Erfolgreiche Unternehmen verschaffen sich einen Wettbewerbsvorteil, indem sie ihre umfangreichen IT-Infrastrukturen schnell und konsequent an neue Gegebenheiten anpassen. Doch strategisch immer einen Schritt voraus zu sein, gelingt selten ohne die Unterstützung erfahrener Experten.
Fehlendes Fachwissen und die falsche Einschätzung der Gefahren einer unzureichenden Datensicherung können dazu führen, dass Daten verloren gehen und der Betrieb stillsteht. In der Folge büßen Sie nicht nur bares Geld ein, sondern müssen einen Imageschaden, Lieferengpässe, rechtliche Konsequenzen, Bußgelder oder Erpressungsversuche durch Kriminelle fürchten.
Die Lösung: ein ganzheitliches Datensicherungskonzept, zugeschnitten auf Ihre einzigartigen Bedürfnisse. Doch was versteht man darunter, welche Bestandteile weist die Strategie auf und warum lohnt es sich, auf einen professionellen Partner zu setzen?
Die drei größten Gefahren für Daten im Unternehmen
Das Datenvolumen steigt stetig. Mit Bezug auf die Studie der International Data Corporation prognostizierte das Institut der Deutschen Wirtschaft (IDW) bereits im Jahr 2018 einen enormen Zuwachs der Datenmenge. Bis zum Jahr 2025 soll diese laut Prognose weltweit auf 175 Zettabyte ansteigen.
Das Bewusstsein für drohende Gefahren bei einem so rasanten Wachstum steigt jedoch nicht synchron. Gleichzeitig können geringe Personalressourcen und eine fehlende Hard- und Software dazu führen, dass ein Betrieb seine Daten unzureichend schützt. Dies trifft häufig auf Selbstständige, kleine Unternehmen und mittelständische Unternehmen zu.
Doch welche konkreten Gefahren bestehen für Firmen? Grundsätzlich sind viele verschiedene Risikofaktoren zu nennen, die ohne Backup-Lösung zu einem verheerenden Datenverlust führen können.
Dabei werden die folgenden drei Hauptgefahrenquellen unterschieden:
- Der Mensch: Fehler sind menschlich und kein Unternehmen ist frei von dem Risiko des menschlichen Fehlverhaltens. So können Mitarbeiter beispielsweise eine verdächtige E-Mail öffnen und auf diese Weise unwissentlich eine Schad-Software installieren. Da die Cyberkriminalität durch die Digitalisierung enorm zugenommen hat, ist es ratsam, regelmäßig Schulungen im Bereich Security Awareness anzubieten.
- Technische Probleme: Ein Stromausfall stört nicht nur den Betriebsablauf, sondern kann dazu führen, dass wichtige Daten verlorengehen. Auch defekte Festplatten und weitere technische Komplikationen schwächen die IT-Resilienz in einem Unternehmen. Eine Lösungsmöglichkeit besteht in der Einführung redundanter Systeme. Auch eine automatische Erkennung technischer Störungen ist sinnvoll.
- Unvorhersehbare, unabwendbare Ereignisse: Ein Feuer in der Arbeitsstätte gefährdet unter anderem wichtige Daten. Aber auch Naturkatastrophen wie ein Erdbeben oder Hochwasser stellen eine Gefahr dar. Befinden sich die redundanten Systeme am Ort des Geschehens, fallen auch diese unter Umständen aus. Stattdessen ist anzuraten, die Systeme an verschiedenen Orten zu platzieren.
Was versteht man unter einem Datensicherheitskonzept?
Ein Datensicherungskonzept umfasst die konkrete Handlungsweise in Bezug auf die Datensicherung. Bestandteil sind sowohl technische als auch organisatorische Schutzmaßnahmen, um die IT-Systeme und die Unternehmensdaten zu sichern. Zudem werden Richtlinien festgelegt, die die Datensicherung und -wiederherstellung im Ernstfall betreffen.
Ein IT-Dienstleister erstellt das Datensicherungskonzept auf Basis einer Analyse der IT-Infrastruktur des jeweiligen Unternehmens. Hier gilt: Dienstleister sollten stets den individuellen Bedarf bestimmen. Ein Datensicherungskonzept wird also speziell auf ein Unternehmen zugeschnitten.
Dabei kann sich eine ganzheitliche Datensicherung durch externe Dienstleister auch für Firmen lohnen, die seit Jahren eine regelmäßige Datensicherung durchführen. Denn häufig werden automatisierte Backups verwendet, die seit ihrer Einführung nicht mehr überprüft werden. Eine ausreichende Sicherung der Daten ist so nicht gegeben.
Warum ist ein Datensicherungskonzept für Unternehmen zwingend notwendig?
Schwerwiegende Defekte an den Festplatten durch mechanische Schäden, Feuchtigkeitseinfluss oder Brände, ein gekündigter Mitarbeiter, der Daten vorsätzlich löscht, oder Manipulation wie Verschlüsselungstrojaner: Sie alle können dazu führen, dass wichtige Daten verlorengehen. Aber auch ein Einbruch oder Naturkatastrophen wie Hochwasser und Erdbeben können dazu führen, dass Daten abhandenkommen oder sogar das gesamte IT-System eines Unternehmens ausfällt.
Eine professionelle Datensicherung ist für Unternehmen deshalb nicht nur empfehlenswert, sondern ein Muss. Obendrein kann der unwiderrufliche Verlust von Unternehmens- und Kundendaten nicht nur dem Image schaden, sondern auch juristische Konsequenzen nach sich ziehen. Denn die Geschäftsführung haftet laut Gesetz für die Sicherung der Unternehmensdaten. Bei vorsätzlichem oder fahrlässigem Handeln können Strafen bis zu 300.000 Euro verhängt werden.
Fest steht: Je länger der Betriebsablauf gestört wird, desto höher fallen die Umsatzeinbußen aus. Die Lösung bildet ein funktionierendes und ganzheitliches Datensicherungskonzept, das komplex ausfällt und alle Eventualitäten berücksichtigt.
Risiken einer Backup-Strategie ohne Datensicherungskonzept
Insbesondere Unternehmen des Mittelstands zählen auf eine Backup-Strategie, verzichten jedoch auf ein ganzheitliches Datensicherungskonzept. Dabei ermöglicht ein Backup, beispielsweise ein Cloud-Backup (Datensicherung in der Cloud), im Ernstfall zwar eine Wiederherstellung der Daten in Folge eines Datenverlusts, bietet jedoch keine Möglichkeit zur langfristigen Archivierung. Die gesetzlichen Vorgaben zur Aufbewahrung können so nicht eingehalten werden.
Mögliche Konsequenzen:
- Datenverluste
- Fehlerhafte Umsetzungen
- Hohe Kosten
- Bußgelder
- Rechtskosten
- Schadensersatzzahlungen
Gesetzliche Grundlage
Die Verwahrung von Unternehmensdaten wird durch diverse Gesetze und Richtlinien geregelt. Die Pflicht zur Dokumentation kann dabei ausschließlich auf der Basis eines schriftlichen Datensicherungskonzepts erfolgen. Der Vorteil: Befindet sich das Unternehmen in Beweisnot, können Mitarbeiter auf archivierte Daten zurückgreifen und diese als Beweisstücke vorlegen.
Beispiele für Gesetze und Richtlinien sind folgende:
- GmbHG: GmbH-Gesetz
- BDSG: Bundesdatenschutzgesetz
- EU-DSGVO: Datenschutz-Grundverordnung der Europäischen Union
- KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
- GDPdU: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
- Basel II: Kreditvergaberichtlinie
- Sarbanes-Oxley-Act: US-Gesetz zur Verbesserung der Unternehmensberichterstattung
Was ist Aufgabe und Ziel des Datensicherungskonzepts?
Daten schützen und im Falle eines Verlustes schnellstmöglich wiederherstellen: Neben den allgemeinen Sicherheitsanforderungen entsprechen Datensicherungskonzepte auch den individuellen Bedürfnissen eines Unternehmens. Die Aufgaben und Ziele eines jeden Konzepts fallen damit vielfältig aus.
Grundsätzlich gilt: Ein professionelles Datensicherungskonzept umfasst alle Schutzmaßnahmen, die unternehmensspezifische Daten bewahren. Darüber hinaus enthält das Konzept Handlungsvorgaben für die Wiederherstellung der Daten sowie eine Liste mit allen verantwortlichen Mitarbeitern und ihren Aufgabenbereichen. Auf diese Weise wird sichergestellt, dass alle Zuständigen im Ernstfall strukturiert und schnell vorgehen.
Die Aufgabe des Datensicherungskonzepts ist die Einhaltung der gesetzlichen Bestimmungen, wie der Datenschutzbestimmungen. Gleichzeitig dient der Plan der lückenlosen Dokumentation.
Das passende Backup-Konzept für das Unternehmen entwickeln
Ein Konzept zur Datensicherung zeichnet sich durch Komplexität aus. Ein professioneller IT-Dienstleister beurteilt die IST-Situation eines Unternehmens und ermittelt den individuellen Bedarf.
Aus diesem Grund gilt: Konzepte zur Datensicherung basieren zwar auf allgemeingültigen Bestandteilen. Letztendlich handelt es sich bei einem ganzheitlichen, funktionierenden Maßnahmenplan jedoch immer um eine einzigartige Lösung.
Im Vordergrund steht die Gewährleistung eines reibungslosen Betriebsgeschehens, indem technische Vorkehrungen getroffen und administrative Rollen vergeben werden. Pauschale Aussagen wie “Die Datensicherung wird einmal pro Tag durchgeführt” sind aufgrund der Vielschichtigkeit und Individualität des Unterfangens nicht aussagekräftig.
Allerdings lässt sich in Bezug auf die Sicherheit des Gesamtdatenbestandes klar festhalten: Es sollte regelmäßig überprüft werden, ob eine umfassende Datenwiederherstellung nach einem Verlust realisierbar ist.
Zudem steht im Fokus, dass sich die Kosten für die Datensicherung in einem vertretbaren Rahmen bewegen.
Informationssicherheitsbeauftragten (ISB) benennen
Der Geschäftsführer haftet für die Einhaltung der gesetzlichen Bestimmungen hinsichtlich des Datenschutzes. Das bedeutet jedoch keinesfalls, dass dieser die Erstellung eines Datensicherungskonzeptes allein umsetzt. Stattdessen wird in Firmen die Position des Informationssicherheitsbeauftragten (ISB) besetzt.
Der ISB betreut die Entwicklung und Einhaltung des Konzeptes und wird von den zuständigen Fachverantwortlichen sowie mindestens einer Vertretung pro Person unterstützt, deren Namen im Datensicherungskonzept schriftlich festgehalten werden.
Unternehmensspezifische Anforderungen im Backup-Konzept umsetzen
Das Datensicherungskonzept bildet die Basis für eine erfolgreiche Datensicherung. Erfüllt der Backup-Service die unternehmensspezifischen Anforderungen nicht oder eher schlecht als recht, besteht die Gefahr, dass trotz Erstellung und Umsetzung weiterhin Daten verlorengehen können.
In diesem Fall ergibt sich ein hoher Zeitaufwand in Bezug auf die interne Entwicklung der Backup-Lösung und das Backup-Management. Gleichzeitig fällt das Ergebnis in der Regel nicht zufriedenstellend aus. Das Unternehmen hat also Zeit und Geld in die Strategieerstellung investiert und profitiert letztendlich dennoch nicht von umfassenden Datensicherungen.
Aus diesem Grund hat es Priorität, dass sich ein Unternehmen frühestmöglich über alle gesetzlichen Anforderungen informiert und die branchenspezifischen Ansprüche benennt. Eine Bestandsaufnahme der IT-Systeme und ihre spezifischen Besonderheiten sowie die Inhalte sind ebenfalls einzubeziehen.
Was sollte das Datensicherungskonzept berücksichtigen?
Ein Datenschutzkonzept berücksichtigt unter anderem die folgenden Punkte:
- Zuständigkeiten: Wer ist für die Datensicherung und -wiederherstellung verantwortlich? Wer vertritt den Verantwortlichen? Wer ermittelt die potenziellen Gefahren und erstellt eine Bedrohungsanalyse?
- Rahmenbedingungen: Was ist der Unterschied zwischen der Datensicherung und der Archivierung? Welches Daten- und Änderungsvolumen liegt vor? Welche Fristen sind einzuhalten? Welche Verfügbarkeiten (RTO und RPO) sind zu berücksichtigen?
- Rechtliche Vorgaben: Wie gelingt es während der Sicherung, der Speicherung und der Daten-Wiederherstellung, die Originaldaten zu erhalten (Integritätsbedarf)? Werden Hash-Werte genutzt? Welche Zugriffsbeschränkungen gelten (Vertraulichkeitsbedarf)? Gilt das Vier-Augen-Prinzip? Soll das Backup zugriffsgeschützt sein?
- Umsetzung: Wie werden welche Daten gesichert? Welche Datensicherungsarten finden Anwendung? Wann und wie häufig werden die Daten gesichert? Wo werden die Daten gesichert und wo werden die Datenträger verwahrt? Wie werden diese transportiert?
- Regeln zur Datensicherung: Wer hat Zugriff? Wie erfolgen Zugriffskontrollen? Welche Klimatisierung der Räumlichkeiten ist notwendig? Welchen Zustand weist die bestehende Hardware auf?
- Regeln zur Daten-Wiederherstellung (Disaster Recovery Plan): Wie werden Daten wiederhergestellt?
- Tests: Welche Tests erfolgen zur Kontrolle der Datensicherung? Wie oft werden die Tests durchgeführt?
Speichermedien
Es gibt sie in unzähligen Variationen: USB-Sticks, SD-Karten, externe Festplatten, eigene Server, Clouds und vieles mehr. Doch welches Speichermedium eignet sich für Unternehmen? Speichermedien gelten immer dann als sicher, wenn der Zugriff beschränkt wird.
So schützt ein eigener Serverraum nur dann vor Datenverlust und Datenmissbrauch, wenn dieser nicht für jeden zugänglich ist. Aber auch eine falsche Temperatur oder fehlende Sicherheitsmaßnahmen können die Server gefährden.
Eine cloudbasierte Datensicherung (Backup-Cloud) dagegen dient nur dann als geeignetes Speichermedium, wenn umfassende Maßnahmen zur Datensicherung ergriffen werden. Empfehlenswert sind Dienstleister aus der EU oder aus Deutschland. Diese befolgen die Vorgaben des BDSG und die Datenschutz-Grundverordnung. Von einer Datensicherung auf USB-Sticks und anderen Medien, die verlegt werden können, ist abzuraten.
Zugriffskontrolle
Sichere Passwörter schützen die Daten eines Unternehmens zuverlässig. Dabei gilt: Nur die Verantwortlichen sollten diese kennen. Außerdem ist es empfehlenswert, die Passwörter einmal pro Monat zu wechseln.
Ein Schutz vor Schadprogrammen erhöht darüber hinaus das Sicherheitslevel. Hier genügt es allerdings nicht, die Software zu installieren. Vielmehr gilt es, diese regelmäßig durch Updates zu aktualisieren.
Schulung der Mitarbeiter
Der Faktor Mensch gilt in Bezug auf die Datensicherheit in Unternehmen als Gefahrenquelle. Denn es passiert häufig, dass Mitarbeiter Passwörter auf Papier dokumentieren, Phishing-Mails öffnen oder an öffentlichen Orten gut sichtbar auf das Firmennetzwerk zugreifen.
In erster Linie sollten Sie Ihre Angestellten deshalb zur Verschwiegenheit verpflichten. Um die Mitarbeiter zusätzlich zu sensibilisieren, bietet es sich an, regelmäßig Mitarbeiterschulungen durchzuführen.
In diesem Rahmen erlernen die Angestellten zum Beispiel:
- Welche Datensicherungsarten sind in dem Unternehmen erlaubt?
- Wie oft erfolgen Backups?
- Wie erkenne ich eine Phishing-Mail?
- Wie gehe ich vor, wenn ich eine Phishing-Mail erhalte?
- Wo melde ich eine verdächtige Kontaktanfrage?
- Wie reagiere ich, wenn ich von Externen um die Bereitstellung von geheimen Informationen gebeten werde?
- Wie gehe ich mit Datenbanken um?
- Wie erstelle ich ein sicheres Passwort?
- Wer darf auf spezifische Daten zugreifen?
Die reduziertere Form des Datensicherungskonzepts
Ein reduziertes Datensicherungskonzept ist zum Beispiel die Minimaldatensicherung. Das Konzept basiert auf folgenden Fragestellungen:
- Welche IT-Systeme sollen gesichert werden?
- Welche Daten sollen gesichert werden?
- Welche Datensicherungsart wird verfolgt?
- Welche Speichermedien stehen zur Verfügung?
- Wie wird die Datensicherung durchgeführt?
- Wie werden die Daten bei Datenverlust zurückgeleitet?
Um die Minimaldatensicherung zu realisieren, ist es unabdinglich, alle verantwortlichen Mitarbeiter über die Sicherungsstrategie und ihre Zuständigkeiten im Katastrophenfall zu informieren.
Quelle: Datenmenge explodiert – iwd.de
Wir helfen Ihnen weiter
smartworx ist ein IT-Systemhaus mit Sitz in Overath. Von hier aus betreut smartworx Kunden deutschlandweit. Sie haben eine Frage? Wir freuen uns auf Ihre Nachricht oder Anruf!