Die schlimmsten Backup-Irrtümer

Backup-Konzepte basieren häufig auf groben Irrtümern, speziell in puncto Compliance. Dieser Beitrag nennt die sieben schlimmsten Fehler.
von Alexander Beyer (Rechtsanwalt in der Kanzlei Wragge & Co) und Wieland Alge (General Manager EMEA, Barracuda Networks)
Was muss ein Unternehmen in Deutschland tun, um seine Daten gesetzes- und richtlinienkonform zu sichern? Auf diese Frage gibt es einige Antworten. Der Staat macht vor allem aus Eigeninteresse Vorgaben, nämlich für die Archivierung steuerlich relevanter Daten und Dokumente. Ein Backup zur Wiederherstellung anderer Daten ist hingegen per Gesetz nicht vorgeschrieben. Doch Kreditgeber und Investoren wissen, dass Unternehmen, die ihre IT-Ressourcen durch technische Fehler, Unfälle oder Katastrophen verlieren, in ihrer Existenz bedroht sind.

Die entsprechenden Richtlinien sind als gängige Geschäftspraktiken auch juristisch relevant. Darüber hinaus gibt der Datenschutz Regeln vor, für deren Einhaltung die Geschäftsführung eines Unternehmens persönlich haftbar gemacht werden kann. Dieser Beitrag räumt mit den gängigsten Irrtümern in Sachen Compliance und Backup auf und erläutert die wichtigsten Leitlinien.

Die schlimmsten Backup-Irrtümer
Backup-Konzepte basieren häufig auf groben Irrtümern, speziell in puncto Compliance. Dieser Beitrag nennt die sieben schlimmsten Fehler.

Irrtum 1: Backup und Archivierung sind das Gleiche.
Backup und Archivierung dienen unterschiedlichen Zwecken: Ein Backup beugt dem Datenverlust vor, sorgt im Ernstfall für die schnelle Wiederherstellung eines Zustands von Daten und Applikationen zu einem definierten Zeitpunkt. Das Backup dient somit der Geschäftskontinuität. Die Archivierung stellt dagegen eine langfristige Speicherung von relevanten Geschäftsdokumenten sicher.

Irrtum 2: Backup ist freiwillig.
Betriebe, die ohne Backup-Konzepte agieren, leben gefährlich. Sie machen sich per se damit zwar nicht strafbar, weil die Datensicherungsspiegelung im deutschen Strafgesetzbuch nicht verankert ist. Daraus jedoch die Schlussfolgerung abzuleiten, dass ein Backup freiwillig sei und mit Compliance nichts zu tun habe, wäre fatal. Ein Unternehmen, das geschäftskritische Daten verliert, hat in der Regel schlechte Prognosen. Diesem Risiko sollte es sich daher nicht fahrlässig aussetzen.

Irrtum 3: Backup für persönliche Rechner ist verboten.
Jede Firma darf auch lokale Festplatten der Mitarbeiter-PCs und so genannte persönliche Laufwerke in die Datensicherung einbinden, wenn dort für den Arbeitgeber relevante Geschäftsdateien gespeichert werden. Wenn es sich um steuerlich relevante Dokumente handelt, ist es sogar die Pflicht des Unternehmens, auch die persönlichen Datenträger per Backup zu erfassen. Bereits seit 2002 haben die Finanzbehörden das Recht, auch auf lokale Festplatten zuzugreifen. Von diesen Regelungen sind jedoch Ordner ausgenommen, die deutlich als "privat" gekennzeichnet sind. Betriebe sollten also eine Richtlinie einführen, dass persönliche Dateien und Dokumente nur in einem entsprechend deutlich gekennzeichneten Verzeichnis gespeichert werden.

Irrtum 4: Gelöscht ist nicht gelöscht.
Das Backup speichert Systemzustände und damit Daten grundsätzlich nur für kurze Zeit. Je nach Backup-Konzept handelt es sich meist um einen Tag oder wenige Wochen, das ist jedem Geschäftsführer beziehungsweise verantwortlichem Unternehmer selbst überlassen. Die Faustregel beim Backup lautet: Was auf dem Quellsystem gelöscht wird, wird zeitnah auch im Backup gelöscht. Ausnahmen können bei Backup-Software und Backup-Appliances jedoch recht leicht konfiguriert werden.

Irrtum 5: Backup geht nur mit Tapes.
Würden Gesetze und sonstige Regelungen enge technische Vorgaben machen, würden sie in unseren Tagen schnell veralten. Backup-Tapes waren über Jahre das Standardmedium für Backups. Derzeit werden sie im Rahmen verschiedener Backup-Lösungen häufig durch eine Speicherung auf Festplatten in dedizierten Appliances abgelöst, ergänzt durch zusätzliche Spiegelungen in der Cloud. Ein wesentlicher technischer Vorteil ist die kürzere Backup-Zeit, weil die Appliance nach dem ersten Voll-Backup nur noch das "Delta", also den Unterschied zum vorangegangen Stadium, speichert.

Irrtum 6: Das Backup darf nicht in die Cloud.
Es kommt auf die Art der Daten an, um zu bestimmen, wo sie gespeichert werden dürfen. Grundsätzlich ist gegen die preislich attraktive Backup-Speicherung in der Cloud nichts einzuwenden. Allerdings ist bei einer Speicherung personenbezogener Backup-Daten vorgeschrieben, dass der Cloud-Betreiber die Informationen innerhalb der EU lagert. Die Einhaltung deutscher Gesetze und EU-Datenschutzrichtlinien muss zusätzlich vertraglich zwischen Auftraggeber und Auftragnehmer geregelt werden. Der Zugriff von nicht befugten Personen auf die Daten muss über Verschlüsselungen oder Zugriffssperren verhindert werden.

Irrtum 7: Backup-Outsourcing entbindet von der Haftung.
Wer einen Dienstleister mit dem Backup beauftragt, ist viele Sorgen los. Aber nicht alle. Anbieter mit einem Gesamtpaket aus Software, Hardware und Services sichern die Daten nicht nur, sondern prüfen auch ihre Vollständigkeit und Integrität. Auch in rechtlichen Belangen lässt sich viel an einen Dritten auslagern. Doch in welchem Umfang ein Dienstleister haftet, wenn durch ein mangelhaftes Backup ein Schaden entsteht, muss im Vertrag genau geregelt werden. Denn die übergeordnete Haftung liegt nach wie vor beim Geschäftsführer des Auftraggebers.

Irrtum 1: Backup und Archivierung sind das Gleiche

Backup und Archivierung dienen unterschiedlichen Zwecken: Ein Backup beugt dem Datenverlust vor, sorgt im Ernstfall für die schnelle Wiederherstellung eines Zustands von Daten und Applikationen zu einem definierten Zeitpunkt. Das Backup dient somit der Geschäftskontinuität. Die Archivierung stellt dagegen eine langfristige Speicherung von relevanten Geschäftsdokumenten sicher.

Damit entsprechen Unternehmen in erster Linie dem Zugriffsrecht von Steuerbehörden und anderen staatlichen Stellen, können gegebenenfalls aber auch ganz bestimmte Daten wiederherstellen, die am ursprünglichen Speicherort bereits gelöscht wurden. Technisch bedeutet dies, dass Firmen im Zuge der Archivierung alle dafür konfigurierten Dokumente und Daten auf lange Zeit, vollständig, kontrollierbar und manipulationssicher speichern.

Die Archivierung konzentriert sich meist auf ein System zur E-Mail-Archivierung. Neuere Backup-Appliances lassen sich so konfigurieren, dass sie geschäftskritische Daten dauerhaft archivieren, was für Jahresabschlüsse sowie andere Dokumente und Daten der Buchführung gesetzlich vorgeschrieben ist. Das heißt, technisch verschmelzen Backup und Archivierung an bestimmten Punkten. Die Kernfunktion von Backup-Tools ist es jedoch, aktuelle Kopien von Systemzuständen anzulegen. Zugespitzt und vereinfacht gesagt, dient die Archivierung der Compliance und das Backup dem gesunden Eigeninteresse von Unternehmen.

Die schlimmsten Backup-Irrtümer II

Irrtum 2: Backup ist freiwillig

Betriebe, die ohne Backup-Konzepte agieren, leben gefährlich. Sie machen sich per se damit zwar nicht strafbar, weil die Datensicherungsspiegelung im deutschen Strafgesetzbuch nicht verankert ist. Daraus jedoch die Schlussfolgerung abzuleiten, dass ein Backup freiwillig sei und mit Compliance nichts zu tun habe, wäre fatal. Ein Unternehmen, das geschäftskritische Daten verliert, hat in der Regel schlechte Prognosen. Diesem Risiko sollte es sich daher nicht fahrlässig aussetzen.

Zum Schutz von Kreditgebern und Investoren gibt es mittlerweile auch Richtlinien, die Unternehmen In puncto einer Implementierung von Backup-Funktionen in die Pflicht nehmen. Basel II legt eine verantwortungsvolle Informationstechnologie als Bonitätskriterium für ein Unternehmen fest. Darüber hinaus hat das Oberlandesgericht Hamm schon 2003 geurteilt, dass die Datensicherung eine Selbstverständlichkeit ist.

Prozesse zur Sicherung und Wiederherstellung von IT-Systemen sind somit keine freiwillige Leistung mehr. Und im Fall des Falles kann ein Datenverlust aufgrund fehlender Backup-Prozesse unangenehme Folgen für ein Unternehmen haben: Sie reichen von höheren Zinsen für Kredite über die Haftung im Schadensfall bis hin zu Regressansprüchen.

Irrtum 3: Backup für persönliche Rechner ist verboten

Jede Firma darf auch lokale Festplatten der Mitarbeiter-PCs und so genannte persönliche Laufwerke in die Datensicherung einbinden, wenn dort für den Arbeitgeber relevante Geschäftsdateien gespeichert werden. Wenn es sich um steuerlich relevante Dokumente handelt, ist es sogar die Pflicht des Unternehmens, auch die persönlichen Datenträger per Backup zu erfassen. Bereits seit 2002 haben die Finanzbehörden das Recht, auch auf lokale Festplatten zuzugreifen.

Von diesen Regelungen sind jedoch Ordner ausgenommen, die deutlich als "privat" gekennzeichnet sind. Betriebe sollten also eine Richtlinie einführen, dass persönliche Dateien und Dokumente nur in einem entsprechend deutlich gekennzeichneten Verzeichnis gespeichert werden. Dieses wird dann per Konfiguration von den Backup-Prozessen ausgenommen oder so gesichert, dass nur der Urheber auf die Daten zugreifen kann.

Doch selbst wenn private Ordner ausgenommen sind, schließt ein umfassendes Backup immer die Speicherung personenbezogener Daten ein, beispielsweise aus der Personalabteilung. Daher müssen weitere Vorschriften des Bundesdatenschutzgesetzes (BDSG) beachtet werden. Demnach sind Unternehmen verpflichtet, personenbezogene Daten zu löschen, wenn sie für den weiteren Geschäftsbetrieb nicht länger benötigt werden.

Des Weiteren muss der Zugriff von unbefugter Seite unterbunden werden. Werden die Daten als zusätzliche Sicherung beispielsweise einem Dienstleister übergeben, gilt dies aus juristischer Sicht als Datenverarbeitung im Auftrag, selbst wenn mit den Daten nichts passiert und niemand Zugriff darauf hat. Der Auftraggeber muss somit, neben Ausschöpfung aller technischen Möglichkeiten, durch vertragliche Regeln und Kontrollen die Einhaltung der Datenschutzauflagen sicherstellen.

Irrtum 4: Gelöscht ist nicht gelöscht

Das Backup speichert Systemzustände und damit Daten grundsätzlich nur für kurze Zeit. Je nach Backup-Konzept handelt es sich meist um einen Tag oder wenige Wochen, das ist jedem Geschäftsführer beziehungsweise verantwortlichem Unternehmer selbst überlassen. Die Faustregel beim Backup lautet: Was auf dem Quellsystem gelöscht wird, wird zeitnah auch im Backup gelöscht. Ausnahmen können bei Backup-Software und Backup-Appliances jedoch recht leicht konfiguriert werden. Dann dient die Backup-Infrastruktur gleichzeitig der Archivierung.

Neben Daten der Finanzbuchhaltung halten Unternehmen oft auch solche aus der Produktentwicklung sowie aus Kundendatenbanken länger vor. Sie wollen so auch für den Fall gewappnet sein, dass ein Datenverlust erst spät erkannt wird und die Daten, zum Beispiel während der Gewährleistungsfrist, noch von Unternehmen benötigt werden.

Die folgenden Grundregeln für eine Datensicherung mögen trivial erscheinen, aber überprüfen Sie doch mal Ihr Sicherungskonzept daraufhin ab, ob es diese einfachen Regeln wirklich und vollständig erfüllt:

Daten, die nicht (regelmäßig) gesichert werden, können Sie auch nicht wiederherstellen!

Backups, die nicht mindestens in einem Test erfolgreich wiederhergestellt wurden, verdienen den Namen „Backup“ nicht.

Backup-Lösungen und –Daten, für die niemand in der Firma direkt verantwortlich ist, sind definitiv schlechte bis unbrauchbare Sicherungen.

Sicherungen, die in Sie im gleichen Raum/Gebäude lagern, in dem sich auch Ihre restliche IT befindet, werden einen ernsten Zwischenfall wie Feuer, Überschwemmung und so weiter, sicher nicht überstehen.

Die schlimmsten Backup-Irrtümer III

Irrtum 5: Backup geht nur mit Tapes

Würden Gesetze und sonstige Regelungen enge technische Vorgaben machen, würden sie in unseren Tagen schnell veralten. Backup-Tapes waren über Jahre das Standardmedium für Backups. Derzeit werden sie im Rahmen verschiedener Backup-Lösungen häufig durch eine Speicherung auf Festplatten in dedizierten Appliances abgelöst, ergänzt durch zusätzliche Spiegelungen in der Cloud. Ein wesentlicher technischer Vorteil ist die kürzere Backup-Zeit, weil die Appliance nach dem ersten Voll-Backup nur noch das "Delta", also den Unterschied zum vorangegangen Stadium, speichert.

Der wichtigste Vorteil einer Kombination aus Appliance und Cloud unter Compliance-Aspekten besteht jedoch darin, dass jedes Backup-Image täglich oder auch öfter automatisch an entfernte Standorte gesendet werden kann. Eine so häufige Sicherung zur Vorbeugung für den Katastrophenfall hätte in der Zeit der Backup-Tapes eine ausgefeilte und teure Logistikkette erfordert. Obwohl das einzelne Tape im Vergleich zur einzelnen Festplatte als das robustere Speichermedium gilt, ist also die Wiederherstellungsfähigkeit und Geschäftskontinuität in verschiedenen Katastrophenszenarien heute besser mit der Kombinationslösung aus Appliance und Cloud zu gewährleisten.

Irrtum 6: Das Backup darf nicht in die Cloud

Es kommt auf die Art der Daten an, um zu bestimmen, wo sie gespeichert werden dürfen. Grundsätzlich ist gegen die preislich attraktive Backup-Speicherung in der Cloud nichts einzuwenden. Allerdings ist bei einer Speicherung personenbezogener Backup-Daten vorgeschrieben, dass der Cloud-Betreiber die Informationen innerhalb der EU lagert.

Die Einhaltung deutscher Gesetze und EU-Datenschutzrichtlinien muss zusätzlich vertraglich zwischen Auftraggeber und Auftragnehmer geregelt werden. Der Zugriff von nicht befugten Personen auf die Daten muss über Verschlüsselungen oder Zugriffssperren verhindert werden. Dazu gehört beispielsweise die technische Anforderung, dass Auditoren und Administratoren ihre Aufgaben erledigen können, ohne dabei gleichzeitig Zugriff auf die gespeicherten Daten zu haben.

Großunternehmen, die ohnehin eine Private Cloud betreiben, können auch diese eigenen Ressourcen für ihr Backup nutzen. Eine dritte Möglichkeit ist, aus einem Verbund von Appliances an verschiedenen Standorten eine in sich geschlossene Backup-Cloud aufzubauen. In jedem Fall gilt: Höchste Performance bei der Datenwiederherstellung bietet ein Backup in einer Appliance vor Ort, eine optimale Disaster Recovery gewährleisten zwei räumlich getrennte Kopien.

Irrtum 7: Backup-Outsourcing entbindet von der Haftung

Wer einen Dienstleister mit dem Backup beauftragt, ist viele Sorgen los. Aber nicht alle. Anbieter mit einem Gesamtpaket aus Software, Hardware und Services sichern die Daten nicht nur, sondern prüfen auch ihre Vollständigkeit und Integrität. Auch in rechtlichen Belangen lässt sich viel an einen Dritten auslagern. Doch in welchem Umfang ein Dienstleister haftet, wenn durch ein mangelhaftes Backup ein Schaden entsteht, muss im Vertrag genau geregelt werden.

Denn die übergeordnete Haftung liegt nach wie vor beim Geschäftsführer des Auftraggebers. Er steht in der Verantwortung, den Vertrag mit Dienstleistern so auszugestalten, dass die Daten manipulations- und zugriffssicher verwahrt werden. Oft werden hier wie auch in anderen Fällen grobe IT-Fehler gemacht. Der Auftraggeber sollte sich auch für den Fall absichern, dass er für Fehler des Dienstleisters, wie etwa Verstöße gegen das Datenschutzgesetz, rechtlich in Anspruch genommen wird. Die Folgen solcher Fehler sollte der Dienstleister tragen müssen.
(Computerwoche / rb)

Alles sicher(n) in der Cloud?
Eine Speicherung der eigenen Daten außerhalb des eigenen Büros beziehungsweise der eigenen Firma bietet Vor- und Nachteile:

Vorteile einer Sicherung in der Cloud
Eine Speicherung der eigenen Daten außerhalb des eigenen Büros beziehungsweise der eigenen Firma bietet eine Menge Vorteile:

Vorteil 1:
Bereitstellung und Betreuung von Speichersystemen und -Medien im eigenen Büro/Unternehmen entfallen in der Regel komplett.

Vorteil 2:
Grundsätzlich gibt es keine Beschränkung in Bezug auf den Speicherplatz: Wer mehr Platz für seine Daten braucht, erwirbt einfach zusätzlichen Speicherplatz von seinem Provider.

Vorteil 3:
Dadurch sind natürlich auch die Kosten besser kalkulierbar. Der Anwender zahlt nicht mehr für die Hardware, deren Betreuung und Betrieb. Er zahlt nur für den Speicherplatz und die damit verbundenen Dienste.

Vorteil 4:
Zudem hosten professionelle Anbieter ihre Storage-Angebote in Rechenzentren mit einer entsprechend hohen Sicherheit. Sie garantierten Backups und damit auch eine Wiederherstellung der Daten.

Nachteile einer Sicherung in der Cloud
Neben diesen offensichtlichen Vorteilen sollte man sich aber auch der Probleme bewusst sein, die beim Einsatz einer derartigen Lösung auftauchen können:

Nachteil 1:
Eine schnelle und stabile Anbindung an das Internet ist Pflicht - ohne sie ist eine solche Lösung nicht sinnvoll: In einer ländlichen Gegend sollte also zunächst einmal sichergestellt werden, dass eine entsprechende Internet-Verbindung überhaupt verfügbar ist.

Nachteil 2:
Ebenso wichtig ist ein vertrauenswürdiger Provider: Ein Anwender möchte gerne wissen, wer seine Daten wo (in Deutschland/ Europa oder gar auf einem anderen Kontinent?) speichert und sichert.

Nachteil 3:
Mindestens so wichtig: Die Kontinuität des gewählten Dienstes/Dienstleisters, denn niemand möchte jedes Jahr nach einem neuen Anbieter suchen, weil der gewählte Provider die Dienste vielleicht aus Rentabilitätsgründen einstellt.

Nachteil 4:
Die Sicherheit und hier speziell die Sicherheit der Übertragung: Im Idealfall stellt der Anbieter eine End-to-End-Verschlüsselung bereit und die Daten werden auf seinen Systemen nur verschlüsselt abgelegt, so dass selbst die Systemspezialisten des Providers diese Daten nicht einsehen können.