Gemäß der Datenschutz-Grundverordnung müssen angemessene technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst neben dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung auch den unbeabsichtigten Verlust. Die verantwortliche Stelle ist somit auf Basis der Rechenschaftspflicht dazu angehalten, eine entsprechende Dokumentation anzufertigen. Diese dient als Nachweis, dass die personenbezogenen Daten angemessen vor Verlust geschützt sind.
Die Notwendigkeit eines robusten Datensicherungskonzepts
Sei es ein Technik-Defekt, eine Ransomware-Attacke oder ein anderer Grund: Wenn die Daten nicht gesichert sind, kann dies zu einem großen Problem werden. „Kein Backup, kein Mitleid“ trifft den Nagel auf den Kopf: Ohne ausreichende Datensicherung ist ein Unternehmen anfällig für Datenverluste, die nicht nur kostspielig, sondern auch geschäftsschädigend sein können.
Aufgabe eines Datensicherungskonzepts
Ein Datensicherungskonzept hat die Aufgabe, nachvollziehbar zu dokumentieren, mit welchen Maßnahmen IT-Systeme und Daten vor versehentlichem Verlust geschützt werden und wie im Verlustfall eine schnelle Rekonstruktion der Daten ermöglicht werden kann.
Die Grundlagen eines erfolgreichen Datensicherungskonzepts:
- Regelmäßige Backups: Die Häufigkeit der Backups sollte sich nach der Wertigkeit der Daten und der Veränderungsrate von Informationen richten.
- Räumliche Trennung: Für maximale Sicherheit sollten die Backups an einem anderen Standort oder zumindest in einem anderen Brandabschnitt gespeichert werden. Dies schützt vor physischen Schäden durch Feuer oder Wasserschäden.
- Regelmäßige Überprüfung und Tests: Backups sollten regelmäßig getestet werden, um sicherzustellen, dass sie im Notfall schnell und zuverlässig wiederhergestellt werden können.
Inhalte eines Datensicherungskonzepts
Um diese Ziele zu erreichen, sollte das Datensicherungskonzept u. a. folgende Punkte berücksichtigen:
- Verantwortliche Personen
- Betroffene IT-Systemen: Server, Clients sowie gegebenenfalls mobile Geräte.
- Datenspeicherarten: Datenbanken, Files und ganze Festplatten.
- Betroffenen Daten und Datenarten, wie z. B. Personaldaten und Kundendaten.
- Art der Datensicherung: Vollsicherung, Inkrementell oder Differenziell.
- Häufigkeit der Sicherungen an (täglich, wöchentlich, jährlich). Bitte beachten Sie die Kombinationen aus Art und Häufigkeit.
Sicherheitsmaßnahmen auf dem Backup-Server
Auch bei Datensicherungen sollten entsprechende Sicherheitsmaßnahmen ergriffen werden, wie z. B.
- Räumlichkeiten (Zugang, Gefahr von Brand- und Wasserschäden)
- Hardware Monitoring (Speicherkapazität, Temperatur, allgemein Zustand, Benachrichtigung über fehlgeschlagene Backups)
- Zutritts- und Zugangsberechtigungen
- Verschlüsselung der Datenträger des Backup-Servers
- Test der Wiederherstellung (Teil eines Notfallkonzepts)
Backup als Teil der Compliance
Ein Datensicherungskonzept ist nicht nur eine Vorsichtsmaßnahme, sondern vielmehr ein integraler Bestandteil eines Informationssicherheits-Managementsystems (ISMS). Die ISO 27001 oder die Datenschutz-Grundverordnung (DSGVO) fordern einen strukturierten Ansatz zur Datensicherung, um Ihre Unternehmensdaten verlässlich und sicher zu verwalten.
