René Floitgraf info@rene-floitgraf.de +49 2402 385700

Wo liegt Ihre Datensicherung?

Halten Sie mal die Luft an und prüfen Sie wie lange Sie ohne zu Atmen auskommen.

Jetzt überlegen Sie bitte, wie lange Ihr Unternehmen ohne funktionierende IT auskommt. Stellen Sie sich einfach vor, alle Ihre Daten sind weg. Spätestens hier wird es in Brustkorb der Verantwortlichen so unangenehm wie beim Luftanhalten.

Die Daten Ihres Unternehmens sind einerseits die Grundlage fast aller Geschäftsprozesse geworden. Andererseits sehen wir gerade in unseren Erstberatungen immer wieder, dass die IT vernachlässigt, wird und zu sehr auf die Funktion eines Werkzeugs reduziert ist, welches man sich einfach neu kaufen muss und schon funktioniert alles wieder so wie vorher. Diesem Trugschluss sind viele Unternehmen Opfer geworden, und zwar immer nur ein einziges Mal.

Für uns, die wir Ihre Daten schützen wollen, ist die Datensicherung ein großes Thema, wenn es um die Beurteilung der technischen und organisatorischen Maßnahmen geht.

Natürlich dürfen die Kosten für die IT nicht ausufern, es ist auch immer die Verhältnismäßigkeit als Maßstab heranzuziehen, trotzdem sind gewisse Investitionen unvermeidlich, wozu eben auch die Datensicherung gehört.

Empfehlung: Mehrstufiges Backupkonzept

Vereinfacht empfehlen wir ein mehrstufiges Backupkonzept, welches zum einen eine Sicherung vor Ort umfasst, damit kleinere Störungen ggf. schneller bearbeitet werden können; diese Sicherung sollte aber zumindest in einem anderen Brandabschnitt erfolgen. Zum anderen empfehlen wir zusätzlich eine Sicherung, die sich außerhalb Ihrer Räumlichkeiten befindet, für größere Zwischenfälle, wie z.B. gezielte Angriffe auf Ihre IT, sowie Elementarschäden durch Feuer oder Wasser.

Bevorzugt wird von uns dabei ein vollautomatisches System, damit auch der Faktor Mensch keine Rolle bei der Datensicherung spielt. Zu oft passiert es leider, dass beispielsweise der Wechsel von Sicherheitsmedien nicht oder nur unregelmäßig erfolgt und damit das Speichermedium dauerhaft am zu sichernden System verbleibt.

Wie oft, mit welchen Mitteln und wo die Datensicherung letztendlich erfolgt, muss dabei im Einzelfall betrachtet werden. Da ist jedes Unternehmen anders und hat eigene Anforderungen an die Verfügbarkeit der Daten. Auch bei der Sicherung außerhalb der Räumlichkeiten gibt es verschiedenste Möglichkeiten; größere Unternehmen können die Backups zwischen vorhandenen Niederlassungen hin- und herschieben, bei kleineren Firmen könnte die Sicherung über ein VPN auf dezentrale Sicherungsspeicher erfolgen und letztlich kann auch Speicherplatz in einem Rechenzentrum des eigenen Vertrauens gemietet werden.

Planung der Datensicherung, eine Managementaufgabe!

Egal wie die Sicherung umgesetzt wird, zuerst sollte die Geschäftsleitung sich die Frage stellen, welche Anforderung die eigene Datensicherung erfüllen muss. Dazu sollte Rat bei der eigenen IT oder beim beauftragten IT-Dienstleisters eingeholt werden. Folgende Teilaspekte sind zu berücksichtigen:

Soll die Sicherung mit manuellem Aufwand erfolgen? Wer ist vertrauenswürdig genug, um gewissenhaft für einen regelmäßigen Wechsel der Sicherungsmedien zu sorgen?
Wie werden die Datensicherungen vor unbefugten Zugriffen gesichert? Werden die Backupziele verschlüsselt?
Reicht das Zeitfenster für die Datensicherung mit den geplanten Sicherungsmedien, um die erforderliche Sicherungsanzahl zu erreichen (maximaler Datenverlust in Stunden)? Möglicherweise kann nur einer Sicherung pro Tag erfolgen, weil die Bandbreite nicht ausreicht, oder weil vor Ort noch mit Sicherungsbändern gesichert wird. Dann muss mit einem maximalen Datenverlust von 24 Stunden ausgegangen werden. Dazu kommt die Zeit zwischen der Anfertigung der Sicherung und dem Wechsel des Sicherungsmediums, wodurch weitere Risiken entstehen können.
Wie schnell kann das Backup wiederhergestellt werden (maximale Ausfallzeit in Stunden)? Angenommen das gesicherte System fällt aus, wie lange dauert die Ersatzbeschaffung und die Rücksicherung der Datensicherung insgesamt?
Gemessen an diesen Werten: Macht es möglicherweise Sinn, dass die IT ein Ersatzgerät vorhält oder das System sogar redundant auslegt? Könnte die Datensicherung in ein Rechenzentrum erfolgen, welches in kurzer Zeit eine akzeptable Zwischenlösung als virtuelles System bereitstellen kann, bis neue Hardware beschafft wurde?
Bei einer Sicherung im Rechenzentrum oder per VPN: Wie hoch ist die verfügbare Bandbreite zur Übertragung der Datensicherung? Können die zuvor genannten Ausfallzeiten damit eingehalten werden?

 
Nach der Betrachtung der zuvor genannten Teilaspekte wird auch deutlich, warum wir vor einem manuellen Wechsel der Sicherungsmedien warnen. Erfolgt der Wechsel unregelmäßig, kann das zuvor festgelegte Zeitfenster des tolerierbaren Datenverlustes nicht eingehalten werden. Plötzlich sind möglicherweise die Daten von einem Vielfachen des zuvor definierten Zeitfensters verloren gegangen.

Redundanz als Lösung? Vielleicht sogar die Cloud?

Wäre es dann nicht sinnvoll die Daten in der Cloud zu speichern? Elementarschäden vor Ort betreffen die Daten dann immerhin nicht. Der Gedanke könnte sich einem aufdrängen…

In vielen Fällen wären die Daten im Rechenzentrum sogar sicherer verwahrt als dies bei kleineren Unternehmen gewährleistet werden kann. Die technischen und organisatorischen Maßnahmen der großen Rechenzentrumsbetreiber sind um ein Vielfaches umfangreicher, als es in kleineren Umgebungen mit vertretbarem Aufwand realisiert werden kann. Viele Rechenzentren lassen die IT-Sicherheit von externer Stelle überprüfen und unterwerfen sich dazu einer Zertifizierung, z.B. nach ISO 27001.

Trotzdem lässt sich die Frage so pauschal nicht beantworten. Zuerst muss festgehalten werden: Ob die Datenhaltung im Rechenzentrum redundant erfolgt, ist im Einzelfall zu klären. Und selbst wenn eine Redundanz vorhanden ist, sollte etwas (mutwillig) gelöscht werden, ist es auch auf dem Redundanzsystem gelöscht.

Auch bei Daten im Rechenzentrum und / oder bei redundanten Systemen ist eine zusätzliche Datensicherung daher trotzdem notwendig!

Und wenn die Datenhaltung und das Backup in der Cloud ist?

Kann sich nicht auch der Betreiber des Rechenzentrums / des Clouddienstes um die Datensicherung kümmern? Dann liegt alles in einer Hand und mit einer Zertifizierung nach ISO 27001 ist das Rechenzentrum doch auch sicher…

Auch hier steckt der Teufel im Detail und die Bewertung muss im Einzelfall erfolgen. Wo sichert der Clouddienst beispielsweise die Daten? Im selben Rechenzentrum, in dem auch die Produktivsysteme stehen? Dann gewinnen Sie mit dieser Sicherung im Falle von Elementarschäden im Rechenzentrum keinen Blumentopf. Entscheidend ist hier eine Georedundanz. Denn auch wenn die großen Rechenzentren viel unternehmen, um als sicherer Datenhafen zu gelten – egal welche Maßnahme und egal welche Zertifizierung – es gibt keine 100%ige Sicherheit!

Unvorstellbar? Erst am zehnten März 2021 ist bei einem der größten Hosting- und Rechenzentrumsbetreiber in Europa (OVH) ein gesamtes Rechenzentrum abgebrannt. 5 Etagen und Platz für 12.000 Server sind dem Feuer zum Opfer gefallen. Ein zweites angrenzendes Rechenzentrum wurde ebenfalls teilweise zerstört. Wer hier rein auf die Sicherheit dieses Rechenzentrums gesetzt hat, wurde schwer getroffen. Gemäß einigen Pressemitteilungen haben u.a. die Großkanzlei Leroi&Associés in Frankreich und der Computerspiel-Anbieter Facepunch einen irreversiblen Totalverlust der Daten vermeldet.

Ein „blindes Vertrauen“ in die Cloud sollte es daher nicht geben. Auch bei der Erstellung dieses Dokumentes – 7 Tage nach dem Brand – sind immer noch viele Services von OVH nicht oder nur eingeschränkt erreichbar.

Fazit / Zusammenfassung

Wenn die Daten für das Unternehmen von großer Bedeutung sind, sollte auch das Thema Datensicherung angemessen betrachtet werden. Unsere Empfehlung: Die Geschäftsleitung erstellt zusammen mit der IT zusammen ein Backupkonzept, welches die tolerierbaren Ausfallzeiten beleuchtet und entsprechende Maßnahmen plant, diese Maßnahmen werden von der IT umgesetzt. Zudem sollte die Datensicherung regelmäßig auf ihre Funktion überprüft werden. Eine entsprechende Überwachung der Dienste und Erfolgsmeldungen der Datensicherung kann mittels automatischer Lösungen erreicht werden, sollte jedoch von wiederkehrenden Wiederherstellungstests unterstützt werden.

Wenn Sie Fragen zum Thema Datensicherung haben, stehen wir Ihnen selbstverständlich gerne zur Verfügung.

Quellen:
https://twitter.com/OVHcloud/status/1369609720005267460
http://travaux.ovh.net/
https://www.faz.net/aktuell/feuilleton/medien/groesstes-rechenzentrum-europas-brennt-komplett-nieder-17241629.html

Der Beitrag Wo liegt Ihre Datensicherung? erschien zuerst auf CompliPro GmbH.