GULP - Knowledge Base: IT-Haftpflicht in der Praxis: Die zwölf Gebote der Datensicherung

Checkliste: Die Mindestanforderungen an ein Backup-System

(November 2008)

Autor: Ralph Günther, Versicherungsexperte

Die Notwendigkeit regelmäßiger Datensicherung ist bekannt. 98 Prozent der Teilnehmer einer GULP Trash Poll-Umfrage halten ein regelmäßiges Backup für nötig. Aber nur etwas mehr als die Hälfte ist so vorbildlich, es auch wirklich regelmäßig durchzuführen. Noch dazu ist Backup nicht gleich Backup. Nachdem in Teil 9 der Serie "IT-Haftpflicht in der Praxis" die Bedeutung der richtigen Versicherungsbedingungen dargestellt worden ist, geht es im Folgenden ganz praktisch darum, was beachten werden sollte, damit es erst gar nicht zum Datenverlust kommt.

Analysen zeigen, dass oft grundlegende Punkte bei der Durchführung von Routineaufgaben und der Einrichtung von Datensicherungssystemen nicht beachtet werden. Die folgende Checkliste wurde von Crawford & Company erstellt, die auch in der Schadensabwicklung des in Teil 9 beschriebenen Falles involviert waren.

Die zwölf Gebote der Datensicherung

1. Regelmäßigkeit
Datensicherungen sollen in regelmäßigen Abständen erfolgen. Diese Abstände variieren je nach Anwendung. Eine monatliche Sicherung der Daten auf einem privaten PC kann durchaus ausreichend sein, während in Produktionsumgebungen meistens tägliche Sicherungen der Produktivdaten erforderlich sind. Sie erhöhen die Zuverlässigkeit der Wiederherstellung.

2. Aktualität
Die Aktualität der Datensicherung ist abhängig von der Anzahl der Datenänderungen. Je öfter wichtige Daten verändert werden, desto häufiger sollten diese gesichert werden.

3. Verwahrung
Datensicherungen von Unternehmen beinhalten unter anderem Firmengeheimnisse oder personenbezogene Daten und müssen vor unbefugtem Zugriff geschützt werden. Datensicherungen sollten räumlich getrennt von der EDV-Anlage gelagert werden. Die räumliche Entfernung der Datensicherung vom gesicherten Datenbestand sollte so groß sein, dass ein Schaden, der die EDV-Anlage heimsucht, den gesicherten Datenbestand nicht gefährdet. Dies ist bei festplattenbasierten Systemen meistens nicht der Fall.

4. Ständige Prüfung auf Vollständigkeit und Integrität
Datensicherungen und Datensicherungsstrategien müssen regelmäßig überprüft und angepasst werden. Wurden die Daten wirklich vollständig gesichert (einer der Fehler in dem im Teil 9 beschriebenen Schadenfall)? Ist die eingesetzte Strategie konsistent? Erfolgte die Sicherung ohne Fehler?

5. Regelmäßige Überprüfung auf Wiederherstellbarkeit
Ein Rückspielen der Daten muss innerhalb eines festgelegten Zeitraums durchgeführt werden können. Hierzu muss die Vorgehensweise einer Wiederherstellung ausreichend dokumentiert sein, und die benötigten Ressourcen (Personal, Medien, Bandlaufwerke, Speicherplatz auf den Ziellaufwerken) müssen verfügbar sein.

6. Datensicherungen sollten automatisch erfolgen
Manuelle Datensicherungen können durch menschliche Fehler beeinflusst werden.

7. Anfertigung von zwei Datensicherungen
Die Anfertigung von zwei räumlich getrennten Datensicherungen eines Datenbestandes erhöht die Zuverlässigkeit der Datenwiederherstellung und minimiert die Auswirkungen plötzlich auftretender Ereignisse wie Feuer oder physikalische Zufälle.

8. Verwendung von Standards
Die Verwendung von Standards macht die Datenwiederherstellung einfacher.

9. Datenkompression
Datenkompression kann Speicherplatz sparen, hängt aber von der Komprimierfähigkeit der Daten ab. Ein Backup sollte aus Gründen der Datenintegrität und Wiederherstellbarkeit möglichst nicht komprimiert werden.

10. Zeitfenster
Sicherungsvorgänge können eine lange Zeit zur Fertigstellung benötigen, dies kann in Produktionsumgebungen unter Umständen zu Problemen führen (Beeinträchtigung des Datentransfers, Zugriffsmöglichkeit). Eine Kompression könnte ebenfalls Einfluss auf die Dauer der Datensicherung haben. Der Zeitpunkt der jeweiligen Datensicherung sowie der Zustand des zu sichernden Systems sind daher klar zu definieren.

11. Sicherungskonzept und Systematik
Man unterscheidet zwischen vollständiger, differenzieller, inkrementeller und der Großvater-Vater-Sohn Datensicherung. Welches Konzept das jeweils geeignete ist, muss von Fall zu Fall entschieden werden. (Einer der Fehler in dem im Teil 9 beschriebenen Schadenfall: Da systembedingt alle Folge-Sicherungen auf der gleichen fehlerhaften bzw. unvollständigen Sicherung basierten, war eine Rücksicherung und Wiederherstellung der Internetauftritte nicht möglich.)

12. Dokumentation des Datensicherungskonzeptes
Bei der Datensicherung ist es sehr wichtig, eine gute Dokumentation zu führen. Diese regelt den Ablauf mit dem Vorgang der Datensicherung, die Archivierung, die Maßnahmen, welche zu treffen sind, und die Kompetenzen der Mitarbeiter. Grundsätzlich sollte eine Backup- und Restore-Dokumentation in verschiedene Teile unterteilt werden.

Sofortmaßnahmen: Was ist im Falle eines Notfalles zu tun, wie sieht der Ablauf aus, wer muss alarmiert werden?
Regelung für den Notfall: Wer ist für den Notfall verantwortlich, wer ist für die Organisation verantwortlich?
Wiederanlaufpläne für kritische Komponenten: Vereinbarung mit dem Lieferanten in Bezug auf Zeit für die Gerätelieferung, Reihenfolge, in der die Daten wiederhergestellt werden sollten
Datensicherungsplan: In welchem Raum sind die Server aufbewahrt, werden die Daten in einem Tresor geschützt, wo sind die Hardware- und Software-Handbücher?

Gefragt: Ihre Meinung

Kein Backup verursacht auch nur annähernd so hohe Kosten wie ein Schaden durch Datenverlust. Eigentlich unverständlich, warum dieses Thema in vielen Firmen immer noch so stiefmütterlich behandelt wird. Wie bewerten Sie diese Checkliste? Welche Erfahrungen haben Sie gemacht? Wie sichern Sie sich gegen Datenverlust ab?

Nähere Informationen bei Ralph Günther.
Der Autor behält sich alle Rechte am Artikel vor. © 2008 exali GmbH

GULP Membership Area

Mehr Informationen zur Haftpflicht für selbstständige IT-Experten - komplett online und 306 Euro günstiger als beim Versicherer.

Kommentare zu diesem Artikel:

"Artikel ist prinzipiell sehr gut. Nur unter 3. sollte auch ein Feuer berücksichtigt werden. Der Hinweis auf festplattenbasierte Systeme greift nur bedingt. (November 2008)"

"Die Datensicherung (Häufigkeit und Aufbewahrungsmodalitäten) legt der Herr der Daten fest. Leider kommt es immer wieder vor, dass der Datenbestand ein Teil eines Gesamtablaufes wird und keiner merkt es. Aus meienr Sicht ist es wichtig, dass jeder, der einen anderen Datenbastand 'anzapft' gleich die Datensicherung checkt. Besonderes Augenmerk ist auf die Konsistenz der Daten zu legen und zwar bei allen Usern der Daten. Beispiel: Datenbestand XY1 wird für Planungs- und Abrechnungszwecke angelegt, monatliche Vollsicherung, täglich inkrementelle Sicherung. Nun wird der Datenbestand Teil der Produktion (Plattenkopie zum Sessionstart), Datenbestand XY1 wird nicht angepasst. Für wichtige Daten wird an den Auslarungsort gesichert (bei entsprechender Anbindung und Automation), dann an den 2. (Heimat) Standort kopiert, damit ist die Lesefähigkeit ma Auslagerungsstandort bereits geprüft. (November 2008)"

"Ich würde noch eine Differenzierung in der Strategie einführen unter Berücksichtigung der Schwere eines Verlustes. Es macht keinen Sinn täglich das gesamte System zu sichern, weil sich nur 10 Dokuumente geändert haben. Mann sollte daher die Sicherung der Programme / Systeme von der Sicherung der realen Daten trennen. (Wichtige) Daten wie Datenbanken, Dokumente etc. sollte man häufig sichern (Transaktionslog, Versionen). Programme und das Betriebssystem hingegen kann man getrost am Wochenende oder monatlich sichern, da bei Totalverlust / System Inkonsistenz eine Neuinstallation meist besser ist als das wiederinspielen von Fehlern die sich über Monate angesammelt haben, aber vielleicht nicht sichtbar geworden sind. Beim Einsatz neuer Versionen empfiehlt sich meist ein Green-Field Ansatz, um mal wieder ein sauberes System zu haben, ohne die Altlasten von hunderten Hotfixes und Servicepacks alter Versionen. (November 2008)"

"Ich finde, daß entscheidende technische Aspekte nicht angesprochen wurden. Zum Beispiel: was ist mit Applikationen, die während der Datensicherung laufen (zum Beispiel Datenbanken mit ihren BufferPools im Speicher) ? Die Problematik Sharelevel Reference versus Sharelevel Change. Datenbank-ImageCopies und/oder Festplatten-Sicherung ? (November 2008)"