Am 31. März feierte der World Backup Day sein 10 Jubiläum. Der „Welt-Backup-Tag“ soll als Erinnerung für Konsumenten dienen, wichtige Dateien zu sichern. Mit der zunehmenden Digitalisierung liegen private Informationen wie beispielsweise die kompletten Familienfotos der zurückliegenden Jahre oft nur noch digital vor. Eine Datensicherung im privaten Umfeld ist wichtig, ein Verlust der Daten aber oft nur äußerst ärgerlich. Für Unternehmen kann ein lückenhaftes Backup-Konzept existenzbedrohend sein. In unserem Artikel erfahren Sie, was Unternehmen bei der Gestaltung Ihres Backup-Konzeptes beachten sollten.

1. Anforderungen an ein Backup-Konzept
2. Bestandsaufnahme als Grundlage für ein Backup-Konzept
3. Zuordnung von Parametern für das Backup-Konzept
4. Definition der Anforderungen für das Backup der Systeme mit folgenden Parametern
5. Zuordnung der idealen Backup-Methode pro System
6. Offline Backups als fester Bestandteil Ihres Backup-Konzeptes
7. Ausführliche Dokumentation des Backup-Konzeptes
8. Regelmäßige Backup-Tests zur Sicherstellung der Funktionstüchtigkeit
9. Fazit: Backup-Konzept als wichtiger Bestandteil der IT-Sicherheitsstrategie

Anforderungen an ein Backup-Konzept

Ein Backup-Konzept geht oft mit der Bezeichnung „Lebensversicherung der Organisationsdaten“ einher. Diese Aussage bewahrheitet sich regelmäßig, wenn einzelne besonders wichtige Daten oder komplette Datenbestände nicht mehr verfügbar sind. Beim Aufbau eines Backup-Konzeptes geht es eingangs um die Erhebung von Informationen und Anforderungen. Es ist in diesem Schritt nicht entscheidend, wie die genaue technische Umsetzung der Backups später aussehen wird und welche Sicherungstools zum Einsatz kommen. In dieser Phase werden Kriterien zusammengetragen, die den Rahmen der zukünftigen Backup-Strategie vorgeben.

Bestandsaufnahme als Grundlage für ein Backup-Konzept

Es sollte eine Übersicht erstellt werden, welche Informationen, Anwendungen und Systeme für das Unternehmen einen Wert darstellen und in das Backup-Konzept einfließen müssen. Letztlich geht es um alle Systeme, deren Informationen oder Funktionen für die Organisation unverzichtbar sind. Server, Netzwerkkomponenten, besonders wichtige Arbeitsplatz PCs, Produktionsanlagen, Nebensysteme wie Steuerungen von Klimaanlagen oder oft unbeachtet, die Webseite eines Unternehmens. Überlegen Sie auch, welche Systeme sich komplett ausgelagert in einem Rechenzentrum befinden. Beauftragte Backups für diese Cloudanwendungen befinden sich in den zugehörigen Vertragsunterlagen mit dem Rechenzentrumsbetreiber. Diese müssen zwingend in das Backup-Konzept einbezogen werden.

Zuordnung von Parametern für das Backup-Konzept

Werden diese Systeme in einer Tabelle gelistet, können in weiteren Spalten notwendige Parameter zugeordnet werden. Auf dieser Grundlage kann im nächsten Schritt die passende Backup-Methode ausgewählt werden. Das Wissen um diese Parameter findet sich ausschließlich in der jeweiligen Fachabteilung für die das System betrieben wird. Die IT kann hier nur beratend begleiten, aber die Zuordnung nicht selbstständig durchführen. Vergessen Sie nicht, wir befinden uns hier in der Konzeptphase. Verschwenden Sie keine Energie darauf, bereits hier das geeignete Sicherungstool zuzuordnen. Diese Belegung erfolgt im Nachgang.

Definieren Sie die Anforderungen für das Backup der Systeme mit folgenden Parametern

MTA

Die maximal tolerierbare Ausfallzeit bezeichnet die gesamte Zeitspanne, die für eine Wiederherstellung des Systems verkraftet werden kann, ohne gravierende Auswirkungen auf den Geschäftsbetrieb auszulösen. In der Praxis ist Unternehmen oftmals nicht bewusst, dass das Zeitfenster für die Wiederherstellung den zumutbaren Zeitrahmen sprengt.

MTD

Der minimal tolerierbare Datenverlust beschreibt, in welchem Rhythmus Backups erfolgen. Das Delta zwischen den Sicherungszyklen stellt den möglichen Datenverlust dar. Abhängig von der Wichtigkeit der zu sichernden Informationen, sollte ein für Sie geeignetes Zeitfenster gewählt werden.

Verantwortlichkeit

Ordnen Sie in einer Spalte den Fachverantwortlichen für das System zu. Idealerweise geben Sie auch einen Stellvertreter an, der Ihnen notwendige Informationen geben kann, wenn der Hauptansprechpartner nicht greifbar ist. Diese Angaben sind für die Ausgestaltung des Backup-Konzeptes und für eine mögliche spätere Notfallbewältigung wichtig.

Aufbewahrungsdauer der Backups

Für die jeweiligen Systeme ist zuzuordnen, wie lange das Backup gespeichert bleibt, also wie lange sie auf einen Sicherungsstand rückwirkend zurückgreifen möchten. In der Praxis ergibt sich aus diesem Wert beispielsweise die Chance, einen Datensicherungsstand vor einem nachgewiesenen unberechtigten Zugriff wiederherzustellen. Angreifer führen merkbare Manipulationen meist nicht direkt aus, sondern erforschen vorsichtig das Netzwerk. Diese Phase kann sich über Monate ausdehnen. Darüber hinaus werden damit mögliche Aufbewahrungs- bzw. Löschfristen abgedeckt.

Zuordnung der idealen Backup-Methode pro System

Auf Basis der eingetragenen Parameter wird zusammen mit der IT Abteilung ein Sicherungstool ausgesucht und zugeordnet, das für das jeweilige System geeignet und verhältnismäßig ist. Backups von eher unwichtigen Informationen wie beispielsweise Schulungsvideos, erfordern eine andere Strategie, wie beispielsweise die Datensicherung Ihres ERP Systems, bei dem bereits ein Datenverlust von einer Stunde einen hohen Schaden für die Organisation bedeuten könnte.

Statusmeldung der Backups

Nicht selten kommt es vor, dass Backups aus unterschiedlichsten – oft lapidaren – Gründen abbrechen. Der Backup-Prozess sollte deshalb eine Statusmeldung automatisiert an den verantwortlichen IT-Mitarbeiter ausgeben. Denken Sie auch hier wieder an eine Vertreterregelung.

Offline Backups sollten ein fester Bestandteil Ihres Backup-Konzeptes sein

Eine Backup-Strategie sollte sich auch damit auseinandersetzen, wann ein (zusätzliches) Offline Backup Sinn macht. Über diese Backup-Methode erreichen Sie eine physikalische Trennung zu Ihrem System und haben die Garantie, dass sich ein Schadsoftwareangriff nicht auf die komplette Datensicherung auswirken kann. Parallel ergibt sich ein Schutz vor elementaren Einflüssen wie Feuer oder Wasser, wenn externe Sicherungsmedien in einem anderen Brandabschnitt oder außer Haus gebracht werden.

Ein Offline Backup birgt aber auch ein weiteres Risiko. Eine Vielzahl sensibler Informationen verlassen die Unternehmensgrenzen, ein Verlust des Sicherungsmediums würde einen möglichen unberechtigten Zugriff durch Dritte bedeuten. Deshalb wird empfohlen, die Sicherungsdaten zu verschlüsseln und den Zugriff über ein Passwort abzusichern. Die gleiche Anforderung kann auf mobile interne Datensicherungsmedien wie NAS-Systeme übertragen werden, wenn diese außerhalb eines besonders zutrittsgeschützten Bereichs aufgestellt wurden.

Eine ausführliche Dokumentation Ihres Backup-Konzeptes ist essentiell

Welcher IT Mitarbeiter dokumentiert gerne? Und doch ist diese Phase Ihres Backup-Konzeptes genauso entscheidend, wie der passgenaue Backup-Vorgang an sich. Die Anleitung muss so gut sein, dass diese von einem fachkundigen Dritten nachvollziehbar umgesetzt werden kann. Dies bedeutet einen Ausfall des für das Backup zuständigen Mitarbeiters abzufangen. Gerade für kleinere Organisationen die nur einen IT Mitarbeiter beschäftigen oder deren Systeme von einem “1-Mann IT Unternehmen“ betreut werden, ist eine durchgängige Dokumentation elementar. Dies bedeutet keinesfalls, dass die Fachkunde in Frage gestellt wird. Nur würde ein Notfall in Kombination mit der Nichterreichbarkeit eines zentralen Wissensträgers, besonders hohe Herausforderungen auslösen.

Eine Dokumentation Ihres Backup-Konzept beschreibt mindestens:

• die Zuordnung und Kontaktdaten der verantwortlichen Mitarbeiter,
• das Betriebskonzept des Backup-Vorgangs,
• die Zuordnung der Systeme zur Sicherungsmethodik,
• den Backup-Intervall,
• die Bezugsquellen der verwendeten Backup-Software,
• den Ablageort notwendiger Benutzernamen und Kennwörter,
• und eine Beschreibung der regelmäßigen Rücksicherungstests.

Letztlich alle Informationen, die für eine erfolgreiche Wiederherstellung eines Backups entscheidend sind. Wurde die eingangs erwähnte Tabelle zum Backup-Konzept gewissenhaft ausgearbeitet, liegen Ihnen bereits die entscheidenden Informationen zur Erstellung der Dokumentation vor.

Änderungen an der aktiven Backup-Strategie müssen kurzfristig in der Dokumentation nachgezogen werden. Speichern Sie die Backup-Dokumentation nicht nur digital, sondern bewahren Sie diese parallel in Ihrer Notfalldokumentation in Papierform außerhalb Ihrer Organisation z. B. in einem Bankschließfach auf. Natürlich adressiert sich das Wissen um die Notfalldokumentation nicht nur an die IT Verantwortlichen, sondern im Besonderen an die Geschäftsleitung.

Regelmäßige Backup-Tests um die Funktionstüchtigkeit sicherzustellen

Über regelmäßige Rücksicherungstests wird der Nachweis über eine erfolgreiche Backup-Strategie eingeholt. Die Position der Backups in einem Notfallbewältigungsprozess setzt diesen zusätzlichen Überwachungsschritt voraus. Scheuen Sie sich nicht davor, auch komplette Umgebungen oder Datenbanksysteme aus dem Backup wiederherzustellen. Beziehen Sie dabei auch die Funktionalität vorhandener Offline Backup-Medien mit ein.

Erkannte Herausforderungen und deren Aufarbeitung helfen, das Backup-Konzept weiter zu verbessern und für den Krisenanwendungsfall vorzubereiten. Das Vertrauen in funktionierende Backups unterstützt eine kontrollierte Notfallbewältigung.

Führen Sie die Prüfungen entlang Ihrer Dokumentation durch. Unstimmigkeiten sind umgehend anzupassen und in der Notfalldokumentation zu aktualisieren. Eine Checkliste hilft dabei, keine Punkte im Rücksicherungstest zu übersehen. Zusätzlich erleichtert eine Checkliste die Einarbeitung neuer IT-Kollegen in diesen Prozess und unterstützt bei einer Urlaubsvertretung.

Backup-Konzept ist ein wichtiger Bestandteil Ihrer IT-Sicherheitsstrategie

In einer möglichen Krisensituation ist ein geeignetes und verhältnismäßiges Backup-Konzept mit Dokumentation ein elementarer Bestandteil der Vorfalls Bewältigung. Genau hier verdient ein funktionierendes Backup-Konzept die Bezeichnung „Lebensversicherung ihrer wichtigsten Organisationsdaten“.

Wir hoffen, dass wir Ihnen wertvolle Anregungen für Ihren Backup-Prozess geben konnten. Kommen Sie jeder Zeit auf uns zu, wenn wir Sie in der Strategieauswahl und technischen Umsetzung Ihrer Backups unterstützen dürfen.