vom möglichen Schaden bei Verlust dieser Daten ist Folgendes festzulegen:

  • Zeitintervall
    Beispiel: täglich, wöchentlich, monatlich
  • Zeitpunkt
    Beispiel: nachts, freitags abends
  • Anzahl der aufzubewahrenden Generationen
    Beispiel: Bei täglicher Komplettsicherung werden die letzten sieben Sicherungen aufbewahrt, außerdem die Freitag-Abend-Sicherungen der letzten zwei Monate.
  • Umfang der zu sichernden Daten
    Am einfachsten ist es, Partitionen bzw. Verzeichnisse festzulegen, die bei der regelmäßigen Datensicherung berücksichtigt werden. Eine geeignete Differenzierung kann die Übersichtlichkeit vergrößern sowie Aufwand und Kosten sparen helfen.
    Beispiel: selbst erstellte Dateien und individuelle Konfigurationsdateien
  • Speichermedien (abhängig von der Datenmenge)
    Beispiel: DVDs, USB-Speicher oder Festplatten
  • Vorherige Löschung der Datenträger vor Wiederverwendung
    Beispiel: bei Festplatten, bei mobilen Datenträgern
  • Zuständigkeit für die Durchführung
    Beispiel: Administrator, Benutzer
  • Zuständigkeit für die Überwachung der Sicherung, insbesondere bei automatischer Durchführung
    (Fehlermeldungen, verbleibender Platz auf den Speichermedien)
  • Dokumentation der erstellten Sicherungen
    (Datum, Art der Durchführung der Sicherung sowie gewählte Parameter, Beschriftung der Datenträger)

Regelmäßig sollte kontrolliert werden, ob das Datensicherungskonzept korrekt umgesetzt wird.

Sichere Aufbewahrung der Speichermedien

Die Speichermedien für die Datensicherung müssen räumlich getrennt von den gesicherten IT-Systemen in einem anderen Brandabschnitt aufbewahrt werden. Der Aufbewahrungsort sollte so klimatisiert sein, dass die Datenträger entsprechend der zeitlichen Vorgaben des Datensicherungskonzepts aufbewahrt werden können.

Schutz der Speichermedien

Die erstellten Datensicherungen müssen in geeigneter Weise vor unbefugtem Zugriff geschützt werden. Hierbei muss insbesondere sichergestellt werden, dass Datensicherungen nicht absichtlich oder unbeabsichtigt überschrieben werden können. IT-Systeme, die für die Datensicherung eingesetzt werden, sollten einen schreibenden Zugriff auf die Speichermedien für die Datensicherung nur für autorisierte Datensicherungen oder autorisierte Administrationstätigkeiten gestatten. Alternativ sollten die Speichermedien für die Datensicherung nur für autorisierte Datensicherungen oder autorisierte Administrationstätigkeiten mit den entsprechenden IT-Systemen verbunden werden.

Regelmäßiges Testen der Datensicherungen

Für die Rekonstruktion eines Datenbestandes muss regelmäßig geprüft werden, ob mit den vorhandenen Sicherungskopien der Daten ein solches Vorhaben durchgeführt werden kann. Durch technische Defekte, falsche Parametrisierung, einer schlichten Überalterung der Medien, einer unzureichenden Datenträgerverwaltung oder der Nichteinhaltung von Regeln, die in einem Datensicherungskonzept gefordert werden, ist es möglich, dass eine Rekonstruktion eines Datenbestandes nicht möglich ist. Daher ist es notwendig, dass regelmäßig überprüft wird, ob die erzeugten Datensicherungen zur Wiederherstellung verlorener Daten genutzt werden können.

Fundstellen

Die Ausführungen wurden teilweise der

Veröffentlichung „CON.3 Datensicherungskonzept“ des BSI – abrufbar im Internet unter“ https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/03_CON_Konzepte_und_Vorgehensweisen/CON_3_Datensicherungskonzept_Edition_2021.pdf;jsessionid=8A530FAACF2D71477E8A796945F1229A.internet472?__blob=publicationFile&v=2 und

der Veröffentlichung „Umsetzungshinweise zum Baustein CON.3 Datensicherungskonzept“ des BSI – abrufbar im Internet unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Umsetzungshinweise/Umsetzungshinweise_2021/Umsetzungshinweis_zum_Baustein_CON_3_Datensicherungskonzept_docx.docx;jsessionid=463C8A67C1C799FC32A3C4CA6EE22B5E.internet481?__blob=publicationFile&v=1 entnommen.  

nach oben