Backup, Datensicherung oder was jetzt? Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


09.02.2012 :: Printausgabe 03/2012 :: Wieland Alge*/Günther Leissler*

Backup, Datensicherung oder was jetzt?

Was muss man tun, um seine Daten gemäß aller in Österreich geltenden Gesetze und Richtlinien zu sichern? Der Gesetzgeber sieht gewisse Aufbewahrungspflichten vor, jedoch bestehen im Regelfall keine detaillierten Vorschriften.

Kreditgeber, Investoren, Geschäftspartner und Kunden wissen, dass Unternehmen, die ihre Daten durch Fehler, Unfälle oder Katastrophen verlieren, existenziell bedroht sind und setzen voraus, dass das Unternehmen ausreichende Sicherheitsvorkehrungen getroffen hat. Darüber hinaus gibt das Datenschutzrecht Regeln vor, für deren Einhaltung auch die Geschäftsführung eines Unternehmens haftet. Die wichtigsten Leitlinien und die gängigsten Irrtümer beim Thema Compliance und Backup werden hier erläutert.

BACKUP ODER ARCHIVIERUNG Backup beugt dem Datenverlust vor, sorgt im Ernstfall für schnelle Wiederherstellung eines Zustands von Daten und Applikationen zu einem definierten Zeitpunkt und dient somit der Geschäftskontinuität. Archivierung dagegen dient der langfristigen Speicherung von relevanten Geschäftsdokumenten. Sie erfolgt, um etwa gesetzlichen Aufbewahrungsfristen oder Beweissicherungszwecken zu entsprechen. Technisch bedeutet dies, dass Unternehmen bei der Archivierung alle dafür konfigurierten Dokumente und Daten auf lange Zeit, vollständig, untersuchbar und manipulationssicher speichern. Die Archivierung kann sich auf E-Mail-Archivierung konzentrieren, aber auch sonstige geschäftsrelevante Dokumentationen umfassen (wie etwa Befunddaten im Gesundheitswesen).

Neuere Backup-Appliances lassen sich so konfigurieren, dass sie geschäftskritische Daten dauerhaft archivieren, was beispielsweise für Jahresabschlüsse und andere Dokumente und Daten der Buchführung gesetzlich vorgeschrieben ist. Das heißt, technisch verschmelzen Backup und Archivierung an bestimmten Punkten. Die Kernfunktion von Backup-Tools ist es jedoch, aktuelle Kopien von Systemzuständen kurzfristig anzulegen. Zugespitzt und vereinfacht gesagt, dient Archivierung der Compliance und Backup dem gesunden Eigeninteresse von Unternehmen.

BACKUP IST NICHT FREIWILLIG Wer ohne Backup-Konzepte lebt, macht sich zwar nicht von vornherein haftbar, da die österreichische Rechtsordnung keine generelle Pflicht zur Datensicherungsspiegelung vorsieht. Die Aussage, Backup sei daher freiwillig und habe mit Compliance nichts zu tun, ginge aber wiederum zu weit. Ein Unternehmen, das geschäftskritische Daten unwiederbringlich verliert, erleidet in der Regel einen existenzgefährdenden Reputationsverlust.

Zudem bildet ein valides Backup-System die Voraussetzung, um diversen rechtlichen Pflichten entsprechen zu können. So rückte die erst seit 2010 im österreichischen Datenschutzgesetz verankerte »data breach notification duty« nicht zuletzt­ ­infolge der jüngsten Hackattacken schneller in den Blickpunkt als allseits erwartet. Grob gesagt verpflichtet diese ein Unternehmen zur Information der Betroffenen in Fällen von schwerem Missbrauch oder dem Verlust ihrer Daten. Nur: Sind die ­Daten tatsächlich unwiderrufbar verloren, wie soll das Unternehmen bestimmen können, wer von dem Datenverlust be­troffen ist, geschweige denn in welchem Umfang die Daten des Betroffenen ver­loren gegangen sind? Ohne valides Datenbackup wäre eine gesetzeskonforme In­formation daher unmöglich. Dieses beispielhafte Szenario zeigt, dass der Gesetzgeber Backup-Sicherungen zwar nicht explizit vorschreibt, im Rahmen vieler Regelungen aber nahezu voraussetzt. Fehlerhafte oder fehlende Backup-Prozesse können daher zu Verfehlungen führen, deren Konsequenzen von Verwaltungsstrafen bis zur zivilrechtlichen Verantwortung reichen.

LOKALE FESTPLATTEN Jede Firma hat das Recht, auch lokale Festplatten der Mitarbeiter-PC und so genannte persönliche Laufwerke in die Datensicherung einzubinden, wenn dort neben privaten Dateien des Arbeitnehmers auch für den Arbeitgeber relevante Geschäftsdateien gespeichert werden. Eine unstrukturierte Durchmischung privater und geschäftsrelevanter Dateien bringt jedoch Schwierigkeiten mit sich, vor allem bei Fragen der Zulässigkeit der Datensichtung durch den Arbeitgeber. Unternehmen, die den privaten Gebrauch ihrer Betriebsmittel nicht untersagen, sind daher gut beraten eine Richtlinie einzuführen, wonach etwa persönliche Dateien und Dokumente nur in einem entsprechend deutlich gekennzeichneten Verzeichnis gespeichert werden. Dieses wird dann per Konfiguration von den Backup-Prozessen ausgenommen oder so gespeichert, dass nur der Urheber auf die Daten zugreifen kann.

Doch selbst wenn private Ordner auf diese Art vom Backup-Prozess ausgenommen sind, schließt ein umfassendes Backup jedenfalls immer die Speicherung personenbezogener Kunden-, Geschäftspartner- und Mitarbeiterdaten mit ein. Daher müssen die Vorschriften des Datenschutzgesetzes beachtet werden: Unter anderem sind Unternehmen dazu verpflichtet, personenbezogene Daten zu löschen, wenn sie für den weiteren Geschäftsbetrieb nicht länger benötigt werden. Des Weiteren muss der Zugriff von unbefugter Seite unterbunden werden.

Werden die Daten als zusätzliche Sicherung beispielsweise einem Dienstleister übergeben, so stellt dies aus juristischer Sicht eine Auftragsdatenverarbeitung dar. In diesem Fall muss das Unternehmen durch Vertrag und Kontrollen die Einhaltung der Datenschutzregeln beim Dienstleister sicherstellen.

GELÖSCHT IST NICHT GELÖSCHT Das Backup speichert Systemzustände – und damit Daten – grundsätzlich nur für kurze Zeit. Je nach Backup-Konzept handelt es sich meist um einen Tag oder wenige Wochen. Die Daumenregel lautet: Was auf dem Quellsystem gelöscht wird, wird zeitnah auch im Backup gelöscht. Ausnahmen können bei Backup-Software und Backup-Appliances jedoch leicht konfiguriert werden. Dann dient die Backup-Infrastruktur gleichzeitig der Archivierung. Neben Daten aus der Finanzbuchhaltung halten Unternehmen oft solche aus der Produktentwicklung sowie die Kunden-Datenbanken länger vor, um auch gegen Situationen gewappnet zu sein, in denen ein Datenverlust erst spät erkannt wird.

BACKUP NUR AUF TAPES Backup-Tapes waren

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • Arrow ECS Internet Security AG

    Arrow ECS Internet Security AG WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzwerk-Betriebssysteme, Office Software,... mehr

Hosted by:    Security Monitoring by: