IT-Haftpflicht in der Praxis: Die zwölf Gebote der Datensicherung

Checkliste: Die Mindestanforderungen an ein Backup-System

14.11.2008
Ralph Günther
Artikel teilen:

Teil 1 | Teil 2 | Teil 3 | Teil 4 | Teil 5 | Teil 6 | Teil 7 | Teil 8 | Teil 9 | Teil 10 | Teil 11

Die Notwendigkeit regelmäßiger Datensicherung ist bekannt. 98 Prozent der Teilnehmer einer GULP Trash Poll-Umfrage halten ein regelmäßiges Backup für nötig. Aber nur etwas mehr als die Hälfte ist so vorbildlich, es auch wirklich regelmäßig durchzuführen. Noch dazu ist Backup nicht gleich Backup. Nachdem in Teil 9 der Serie "IT-Haftpflicht in der Praxis" die Bedeutung der richtigen Versicherungsbedingungen dargestellt worden ist, geht es im Folgenden ganz praktisch darum, was beachten werden sollte, damit es erst gar nicht zum Datenverlust kommt.

Analysen zeigen, dass oft grundlegende Punkte bei der Durchführung von Routineaufgaben und der Einrichtung von Datensicherungssystemen nicht beachtet werden. Die folgende Checkliste wurde von Crawford & Company erstellt, die auch in der Schadensabwicklung des in Teil 9 beschriebenen Falles involviert waren.

Die zwölf Gebote der Datensicherung

1. Regelmäßigkeit
Datensicherungen sollen in regelmäßigen Abständen erfolgen. Diese Abstände variieren je nach Anwendung. Eine monatliche Sicherung der Daten auf einem privaten PC kann durchaus ausreichend sein, während in Produktionsumgebungen meistens tägliche Sicherungen der Produktivdaten erforderlich sind. Sie erhöhen die Zuverlässigkeit der Wiederherstellung.

2. Aktualität
Die Aktualität der Datensicherung ist abhängig von der Anzahl der Datenänderungen. Je öfter wichtige Daten verändert werden, desto häufiger sollten diese gesichert werden.

3. Verwahrung
Datensicherungen von Unternehmen beinhalten unter anderem Firmengeheimnisse oder personenbezogene Daten und müssen vor unbefugtem Zugriff geschützt werden. Datensicherungen sollten räumlich getrennt von der EDV-Anlage gelagert werden. Die räumliche Entfernung der Datensicherung vom gesicherten Datenbestand sollte so groß sein, dass ein Schaden, der die EDV-Anlage heimsucht, den gesicherten Datenbestand nicht gefährdet. Dies ist bei festplattenbasierten Systemen meistens nicht der Fall.

4. Ständige Prüfung auf Vollständigkeit und Integrität
Datensicherungen und Datensicherungsstrategien müssen regelmäßig überprüft und angepasst werden. Wurden die Daten wirklich vollständig gesichert (einer der Fehler in dem im Teil 9 beschriebenen Schadenfall)? Ist die eingesetzte Strategie konsistent? Erfolgte die Sicherung ohne Fehler?

5. Regelmäßige Überprüfung auf Wiederherstellbarkeit
Ein Rückspielen der Daten muss innerhalb eines festgelegten Zeitraums durchgeführt werden können. Hierzu muss die Vorgehensweise einer Wiederherstellung ausreichend dokumentiert sein, und die benötigten Ressourcen (Personal, Medien, Bandlaufwerke, Speicherplatz auf den Ziellaufwerken) müssen verfügbar sein.

6. Datensicherungen sollten automatisch erfolgen
Manuelle Datensicherungen können durch menschliche Fehler beeinflusst werden.

7. Anfertigung von zwei Datensicherungen
Die Anfertigung von zwei räumlich getrennten Datensicherungen eines Datenbestandes erhöht die Zuverlässigkeit der Datenwiederherstellung und minimiert die Auswirkungen plötzlich auftretender Ereignisse wie Feuer oder physikalische Zufälle.

8. Verwendung von Standards
Die Verwendung von Standards macht die Datenwiederherstellung einfacher.

9. Datenkompression
Datenkompression kann Speicherplatz sparen, hängt aber von der Komprimierfähigkeit der Daten ab. Ein Backup sollte aus Gründen der Datenintegrität und Wiederherstellbarkeit möglichst nicht komprimiert werden.

10. Zeitfenster
Sicherungsvorgänge können eine lange Zeit zur Fertigstellung benötigen, dies kann in Produktionsumgebungen unter Umständen zu Problemen führen (Beeinträchtigung des Datentransfers, Zugriffsmöglichkeit). Eine Kompression könnte ebenfalls Einfluss auf die Dauer der Datensicherung haben. Der Zeitpunkt der jeweiligen Datensicherung sowie der Zustand des zu sichernden Systems sind daher klar zu definieren.

11. Sicherungskonzept und Systematik
Man unterscheidet zwischen vollständiger, differenzieller, inkrementeller und der Großvater-Vater-Sohn Datensicherung. Welches Konzept das jeweils geeignete ist, muss von Fall zu Fall entschieden werden. (Einer der Fehler in dem im Teil 9 beschriebenen Schadenfall: Da systembedingt alle Folge-Sicherungen auf der gleichen fehlerhaften bzw. unvollständigen Sicherung basierten, war eine Rücksicherung und Wiederherstellung der Internetauftritte nicht möglich.)

12. Dokumentation des Datensicherungskonzeptes
Bei der Datensicherung ist es sehr wichtig, eine gute Dokumentation zu führen. Diese regelt den Ablauf mit dem Vorgang der Datensicherung, die Archivierung, die Maßnahmen, welche zu treffen sind, und die Kompetenzen der Mitarbeiter. Grundsätzlich sollte eine Backup- und Restore-Dokumentation in verschiedene Teile unterteilt werden.
 

  • Sofortmaßnahmen: Was ist im Falle eines Notfalles zu tun, wie sieht der Ablauf aus, wer muss alarmiert werden?
  • Regelung für den Notfall: Wer ist für den Notfall verantwortlich, wer ist für die Organisation verantwortlich?
  • Wiederanlaufpläne für kritische Komponenten: Vereinbarung mit dem Lieferanten in Bezug auf Zeit für die Gerätelieferung, Reihenfolge, in der die Daten wiederhergestellt werden sollten
  • Datensicherungsplan: In welchem Raum sind die Server aufbewahrt, werden die Daten in einem Tresor geschützt, wo sind die Hardware- und Software-Handbücher?

Gefragt: Ihre Meinung

Kein Backup verursacht auch nur annähernd so hohe Kosten wie ein Schaden durch Datenverlust. Eigentlich unverständlich, warum dieses Thema in vielen Firmen immer noch so stiefmütterlich behandelt wird. Wie bewerten Sie diese Checkliste? Welche Erfahrungen haben Sie gemacht? Wie sichern Sie sich gegen Datenverlust ab?

Nähere Informationen bei Ralph Günther.
Der Autor behält sich alle Rechte am Artikel vor. © 2008 exali GmbH.