Donnerstag, 30. März 2023

Wer ist jetzt eigentlich für unser Backup verantwortlich? Backup-Week bei yourIT

Wer ist eigentlich für unser Backup verantwortlich? Backup-Week bei yourIT


Am 31.03. ist traditionell der World Backup Day. In Zeiten wie diesen, in denen Unternehmen damit rechnen müssen, einem Cyberangriff zu unterliegen, haben Backups eine enorm hohe Bedeutung.


Wer ist eigentlich für das Backup verantwortlich?

Unsere Erfahrungen aus den vergangenen Wochen und Monaten, in denen wir uns mit Datenschutzbeauftragten, IT-Technikern, Geschäftsführern und Informationssicherheitsbeauftragten darüber unterhalten haben, wer sich denn nun um das Thema Informationssicherheit kümmert, müssen wir leider subsummieren: Gemäß dem bekannten Fußball-Prinzip „Nimm Du den Ball, ich hab ihn sicher!“ ist das alles andere als klar und eindeutig. 


Alle genannten Rollen haben irgendwie mit dem Backup zu tun. Mit diesem Beitrag zeigen wir Ihnen aber die unterschiedlichen Sichtweisen und Betrachtungswinkel der unterschiedlichen Rollen auf. 

Da wir bei yourIT sowohl Datenschutzbeauftragte, IT-Techniker, Geschäftsführer und Informationssicherheitsbeauftragte unter den Mitarbeitern haben, haben wir diese gebeten, Ihre Sichtweise zu schildern, wenn Sie ganz genau nur eine der genannten vier Rollen ausfüllen würden. So wäre das z.B. bei einem Steuerberater oder Rechtsanwalt, der als Datenschutzbeauftragter benannt ist.

Der Vollständigkeit halber sei hier gesagt, dass diese Insel-Sicht bei yourIT nicht üblich ist, weil
a) viele yourIT-Mitarbeiter für mehrere Rollen ausgebildet sind und
b) die Zusammenarbeit der Teams die unterschiedlichen Sichtweisen vereint.

Beginnen wollen wir heute mit dem Datenschutzbeauftragten. Als „Modell“-DSB konnten wir hierfür Dr. Julian Weller gewinnen. Er ist Berater für Datenschutz und Informationssicherheit und DSB bei yourIT.  Er bringt internationale Erfahrungen ins Team mit mehrjährigen Stationen in GB und Brasilien.

Promoviert über IT-Gesetzgebungsverfahren in der EU bringt er Führungserfahrung aus der Softwarebranche mit, wo er sich als nicht technischer Vorstand um die Belange des Datenschutzes kümmerte.

Teil 1/4: Backup aus Sicht eines Datenschutzbeauftragten


Als Datenschutzbeauftragter sehe ich meine Aufgabe darin, sicherzustellen, dass personenbezogene Daten von Betroffenen angemessen geschützt werden. Mit dem Begriff „personenbezogene Daten“ sind alle Informationen gemeint, die sich auf eine natürlich Person („Betroffener“) beziehen. Dazu gehören auch die personenbezogenen Daten, die durch Backupsysteme gesichert werden.

Ein Backupsystem ist ein wichtiger Bestandteil jeder Datenverarbeitungs-Infrastruktur. Es stellt sicher, dass Daten im Falle eines Systemausfalls, eines technischen Defekts oder eines Angriffs wiederhergestellt werden können. Es ist daher unerlässlich, dass ein Backupsystem zuverlässig, sicher und regelmäßig getestet wird, um sicherzustellen, dass es im Ernstfall effektiv funktioniert.

In Bezug auf Datenschutz ist es wichtig sicherzustellen, dass die personenbezogenen Daten, die durch das Backupsystem gesichert werden, angemessen geschützt sind. Dies bedeutet insbesondere, dass das Backupsystem verschlüsselt sein sollte. Ebenso dass der Zugriff auf das System kontrolliert wird. Dadurch soll sichergestellt werden, dass nur autorisierte Personen darauf zugreifen können.

Für mich als Datenschutzbeauftragter ist es auch wichtig, sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig aufbewahrt werden und dass sie am Ende des Lebenszyklus‘ sicher und datenschutzkonform entsorgt werden, wenn sie nicht mehr benötigt werden. Also immer dann, wenn keine Rechtsgrundlage für deren Verarbeitung mehr existiert. Hierbei sollten die geltenden Datenschutzgesetze und -richtlinien beachtet werden.

Insgesamt ist es wichtig, dass das Backupsystem als Teil eines umfassenden Datenschutz- und Informationssicherheitskonzepts betrachtet wird, um sicherzustellen, dass personenbezogene Daten zuverlässig und sicher aufbewahrt werden.

Das yourIT-Datenschutz-Team sucht Verstärkung


Falls Sie sich mit dem Thema Datenschutz beschäftigen, die hier am Beispiel Dr. Julian Weller dargestellte Sichtweise kennen und künftig z.B. aber auch die Sicht eines Informationssicherheitsbeauftragten in Ihre Gesamteinschätzung integrieren möchten: Bewerben Sie sich jetzt unter THEPRIVÄCY.de

-----------------------------------------------------------------------------

Teil 2/4: Backup aus Sicht eines Geschäftsführers

Als Geschäftsführer ist mir bewusst, dass unser Backupsystem eine der wichtigsten Maßnahmen zur Datensicherung und zum Schutz unserer Unternehmensdaten darstellt. Wir haben uns dazu extra von IT-Experten beraten lassen. Diese haben uns ein effektives Backupsystem empfohlen, das gewährleistet, dass unsere Daten im Falle eines Ausfalls oder einer Beschädigung des Hauptsystems schnell wiederhergestellt werden können. Für unsere Geschäftskontinuität und die Minimierung von Ausfallzeiten ist dies entscheidend. Dieser Empfehlung der IT-Experten sind wir gefolgt.

Ein wichtiger Grund für diese Investition war auch, dass mir klar gemacht wurde, dass unser Backupsystem auch als eine wichtige Maßnahme zur Sicherung unserer Geschäftsdaten vor potenziellen Bedrohungen wie Cyberangriffen, Viren oder Ransomware dient. Ein regelmäßiges Backup stellt sicher, dass unsere Daten im Falle eines erfolgreichen Angriffs oder eines anderen Notfalls schnell wiederhergestellt werden können und unser Geschäft weiterhin reibungslos läuft. Optimalerweise ohne nennenswerte Ausfälle.

Ich gehe davon aus, dass es ein schriftliches Backup-Konzept gibt und unser Backupsystem regelmäßig überprüft und getestet wird. Dies stellt sicher, dass es im Falle eines Notfalls auch zuverlässig funktioniert. Eine unzureichende Backup-Strategie kann zu Datenverlusten führen. Das wäre für unser Unternehmen katastrophal. Daher ist es wichtig, sicherzustellen, dass unser Backupsystem den erforderlichen Standards entspricht und regelmäßig aktualisiert wird, indem z.B. Updates zeitnah nach deren Erscheinen eingespielt werden.

Mir ist auch bewusst, dass wir durch gesetzliche, normative und regulatorische Anforderungen verpflichtet sind, ein Backupsystem zu betreiben. Viele Branchen sind ja verpflichtet, ihre Daten aufzubewahren und bestimmte Aufbewahrungsfristen einzuhalten. Ein effektives Backupsystem kann uns helfen, diese Anforderungen zu erfüllen und die geforderte Compliance zu gewährleisten.

Als Geschäftsführer betrachte ich selbstverständlich auch die Kosten und die Skalierbarkeit des Backupsystems. Es ist wichtig, dass wir eine Lösung wählen, die unsere Anforderungen erfüllt, aber auch kosteneffektiv ist und in der Lage ist, mit dem Wachstum unseres Unternehmens zu skalieren.

Durch den Einsatz von externen IT-Experten sparen wir uns den Aufwand, interne Mitarbeiter zur Notwendigkeit und zum Umgang mit Backupsystemen zu schulen. Dafür haben wir das System ja beim IT-Experten gekauft. Ich muss mal schauen: Irgendwo müsste es dazu auch eine schriftliche Regelung geben. Aber eigentlich ist das ja sonnenklar.

Da ich im Bereich IT wenig bis keine Ahnung habe, vertraue ich hier voll und ganz auf das Können unseres IT-Dienstleisters. Schließlich haben wir ihn ja mit der Betreuung unserer IT beauftragt. Und er hat uns ja seinerseits das Backup-System auch verkauft. Er wird die bestmöglichen Maßnahmen treffen, um jeglichen Schaden von unseren Daten abzuhalten. Ich gehe davon aus, dass er ein Backup-Konzept / eine -Dokumentation erstellt hat und weiß, was er damit anfangen muss.

Ich vertraue so fest auf unseren IT-Dienstleister, dass ich davon ausgehe, dass wir z.B. im Falle eines Cyberangriffs nicht verschlüsselt werden. Der Abschluss einer CyberRisk-Versicherung wäre unter dieser Prämisse  rausgeschmissenes Geld.

Das könnte Sie auch interessieren:

Das yourIT-Team sucht Verstärkung. Hier geht's zu unseren spannenden Stellenanzeigen. Wir freuen uns auf neue Teammitglieder!

-----------------------------------------------------------------------------

Teil 3/4: Backup aus Sicht eines IT-Technikers






Als IT-Techniker betrachte ich ein Backup-System als eine der wichtigsten Komponenten einer gut funktionierenden IT-Infrastruktur an. Ein Backup-System ist dafür verantwortlich, wichtige Daten und Informationen zu sichern, damit diese im Falle von Cyberattacken, Datenverlust oder Systemausfällen wiederhergestellt werden können.


Unternehmen, die sich nicht sorgfältig um das Backup Ihrer Daten kümmern, gehen große Risiken ein. Nicht umsonst gibt es bei uns den Spruch: „Kein Backup, kein Mitleid!“

Ein Backup-System sollte immer zuverlässig und einfach zu bedienen sein, damit es regelmäßig verwendet wird. Es reicht aber nicht aus, dass ein Backup-System angeschafft und installiert wird.
Ein weiterer Spruch aus der IT-Ecke lautet: „Ein Backup ohne regelmäßige Rücksicherungstests ist kein Backup!“ Es ist daher wichtig, dass das Backup-System regelmäßig überprüft und getestet wird, um sicherzustellen, dass im Ernstfall eine erfolgreiche Wiederherstellung der Daten auch wirklich möglich ist.

Außerdem ist es wichtig, dass das Backup-System ausreichend redundant ist, um Ausfälle und Datenverluste zu vermeiden. Das bedeutet, dass das Backup-System an einem separaten Ort aufbewahrt werden sollte und idealerweise mehrere Kopien der Daten vorhanden sein sollten.
Als IT-Techniker bin ich dafür verantwortlich, sicherzustellen, dass das Backup-System regelmäßig durchgeführt wird und dass die gesicherten Daten sicher aufbewahrt werden. Ich sehe es als meine Aufgabe, sicherzustellen, dass die Backup-Strategie effektiv ist und im Ernstfall eine schnelle und erfolgreiche Wiederherstellung möglich ist.

Ein weiterer wichtiger Punkt ist, dass das Backup-System den Anforderungen des Unternehmens oder der Organisation entspricht. Es sollte berücksichtigt werden, welche Art von Daten gesichert werden müssen, wie oft die Sicherung durchgeführt werden sollte und wie lange die Daten aufbewahrt werden müssen.

Bei der Implementierung eines Backup-Systems ist die Auswahl der richtigen Backup-Software und -Hardware enorm wichtig. Es gibt verschiedene Arten von Backup-Lösungen, einschließlich Cloud-Backups, Disk-to-Disk-Backups, Tape-Backups und anderen. Die Auswahl der richtigen Lösung hängt von den Bedürfnissen des Unternehmens ab und sollte von einem erfahrenen IT-Techniker durchgeführt werden.

Zusammenfassend ist ein Backup-System für jedes Unternehmen oder jede Organisation von entscheidender Bedeutung, um Datenverluste zu vermeiden und im Ernstfall eine schnelle Wiederherstellung zu ermöglichen. Als IT-Techniker bin ich bestrebt, sicherzustellen, dass das Backup-System den Bedürfnissen des Unternehmens oder der Organisation entspricht, effektiv und zuverlässig funktioniert, und im Ernstfall verfügbar ist.

Aus Kostengründen sparen leider viele – vor allem kleine und mittelständische - Unternehmen am Thema Backup. Unsere Vorschläge zum Aufbau eines dem aktuellen Standard entsprechenden Backupsystems werden ignoriert. 

Nur wenige unserer Kunden haben uns damit beauftragt, ein Backup-Konzept mit Ihnen zu erarbeiten oder eine Dokumentation zu erstellen und zu pflegen.
Ganz zu schweigen von der Beauftragung einer regelmäßigen Überprüfung oder einer redundanten Haltung der Daten. Für viele Unternehmen ist das immer noch Zeit- und Geldverschwendung. Was soll ich tun? Mehr als empfehlen kann ich es ja nicht. Wenn mein Kunde mich nicht explizit mit diesen Tätigkeiten beauftragt, kann ich diese leider nicht durchführen. Ich fühle mich dann auch nicht dafür verantwortlich.

Wir unterstützen Sie gerne bei der Beratung und Umsetzung eines Backup-Systems. Durch unsere langjährige Erfahrung haben wir verschiedene Konzepte ausgearbeitet, die auf unterschiedliche Unternehmensgrößen abgestimmt sind. Egal ob eine Sicherung im House auf einem Backup-Server oder lediglich die Installation eines Computerprogramms (Agent) auf dem zu sicherten Server oder Client. Wir haben die passende Lösung für Sie!

Vorteiles eines Online-Backups zusammengefasst:


  • Die Sicherungen sind in einem separaten Brandabschnitt (außerhalb des Gebäudes) aufbewahrt
  • Die Sicherungen können nicht bzw. schwerer von Trojanern verschlüsselt werden
  • Das Sicherungsmedium muss nicht transportiert werden
  • Das Sicherungsmedium kann nicht verloren werden
  • Das Sicherungsmedium wird beim Transport nicht beschädigt


Das yourIT-Netzwerk & IT-Security-Team sucht Verstärkung

Falls Sie sich gern mit Themen wie Backups, Netzwerk und IT-Security beschäftigen möchten - Wir suchen Verstärkung in unserem Team! Jetzt bewerben unter ÄDMINS.de

-----------------------------------------------------------------------------

Teil 4/4: Backup aus Sicht einer Informationssicherheitsbeauftragten

Als Informationssicherheitsbeauftragte (ISB) betrachte ich das Backup-System als eine der wichtigsten Komponenten für die Sicherheit von Informationen (= personenbezogene Daten + sonstige Daten + die sich daraus ergebenden Informationen) innerhalb einer Organisation.

Ein Beispiel, um den Unterschied zwischen Daten und Informationen zu verdeutlichen, ist ein Telefonbuch. Telefonnummern, Vor- und Nachnamen, Adressen sind die Daten – und erstmal für sich oft nicht besonders wertvoll. Erst in der organisierten und kategorisierten Version in alphabetischer Reihenfolge strukturiert als Telefonbuch sind sie Informationen und stellen einen mehr oder weniger hohen Wert dar.

Ein zuverlässiges Backup-System stellt sicher, dass wichtige Informationen im Falle eines Ausfalls oder einer Katastrophe wiederhergestellt werden können. Es ist auch ein wesentliches Instrument zur Aufrechterhaltung der Geschäftskontinuität.

Um ein robustes Backup-System zu gewährleisten, empfehle ich, regelmäßige Backups durchzuführen, zusätzlich sollten Sie redundant und außerhalb eines bestimmten Ortes aufbewahrt werden. Die Backups sollten auch verschlüsselt sein, um sicherzustellen, dass sensible Daten während der Übertragung und im Ruhezustand geschützt sind.

Das Backup-System sollte kontinuierlich getestet wird, um sicherzustellen, dass es im Ernstfall funktioniert. Regelmäßige Überprüfungen können auch dazu beitragen, Schwachstellen und potenzielle Fehler zu identifizieren und zu beheben.

Darüber hinaus sollten Zugriffsrechte auf das Backup-System sorgfältig verwaltet werden, damit nur autorisierte Personen darauf zugreifen können. Die Verwendung von Multi-Faktor-Authentifizierung und Verschlüsselung bei der Übertragung und Speicherung von Backups kann auch dazu beitragen, das Risiko von Datenschutzverletzungen und Cyberangriffen zu minimieren.

Ein schriftliches Backup-Konzept ist aus meiner Sicht unerlässlich. Das Konzept sollte detaillierte Informationen enthalten, wie die Daten regelmäßig gesichert und wiederhergestellt werden, um im Falle von Datenverlust, Hardwarefehlern oder anderen unvorhergesehenen Ereignissen verfügbar bleiben. Zusätzlich sollte ein Notfall-Plan vorhanden sein, der beschreibt wie ein Unternehmen im Falle eines Notfalles handeln soll. Dieser sollte unter anderem:

die Kontaktdaten aller beteiligten Personen enthalten, die im Ernstfall kontaktiert werden müssen. 
die Notfallmaßnahmen die ergriffen werden müssen, um die Sicherheit von Mitarbeiter, Kunden und Eigentum zu gewährleisten. 
Die Notfall-Kommunikation: Welche Kunden, Lieferanten und Mitarbeiter informiert werden müssen und 
der Wiederherstellungsplan, wie ein Unternehmen nach einem Notfall wieder aufgebaut werden kann. 

Zusammenfassend ist das Backup-System ein wesentliches Instrument für die Aufrechterhaltung der Geschäftskontinuität und den Schutz von Informationen und Daten in einer Organisation. Eine sorgfältige Planung, Implementierung und Überprüfung des Backup-Systems ist daher unerlässlich für die Informationssicherheit.

Das yourIT-Team sucht Verstärkung


Interessieren Sie sich ebenfalls für Tätigkeiten und Aufgaben eines Informationssicherheitsbeauftragten? Macht Ihnen der Umgang mit Normen und Gesetzten Spaß? Wir freuen uns über Ihre Initiativbewerbung.