02. August 2017
Gastbeitrag aus dem ersten „fIT“-Magazin für wissensbasierte Dienstleister der UBIT der WKO:
Fühlen sich Ihre Kundinnen und Kunden in Sachen IT und Daten nur sicher – oder sind sie es wirklich? Der Check der IT-Security Experts Group des Fachverbandes Unternehmensberatung, Buchhaltung und IT der Wirtschaftskammer Österreich hilft Ihnen, die Sensibilität Ihrer Kunden für IT und Datensicherheit zu erhöhen.
Haben Sie einen präzisen Überblick darüber, welche Daten wo gespeichert sind? Werden auch die Daten Ihrer „Office-Anwendung“ ausreichend gesichert?
Unterschiedliche Datenklassen erfordern unterschiedliche Strategien: Wichtige Daten sollen häufiger gesichert werden als weniger wichtige. Unternehmensbezogene Daten sollten idealerweise auf einem zentralen Dateiserver liegen. Backup-Konzepte sind jedenfalls so aufzubauen, dass Sicherungsroutinen alle relevanten Daten umfassen und klar definiert wird, was, wann, wo, wie lange und durch wen gesichert wird. Abgetrennte Zugriffe auf Backup-Systeme verhindern, dass diese Speicherorte jederzeit erreichbar sind und damit bei einem Befall von Crypto-Trojanern ebenso verschlüsselt werden können.
Gibt es eine Auslagerungsstrategie für die Datensicherung, damit bei einem Vorfall im Serverraum nicht auch die Sicherungen vernichtet werden?
Die Sicherungsmedien müssen ausreichend weit entfernt voneinander aufbewahrt werden – aber im Bedarfsfall schnell genug greifbar sein. Bei der Aufbewahrung ist der physische Schutz der Medien wichtig. Themen sind Naturkatastrophen (z. B. Hochwasser), Diebstahl oder unberechtigter Zugriff. Die Verschlüsselung von Datensicherungsmedien ist auch bei Entsorgung und Austausch der Medien wichtig.
Haben Sie berücksichtigt, wie schnell sich die jeweiligen Daten verändern?
Manche Daten müssen häufiger gesichert werden als andere. Was sich öfters ändert, muss häufiger gesichert werden. Ein regelmäßiges und kritisches Hinterfragen der eingesetzten Sicherungsstrategie und Sicherungslösung sollte zumindest jährlich erfolgen. Wichtig ist, dass Sicherungsstrategie und Sicherungslösung mit den sich ständig veränderten Businessanforderungen Hand in Hand gehen.
Kennen Sie die Aufbewahrungsfristen und die Löschungsverpflichtungen?
Wissen Sie, wie Sie diese Fristen und Pflichten einhalten? Eine Datensicherung ersetzt nicht die Archivierung der Daten – und umgekehrt.
Nutzen Sie die Vorteile einer separaten Archivierung?
Eine elektronische Archivlösung ist besser als die herkömmliche Archivierung in Papierform. Die elektronische Archivlösung kann auch Betriebskosten reduzieren. Auch die Daten im Archiv müssen gesichert werden.
Gibt es klare Anweisungen zur Durchführung von Datensicherungen, und sind die Mitarbeiterinnen und Mitarbeiter entsprechend geschult?
Mitarbeiterinnen und Mitarbeiter sollten für eine erfolgreiche Datensicherung klare Vorgaben bezüglich Zuständigkeiten haben und über den Umgang mit Daten und deren Speicherorte ausreichend informiert sein.
Wissen Sie, dass hochverfügbare Systeme und RAID keine Datensicherung(en) ersetzen?
Ein Datenarchiv, eine Plattenspiegelung oder parallel betriebene Datenbanken ersetzen nicht eine regel mäßige Datensicherung. Der Grund: Durch den Abgleich mehrerer Platten werden auch potenzielle Fehler abgeglichen. Ebenso werden Anwenderfehler und logische Fehler nicht berücksichtigt.
Entsprechen die für Backup und Archivierung verwendeten Systeme allen Anforderungen Ihres Unternehmens?
Die Software für Backup und Archivierung muss die notwendige Funktionalität aufweisen (z. B. Zeitsteuerung, Verifikation, Logging, Fehlerhinweise). Die Hardware muss zu den Bedürfnissen des Unternehmens passen (u.a. Speichertyp, Kapazität, Verfügbarkeit). Die Medien (SAN, NAS, Wechseldatenplatte, DAT Bandkassette) müssen den Anforderungen im Hinblick auf Datensicherheit und Langzeitstabilität entsprechen und regelmäßig erneuert werden. Ebenso gibt es Möglichkeiten, die Datensicherung auszulagern (z. B. Cloud). Bei der Auslagerung an externe Provider gilt es, rechtliche Aspekte und SecurityThemen wie die Verschlüsselung der Backup-Daten und Speicherorte der Backups (Empfehlung: in Österreich) zu berücksichtigen.
Wissen Sie, wie Sie Ihre Daten zeitsparend sichern und rücksichern können?
Es gibt vollständige, differenzielle und inkrementelle Datensicherungen. Sicherungspläne wenden einen Mix der Methoden zur effizienten Nutzung von Zeit und Speichermedien an.
Bewährt hat sich ein Backup-Konzept über mehrere Generationen, wobei die Backup-Daten zyklisch überschrieben werden. Das Generationenprinzip, auch Großvater-Vater-Sohn-Prinzip genannt, stellt sicher, dass immer mehrere Sicherungen in verschiedenen zeitlichen Abstufungen (Großvater, Vater, Sohn) vorhanden sind. So hat man unterschiedliche Versionen für eine mögliche Wiederherstellung der Daten zur Verfügung.
Wann haben Sie zuletzt eine komplette Datenrücksicherung durchgeführt? Ist es gelungen, ein komplettes System von null weg auf neuer Hardware wieder herzustellen?
Kundinnen und Kunden sollten bedenken: im Desasterfall verlieren sie eventuell auch die bestehende Hardware (z. B. bei Brand). Rücksicherungstests sollten auf getrennten Systemen – eigener physischer oder virtualisierter Hardware – erfolgen. Dislozierte physische Hardware bietet den Vorteil, dass im Katastrophenfall eine eigene Ersatzhardware bereitsteht. Die Virtualisierung von Testsystemen ist in jedem Fall zu empfehlen, da eine Rücksicherung auf einen vorherigen Snapshot die Situation vereinfacht. Eine Wiederherstellung muss innerhalb eines festgelegten Zeitraums durchgeführt werden können. Die rückgesicherten Daten sind auf Richtigkeit zu kontrollieren. Die Vorgehensweise ist ausreichend zu dokumentieren. Dies kann auch schon einen Mehrwert bei der regelmäßigen Finanz/Wirtschaftsprüfung darstellen.
Wie lassen sich Geschäftsdaten sichern, die auf mobilen Geräten verteilt sind?
Ein Backup in der Cloud ist von jedem mobilen Gerät aus jederzeit und von jedem Ort durchführbar. Voraussetzung ist lediglich ein Internetzugang. Unternehmen müssen dafür keine neue Infrastruktur anschaffen. Hohe Investitionskosten und Wartung entfallen komplett. Wichtig ist, dass das Rechenzentrum den österreichischen Datenschutzgesetzen entspricht. Bei der Wahl des Providers sollte darauf geachtet werden, dass die Daten durch Verschlüsselung geschützt und klassifiziert sind. Achten Sie auch auf Zertifizierungen (z. B. ISO 27001) und Standort des Rechenzentrums (idealerweise in Österreich). Besonders für kleine und mittelständische Unternehmen ist es sinnvoll, ihre Backup-Strategie durch eine in Österreich gehostete Cloud-Lösung zu ergänzen. Mitarbeiterinnen und Mitarbeiter sollten über den Umgang mit Daten und deren Speicherorte ausreichend geschult sein.