English
Datensicherungskonzept
Warum ist Datensicherung für Unternehmen so wichtig?
Ein Konzept zur Datensicherung kann für Unternehmen von elementarer Bedeutung sein. Der Verlust von Daten ist eine ständige Bedrohung und Maßnahmen zu ihrem Schutz sind unumgänglich. Nur weil Daten gesichert sind, bedeutet das nicht automatisch absolute Sicherheit. Festplatten, Server und andere Hardware-Komponenten können durch Defekte oder Brände beschädigt werden. Durch Fehler von Mitarbeitern beim Sichern von Daten können wichtige Informationen aus Versehen gelöscht werden.
Nicht nur Compliance-Verstöße der eigenen Mitarbeiter stellen ein Risiko für den Datenbestand eines Unternehmens dar. Im Zeitalter des Cloud Computings ist die Sicherheit von Daten auch abhängig von Providern und Hostern. Dadurch steigt die Zahl der involvierten Personen rapide an. Das macht ein System anfällig für den Verlust von Daten.
Die weltweite Vernetzung via Internet beschleunigt Arbeitsprozesse enorm, erhöht jedoch auch die Gefahr von Cyberattacken und Datendiebstahl. Kriminelle können sich zum Beispiel in das System eines Unternehmens hacken und sensible Daten verschlüsseln, sodass ein Zugriff seitens der Mitarbeiter nicht mehr möglich ist. Im Anschluss werden hohe Lösegelder verlangt, um den Zugang wieder herzustellen.
Welche Gefahr droht Unternehmen ohne Datensicherungskonzept?
Ist der Schutz von betriebskritischen Daten nicht durch ein klares Konzept zur Datensicherung gewährleistet, kann das schwerwiegende Konsequenzen nach sich ziehen. Wir leben in der digitalen Epoche der Bits und Bytes. Digitale Daten sind die Basis für den wirtschaftlichen Erfolg eines Unternehmens. Sie bilden zum Beispiel die Grundlage für:
- Produktionsprozesse
- Warenhandel
- Betriebswirtschaftliche Maßnahmen
- Kommunikation mit Kunden
- Kommunikation mit Geschäftspartnern und Lieferanten
- Interne Kommunikation
- Wettbewerbsanalyse
- Kundenakquise
Allein der Verlust von Daten eines großen Kundenprojekts oder versehentliches Löschen des Datenaustauschs via E-Mail-Server können das Tagesgeschäft zum Erliegen bringen. Viele Konzerne, KMU und öffentliche Einrichtungen wären ohne ihre Daten nicht handlungsfähig.
Dazu kommen diverse gesetzliche Bestimmungen. So gibt es unter anderem im Bundesdatenschutzgesetz (BDSG), in der Europäischen Datenschutz-Grundverordnung (DSGVO) und im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Richtlinien, die Maßnahmen zur Sicherung bestimmter Daten vorschreiben.
Wann müssen Daten gesichert werden?
Gesetzliche Vorgaben zur Häufigkeit von Backups gibt es nicht. Wie häufig Unternehmen Dateien sichern sollten, hängt davon ab, wie wichtig tagesaktuelle Daten für den Geschäftsablauf sind. Entscheidend für die Anzahl der Sicherung ist auch, in welchem Abstand neue Daten eingepflegt werden.
Während für Privatanwender empfohlen wird, einmal wöchentlich alle Daten zu sichern, kann für Unternehmen durchaus ein tägliches Backup empfehlenswert sein. Das sollte allerdings auch in Abhängigkeit der Datenmenge betrachtet werden. Im Bereich Big Data zum Beispiel können häufige Daten-Backups ein enormes Kontingent an Ressourcen fressen. Unter Umständen lässt sich durch ein Datensicherungskonzept festlegen, dass im täglichen Rhythmus nur wichtige Daten zu sichern sind.
Was ist ein Datensicherungskonzept?
Ein Datensicherungskonzept umfasst technische und organisatorische Maßnahmen zum Schutz von Daten. Ziel ist die Absicherung gegen Verlust, Verfälschung oder Missbrauch im Interesse der Firma und der Datenschutzrichtlinien. Besonderer Fokus liegt dabei auf personenbezogenen Daten, deren Schutz durch die DSGVO und das BDSG reglementiert wird.
Neben präventiven Maßnahmen schließt ein Datensicherungskonzept außerdem Strategien mit ein, den Verlust von Daten zu kompensieren und verlorene Daten wiederherzustellen. Unter Berücksichtigung von Datenschutz und IT-Sicherheit dienen Datensicherungskonzepte der Dokumentation über den Umgang mit den Daten eines Unternehmens. Dadurch lässt sich zum Beispiel nachvollziehen, welcher Mitarbeiter aus welchem Grund Daten in das System eingepflegt und bearbeitet hat.
Wer ist für die Datensicherung im Unternehmen verantwortlich?
Verantwortlich für die Datensicherungsstrategie eines Unternehmens ist laut gesetzlicher Regelung die Geschäftsführung. Sie kann für den Verlust oder den Missbrauch personenbezogener Daten haftbar gemacht werden. Das gilt für das Strafrecht genauso wie für das Zivilrecht. Hat ein Unternehmen mehr als zehn Mitarbeiter, muss ein Datenschutzbeauftragter bestimmt werden. Er kann bei der Erstellung eines Datensicherungskonzeptes federführend sein. Sämtliche Entscheidung in Bezug auf die Strategie zur Datensicherung sollten jedoch von der Geschäftsleitung abgesegnet werden.
Anforderungen an ein Datensicherungskonzept
Da bei einem Datensicherungskonzept die Anforderungen individuell vom Unternehmen abhängen, lassen sie sich nur grob skizzieren. Wie genau eine Firma ihre Daten sichern sollte, kann erst nach einer genauen Prüfung der Prozesse und Maßnahmen bei der Datenerfassung und der potenziellen Bedrohungen festgelegt werden. Diese Art der Analyse ist bereits Teil vom Datensicherungskonzept. Ziel ist das Strukturieren sämtlicher Informationen und Abläufe, die mit der Sicherung der Daten in Verbindung stehen. Dazu gehören auch strategisches Vorgehen bei Datenverlust und Maßnahmen zu Wiederherstellung.
Allgemeine Anforderungen an ein Datensicherheitskonzept sind unter anderem:
- Bedrohungsanalyse
- Bestimmung des Datenvolumens
- Erfassung durchschnittlicher Zeitintervalle der Datenerfassung
- Art der Datensicherung
- Konkreter Ablauf der Datensicherung
- Ablauf der Datenwiederherstellung
- Gewährleistung von Sicherheit für das Backup
- Klärung der Zuständigkeiten
Backup: Strategien zum Schutz gesicherter Daten
Ein Datensicherungskonzept umfasst nicht nur Maßnahmen, um Daten sichern zu können. Auch der Schutz der gesicherten Daten spielt eine große Rolle. Dazu muss zuerst definiert werden, auf welche Art die Sicherung erfolgt und auf welchen Medien die Sicherheitskopie abgelegt wird. Experten empfehlen, im Datensicherungskonzept das Anlegen von zwei separaten Backups zu definieren. Das bedeutet, dass die Daten nach der Sicherung in dreifacher Ausführung vorliegen: Einmal der im System erfasste Dateneintrag und dann jeweils zwei Kopien, die in entsprechenden Dateien zu sichern sind.
Die Art des Backups kann ein Unternehmen frei nach seinen jeweiligen Bedürfnissen wählen. Für Soloselbständige oder ein kleines Start-up genügen vielleicht externe SSD-Festplatten oder ein NAS-Server als Speichermedien. KMU und größere Betriebe lassen ihre Backups unter anderem via Cloud Hosting verwalten oder betreiben eigene Server, um ihre Daten sichern zu können. Wichtig ist, im Datensicherungskonzept eine Definition über die Sicherung der gespeicherten Daten festzulegen. Entscheidende Punkte sind dabei unter anderem der Schutz der Netzwerke bzw. der Schnittstellen, über welche die Daten transferiert werden. Durch welche Maßnahmen wird ein Zugriff durch Unbefugte unterbunden?
Auch der Schutz der Hardware muss im Datensicherungskonzept bedacht werden. Bedrohungen in diesem Zusammenhang können sein:
- Diebstahl
- Überhitzung
- Stromausfall
- Technische Störungen
- Brandgefahr
Welche Datensicherungskonzepte gibt es?
Für Datensicherungskonzept gibt es verschiedene Ansätze, die sich teilweise überschneiden oder aufeinander aufbauen. Die drei häufigsten Konzepte sind:
- Vollsicherung
- Differentielles Datensicherungskonzept
- Inkrementelles Datensicherungskonzept
Vollsicherung: Dieser Ansatz sieht ein komplettes Backup aller im System befindlichen Daten zu einem definierten Zeitpunkt vor. Dabei ist es unerheblich, ob die Daten nach einem eventuellen vorherigen Backup verändert wurden oder nicht. In der Regel ist es üblich, einen einzigen Datenträger zu verwenden, um alle Daten zu sichern. Dieses Datensicherungskonzept bildet die Grundlage der differentiellen und der inkrementellen Datensicherung.
Differentielles Datensicherungskonzept: Die differentielle Strategie zur Datensicherung greift, wenn bereits eine Vollsicherung stattgefunden hat. Beim diesem Datensicherungskonzept werden in regelmäßigen Abständen Backups von allen Daten des Unternehmens gemacht, die seit der letzten Volldatensicherung geändert wurden.
Inkrementelles Datensicherungskonzept: Inkrementell steht für „stufenweise“. Auch bei diesem Konzept zur Datensicherung werden nur Backups von Daten gemacht, die sich geändert haben. Allerdings wird als Ausgangspunkt nicht die letzte Vollsicherung definiert. Gesichert werden alle Dateien, die nach der vorherigen inkrementellen Datensicherung geändert wurden.
Die verschiedenen Datensicherungskonzepte haben jeweils Vor- und Nachteile.
| Konzept | Vorteile | Nachteile |
|---|---|---|
| Volldatensicherung |
|
|
| Differentielles Datensicherungskonzept |
|
|
| Inkrementelle Datensicherung |
|
|
Wie ein Datensicherungskonzept erstellen?
Das Erstellen von Datensicherungskonzepten ist ein Aufwand, der sich in jedem Fall lohnt. Zum einen kann anhand der Dokumentation der Datensicherung gegenüber Firmenkunden und dem Gesetzgeber transparent gemacht werden, dass der Umgang mit Daten im Unternehmen sicher ist. Zum anderen dient ein zuverlässiges Datensicherungskonzept bei Datenverlust als Blaupause für die reibungslose Wiederherstellung firmenkritischer Daten.
Wenn ein Unternehmen das Verwalten seiner Daten an einen Hosting Service ausgelagert hat, übernimmt dieser es unter Umständen auch, die Daten zu sichern. In diesem Fall sollte ein Hoster in der Lage sein, eine adäquate Datensicherungsstrategie vorzuweisen. Es kann sinnvoll sein, bei der Anmietung von Hosting-Servern mehrere Datensicherungskonzepte zu vergleichen.
Liegt für die Datensicherung ein Konzept eines Hosting-Partners oder Cloud-Anbieters vor, kann anhand dessen das eigene Datensicherungskonzept ergänzt werden. Wichtig ist in dieser Konstellation jedoch, nicht nur die Backup-Strategien des Hosters anzuführen, sondern auch die eigenen Maßnahmen zum Schutz der Daten und zum Datentransfer zu dokumentieren.
Will der Beauftragte für den Datenschutz im Unternehmen ein Datensicherungskonzept erstellen, sollten sämtliche Firmensegmente miteinbezogen werden. In der Regel ist es empfehlenswert, eine Arbeitsgruppe zu bilden, um alle grundlegenden Fakten zusammenzutragen. Je nach Firmenstruktur und Datensicherungsstrategie könnten das zum Beispiel Personen mit folgenden Funktionen sein:
- Geschäftsführung
- IT und IT-Sicherheit
- Projektleitung
- Lieferanten (Hoster, Provider, etc.)
Befindet sich im Kreis der involvierten Personen kein Datenschutzbeauftragter, gilt: Es ist besonders wichtig, sicher zu gehen, dass Datenschutzrichtlinien und Compliance-Grundlagen beim Erstellen vom Datensicherungskonzept eingehalten werden.
Aufbau von einem Konzept zur Datensicherung
Der Aufbau vom Datensicherungskonzept orientiert sich in der Regel individuell an der Art und Weise, wie die Daten einer Firma verwaltet werden. Checklisten mit Maßnahmen zur Datensicherung sind als PDF im Internet zu finden. Im Zweifelsfall sollten Berater aus dem Bereich IT-Sicherheit hinzugezogen werden, wenn sich beim Datensicherungskonzept der Aufbau als zu komplex erweist.
Wichtige Fragen beim Erstellen vom Datensicherheitskonzept sind unter anderem:
- Welche Software und IT-Systeme sind involviert?
- Wer sind die zuständigen Mitarbeiter und welche Zugriffsrechte benötigen sie?
- Welche Art von Datensicherheitskonzept ist geeignet? (Vollspeicherung, inkrementell, differentiell)
- Welche Prozesse sind notwendig, um die Daten zu sichern?
- Innerhalb welcher Zeitintervalle soll das Backup erfolgen?
- Wie wird der Schutz des Backup-Systems gewährleistet?
Datensicherung bei TenMedia
Firmendaten sind ein wertvolles Gut. Für uns hat die Sicherheit von Kundendaten höchste Priorität. Bei der Entwicklung von Individualsoftware und SQL-Datenbanken für KMU und öffentliche Einrichtungen kommen wir als Digitalagentur fortwährend in Berührung mit sensiblen Daten. Daher richten wir uns bei all unseren Arbeitsabläufen strikt nach den Maßgaben der DSGVO und des BDSG.
TenMedia steht für Datensicherheit. Sämtliche Arbeitsabläufe von der Planung bis zur finalen Umsetzung unserer Projekte werden bei uns akribisch dokumentiert. Unsere Mitarbeiter werden fortlaufend in puncto IT-Sicherheit geschult. Unser internes Datensicherungskonzept umfasst Zugriffskontrollen, zeitgemäße Kryptografie-Techniken und moderne Backup-Strategien. Datendiebe haben bei uns keine Chance.
Für spannende Projekte im Bereich Softwareentwicklung, Relaunch oder Monitoring haben wir stets ein offenes Ohr. Nach einer ersten Kontaktaufnahme via Mail oder Telefon nehmen wir uns Zeit für eine kostenlose Erstberatung. Gerne heißen wir unsere Kunden auch persönlich willkommen in unserem Office am geschichtsträchtigen Rosa-Luxemburg-Platz, mitten im Herzen von Berlin.
