Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

11 Tipps zum Thema Datensicherung für KMUs

(Stand: März 2005)

Detaillierte Tipps zur Datensicherung für Privatleute gibt es übrigens auch auf meiner Website. Weiterführende Informationen zum Thema Business Continuity und Desaster Recovery natürlich auch.

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

Zielsetzung der Datensicherung

  • Wiederherstellung von Daten nach Hardwareausfall (z.B. Headcrash)
  • Wiederherstellung von Daten nach Eintritt eines Katastrophen-Falls (Desaster Recovery)
  • Wiederherstellen von Daten nach logischen Fehlern (Verlust oder Beschädigung der Daten, auch wenn der Schaden nicht sofort entdeckt wird)
  • Wiederherstellen von Daten nach mutwilligem Löschen (Sabotage. z.B. aus Rache)
  • Wiederherstellen von Daten nach Virus-/Wurm-Infektion
  • Wiederherstellen von Daten, die regulär gelöscht wurden, aber aus anderen Gründen doch wieder benötigt werden (z.B. juristische Beweisführung im Falle von Protokolldaten über Zugriffe)
  • Erfüllung der Aufbewahrungspflicht gemäß BAO (§132).

 

1. Datenklassen und Dateitypen

Frage:
Um die Daten sichern zu können, müssen sie wissen, wo die verschiedenen Typen von Daten gespeichert werden. Haben Sie einen präzisen Überblick darüber, welche Daten wo gespeichert sind, und werden alle, z.B. auch die Daten Ihrer Office-Anwendung ausreichend gesichert?

Bitte beachten Sie, dass „Eigene Dateien“ am Dateiserver liegen müssen, wenn diese Dateien in die Sicherungsroutinen dieses Servers eingebunden werden sollen. Vergessen Sie nicht, auch Ihre E-Mail Daten und Archive auf den Dateiserver zu legen, sonst sind irgendwann alle E-Mails weg.

Falls nicht alle Magnetplatten gesichert werden: Wissen ihre Mitarbeiter, was nicht automatisch gesichert wird, so dass sie selbst Vorkehrungen treffen können?

Hier gibt es detaillierte Tipps pro Datenklasse.

 

2. Auslagerungsstrategie der Datensicherung

Frage:
Haben sie eine sinnvolle Auslagerungsstrategie für ihre Datensicherungsmedien, um zu verhindern, dass bei einem Vorfall im Serverraum auch die Sicherungen vernichtet werden?

Manche Firmen sichern täglich auf das selbe Band, bis die Magnetschicht ganz runtergeschabt ist. Wechseln sie die Magnetbänder täglich aus, verwenden sie für jeden Wochentag ein separates Band, so dass sie notfalls mehrere Kopien haben (Rotationsprinzip). Lagern sie zumindest eines der Bänder pro Woche an einem anderen Ort.

  • Sicherungsmedien müssen weit genug weg und sicher gelagert werden, aber im Bedarfsfall schnell genug zugreifbar sein.
  • Schneller Zugriff auf diese Medien im Bedarfsfall
  • Sicherheit der Lagerung am Auslagerungsort(e)
  • Evt. Transport der Sicherungsdaten über eine Internetanbindung

 

3. Änderungsmuster und Zeitabläufe für Datenänderungen

Frage:
Haben Sie berücksichtigt, wie schnell sich die jeweiligen Daten verändern, d.h. ob eine Sicherung einmal pro Tag ausreicht, andererseits sich selten ändernde Daten nur bei Bedarf gesichert werden?

Was sich schnell verändert, muss evt. öfter als täglich gesichert werden, die Frage ist, wie viele Änderungen sie leicht „per Hand“ nachfahren können, falls sie von einer alten Sicherung wiederaufsetzen müssten. Was sich nicht ändert, braucht auch nicht täglich gesichert zu werden (z.B. Programm- und Systemdateien). Dadurch kann die tägliche Datensicherung erheblich verkürzt werden. (Achtung wenn sie Konfigurationsdateien ändern, diese liegen oft in Programm-Verzeichnissen)

 

4. Tägliche Kontrolle der Sicherungsläufe

Frage:
Prüfen sie täglich, ob die Sicherung der letzten Nacht ordnungsgemäß durchgelaufen ist?

Sie wären nicht das erste Unternehmen, das genau dann wenn die Sicherungsbänder benötigt werden, feststellt, dass seit Wochen die Sicherung jedesmal hängengeblieben ist, dass das eingelegte Band das Reinigungsband, statt eines korrekten Magnetbandes ist, und ähnliche Peinlichkeiten. Meist kann die Sicherungssoftware am Ende ein Protokoll auch per E-Mail verschicken, schauen sie jeden Morgen dieses E-Mail durch. Achten sie auf Fehlermeldungen, wie z.B. dass Dateien nicht gesichert wurden, weil sie "offen" waren. Für manche Dateien ist das normal, für die meisten Dateien ist es das nicht. Wenn diese Datei am nächsten Tag wieder nicht gesichert wurde, so liegt vermutlich ein Fehler vor, dem sie nachgehen müssen.

 

5. Beachtung gesetzlicher Aufbewahrungs- und Löschungspflichten?

Frage:
Kennen sie die Aufbewahrungsfristen und die Löschungsverpflichtungen, die für ihren Berufszweig und ihre Arten von Daten relevant sind und können sie diese einhalten? Ist der Datenschutz gewährleistet?

Stellen Sie sicher, dass die Daten innerhalb dieser Fristen weiterhin verfügbar bleiben und berücksichtigen Sie die Haltbarkeit der verwendeten Medien sowie die Verfügbarkeit der verwendeten Programme. Stellen sie auch sicher, dass der Zugriffsschutz, der sich z.B. aus dem Datenschutzgesetz ergibt, auch für die Datensicherungsmedien eingehalten wird (z.B. sicheres Wegschließen der Sicherungsmedien)

 

6. Unterscheidung zwischen Archivierung und Backup (Datensicherung)

Frage:
Nutzen sie die Vorteile einer separaten Archivierung, sichern sie ihre Archivdaten jährlich auf sichere Speichermedien und bewahren diese an 2 sicheren Orten auf?

Um die Archivierungsauflagen zu erfüllen, verbleiben oft die alten Daten weitherhin auf den produktiven Festplatten. Dies ist nicht immer optimal, denn diese Daten sind oft statisch und brauchen nicht ständig gesichert zu werden. Im Schreibzugriff ist die Gefahr einer unbeabsichtigten Veränderung viel größer als bei sicherer Aufbewahrung.

 

7. Ausbildung, Schulung, Verantwortung

Frage:
Gibt es klare Anweisungen zur Durchführung von Datensicherungen und sind Ihre Mitarbeiter entsprechend geschult?

Ohne Vorgaben und geeignetes Fachwissen ist eine Datensicherung nicht sichergestellt.

 

8. Technologie der Datenspeicherung und Redundanz

Frage:
Haben Sie sowohl hochverfügbare Systeme als auch Datensicherung eingesetzt? Wissen Sie, dass RAID keine Datensicherung ersetzt? Haben Sie Katastrophenschutz berücksichtigt?

Wenn aus Gründen der Hochverfügbarkeit RAID-Platten oder Plattenspiegelung eingesetzt wird, so ersetzt dies nicht eine regelmäßige Datensicherung. Es kann passieren, dass bei einem logischen Fehler (im Programm oder durch den Anwender) die redundaten Daten gleichzeitig gelöscht werden. D.h. eine Datensicherung wird IMMER benötigt.

 

9. Wahl des Archivierungssystems und des Backup-Systems, sowie der Sicherungsmedien

Frage:
Verwenden Sie ein Backup- und/oder Archivierungssystem, mit dem ihre Daten gesichert und archiviert? Genügen die verwendeten Sicherungsmedien den Anforderungen bezüglich Langzeithaltbarkeit (gesetzlich und betrieblich)?

Datenbänder müssen höchsten Anforderungen auf Datensicherheit und Langzeitstabilität erfüllen und nutzen sich ab. Beachten Sie die Herstellerhinweise. Auch CD und DVD lassen sich zur Archivierung und Datensicherung einsetzen.

 

10. Sicherung von Programmen und Daten in definierten Abläufen und Sicherungsstrategien

Frage:
Wissen Sie, wie Sie Ihre Daten zeitsparend sichern und rückladen können?

Wissen Sie, dass Datenbanken spezielle Programme (bzw. Überlegungen) benötigen, um korrekt gesichert werden zu können?

Bei Sicherungsplänen werden unterschiedliche Methoden zur effizienten Nutzung von Zeit und Speichermedien eingesetzt. Datensicherungen werden eingeteilt in differenzielle, inkrementelle und vollständige Datensicherung.

 

  • Eine vollständige Datensicherung bezeichnet die Sicherung aller Daten unabhängig vom Datum ihrer letzten Sicherung.
    Vorteil: Einfaches Zurückladen, größerer Zeit- und Platzbedarf
  • Bei der inkrementellen Datensicherung werden nur die Daten gesichert, die sich seit der letzten Datensicherung (meist dem letzten inkrementellen Backup) verändert haben.
    Vorteil: Geringster Platz- und Zeitbedarf.
    Nachteil: Mühsames Zurückladen falls seit der letzten Vollsicherung viele inkrementelle Sicherungen ausgeführt worden waren, denn bei einer inkrementellen Sicherung müssen alle inkrementellen Sicherungen seit der letzten Vollsicherung plus die Vollsicherung geladen werden
  • Bei einem differenziellen Backup werden die seit dem letzten vollständigen Backup geänderten Daten vollständig gespeichert.
    Vorteil der differentiellen Sicherung ist die schnelle Wiederherstellung, da nur die letzte volle Sicherung plus die letzte differentielle Sicherung geladen werden müssen.
    Nachteil der differentiellen Methode ist der erhöhte Platzbedarf gegenüber der inkrementellen.

Offene Dateien können von „normalen“ Sicherungsprogrammen nicht gesichert werden. Dies betrifft besonders die Datenbanken, die in vielen Fällen IMMER geöffnet sind.

  • erste Lösung: warten bis die Datenbank nicht mehr benötigt wird, Datenbank „herunterfahren“, dann sichern
  • zweite Lösung, spezielles Sicherungsprogramm für diese Datenbank kaufen

 

11. Rücksicherung von kompletten Datensicherungen und Teil-Daten? Testen der Wiederherstellung

Frage:
Führen Sie regelmäßige Daten-Rücksicherungstests durch? Testen Sie dabei ALLE Systeme? Ist es gelungen, ein komplettes System auf neuer Hardware wiederherzustellen?

Eine Wiederherstellung muss innerhalb eines festgelegten Zeitraums durchgeführt werden können. Hierzu muss die Vorgehensweise ausreichend dokumentiert und getestet worden sein. Die für diese Tests benötigten zusätzlichen Systeme können im Normalbetrieb zum Testen von Systempatches und im Katastrophenfall als Ersatzhardware dienen. Diese Tests sollten mindestens jährlich durchgeführt werden.

Der Text wurde erarbeitet mit viel Hilfe und Feedback der Expertengruppe für Informationssicherheit der WKÖ, in der ich mitarbeite.

 

 

 

Hier eine köstliche Anleitung zur Datensicherung: Das Tao der Datensicherung (engl.) "Der Novize kommt zum Zenmaster und fragt nach dem "Tao des Backups" (der Weg der Datensicherung). Der Meister sagt: "Um erleuchtet zu werden, musst du die 7 Köpfe der Datensicherung meistern. Nur wer diese 7 Köpfe kennt, der behält seine Daten auf ewig". Und dann werden die 7 Köpfe erklärt, köstlich und soooo war.

 



Philipp Schaumann, http://sicherheitskultur.at/

Home