IT-Haftpflicht in der Praxis: Fehlerhaftes Backup

Oder: Ein Stromausfall mit Folgen

30.10.2008
Ralph Günther
Artikel teilen:

Teil 1 | Teil 2 | Teil 3 | Teil 4 | Teil 5 | Teil 6 | Teil 7 | Teil 8 | Teil 9 | Teil 10 | Teil 11

Auf der sicheren Seite? In vielen Firmen fristen so genannte Backup-Lösungen nach wie vor ein kümmerliches Dasein. Dabei durchaus überraschend: Dies gilt selbst bei zahlreichen Softwarehäusern und IT-Dienstleistern, wo man eigentlich ein größeres Problembewusstsein erwarten würde. Ohne Zweifel: Die Notwendigkeit von strukturierten Backup-Lösungen wird völlig unterschätzt.

Der Laden läuft und es gilt das vermeintlich wichtigere Tagesgeschäft zu bewältigen. Oft kümmert sich ein Mitarbeiter nebenbei und nur, wenn gerade Zeit ist, um das Backup. Dabei kostet keine vernünftige Backup-Lösung auch nur annähernd so viel wie die Wiederherstellung von Daten, die verloren gegangen sind. Von den Ausfallzeiten von Kunden, deren Daten man hostet, ganz zu schweigen. Eine zentrale Frage: Wann greift in solchen Fällen eine IT-Haftpflichtversicherung?

Der Hintergrund dieser Frage: Es gibt die Schadenfälle, die nicht eine einzelne vorhersehbare Ursache haben, sondern durch eine unglückliche Verkettung mehrerer Faktoren zustande kommen. Die Auslegung von schwammig formulierten Zusatzklauseln in der IT-Haftpflichtversicherung kann im (Unglücks-)Fall über die weitere Existenz eines Betriebes entscheiden. Denn nicht jede IT-Haftpflichtversicherung bietet die Absicherung, die man erwartet. Auf welche Formulierungen müssen also IT-Dienstleister bei Versicherungsabschluss besonders achten?

Der Auftrag

Eine versicherte Internetagentur hat sich auf Dienstleistungen im Bereich der Webseitenerstellung und als Internet Service Provider spezialisiert, weshalb unter anderem Internetauftritte sowohl auf eigenen Servern als auch auf Kundenservern gehostet werden. Kleinere Projekte und Webseiten laufen dabei auf den eigenen Servern, bei denen der IT-Dienstleister auch für die Datensicherung verantwortlich ist.

Der Zwischenfall

Unerwartet kam es zu einem Ausfall der Stromversorgung, von der auch die betriebenen hauseigenen Server betroffen waren. Die Server waren über drei parallel laufende USV-Anlagen gegen Spannungsschwankungen und -abfall abgesichert - sie sollten für diese Fälle das korrekte Herunterfahren der Server sicherstellen.

Als man nach dem tatsächlichen Ausfall die Server wieder sukzessive hochfahren wollte, stellte man jedoch fest, dass sich ein Server nicht mehr hochfahren ließ. Die USV-Anlage, die diesen Server versorgte, war ebenfalls ausgefallen.

Daraufhin wurde der Server an den noch freien Steckplatz einer anderen USV angeschlossen - vergeblich. Das Endergebnis: Die Datenbanken waren durch den plötzlichen Stromausfall und das erneute Hochfahren zerstört worden.

Der Schadenfall

Beim Versuch, die Daten auf Basis der vorhandenen Datensicherung auf einer USB-Festplatte wiederherzustellen, stellte sich dann heraus, dass einige Sicherungsordner leer waren, d.h. keine Daten enthielten. Wie konnte das passieren?

Der Ablauf des Sicherungsskripts erfolgte bei jeder zu erstellenden Sicherung wie folgt:
 

  1. Überprüfung, ob alte Sicherungsdatei vorhanden ist
    » Wenn ja, neue Sicherungsdatei (Ordner) anlegen
    » Wenn nein, Fehlermeldung
  2. Überprüfung, ob neue Sicherungsdatei vorhanden ist
    » Wenn ja, alte Sicherungsdatei löschen


Hierbei wurde bei der zweiten Überprüfung jedoch lediglich kontrolliert, ob die entsprechende Datei vorhanden war, nicht jedoch deren Inhalt bzw. Größe. Ferner wurde systembedingt bei nicht ausreichendem Speicherplatz zwar eine neue Sicherungsdatei angelegt, der Sicherungsvorgang der Daten jedoch ohne Fehlermeldung abgebrochen. Zu einem derartigen Abbruch kam es vor dem Spannungsausfall.

Dadurch, dass alle weiteren Sicherungen auf der gleichen fehlerhaften bzw. unvollständigen Sicherung basierten, war somit eine Rücksicherung und Wiederherstellung der Internetauftritte allein auf Basis dieser Sicherungen nicht möglich.

Die Abwicklung

Der IT-Dienstleister hatte seit mehreren Jahren eine IT-Haftpflichtversicherung. Er informierte diese sofort: Vom Datenverlust sind die Internetauftritte von 13 Kunden betroffen. Er gab an, dass die Daten wiederbeschafft, die Inhalte der Webseiten neu aufgebaut und verknüpft werden müssen. Der Versicherer beauftragte umgehend einen Sachverständigen, der den Aufwand für die Wiederherstellung der Webseiten schätzte und wichtige Hinweise für die schnelle Umsetzung gab.

Da der Versicherungsnehmer am schnellsten die Wiederbeschaffung, Aufbau und Verknüpfung der Daten sicherstellen konnte und den Kontakt mit den Kunden hatte, wurde er mit der Schadenbehebung beauftragt. Der Zeitaufwand hierfür betrug 300 Stunden. Der Versicherer verhandelte mit dem Dienstleister einen reduzierten Stundensatz. Auf dieser Basis errechnete sich ein Schadenaufwand von 18.000 Euro, die vom Versicherer übernommen wurden.

Versichert, aber aufgepasst!

Natürlich stellt sich die Frage, ob bei einer dem "Stand der Technik" entsprechenden Datensicherung der Schaden nicht vermeidbar gewesen wäre. Die Frage ist nicht abschließend zu beantworten - aber genau hier können Fallstricke in den Versicherungsbedingungen einiger Versicherer dazu führen, dass die Leistungen verweigert werden.

So finden sich in den Versicherungsbedingungen, meist bei den Regelungen zu den Vermögensschäden, insbesondere in Verbindung mit Erstellung, Wartung und Pflege von Software folgende Klauseln:

Sinngemäß: Versicherungsschutz besteht nur für Schäden, die trotz Beachtung des anerkannten Standes der Technik und Methodik, der Einhaltung branchenüblicher Qualitätssicherungsverfahren (insbesondere Test- und Abnahmeverfahren) oder sonst anerkannter Regeln des Software-Engeneerings eingetreten sind.

Es braucht nicht viel Fantasie um sich vorzustellen, dass eine derartige Klausel im beschriebenen Schadenfall dem IT-Diensteleister einige Diskussionen mit dem Versicherer eingebracht hätte. Um dieses Risiko zu vermeiden, sollte man Versicherer wählen, die ohne derartige Klauseln auskommen.

Schadenpotential noch höher

Dieser Schadenfall schildert sehr anschaulich, dass oft die Verkettung mehrerer Umstände zu einem Schaden führt: Stromausfall + Ausfall USV + fehlerhafte Datensicherung.

Letztlich kann der IT-Dienstleister noch von Glück sprechen, dass als Schaden nur die Wiederherstellung der Webseiten geltend gemacht wurde. Dies lässt sich damit erklären, dass die 13 gehosteten Webseiten nur Präsenzauftritte der Kunden waren. Hätte es sich dabei um Webshops, Portale oder zumindest um Webseiten mit Kontakt- und Bestellmöglichkeiten gehandelt, hätten sich zum primären Schaden der Datenwiederherstellung auch der Umsatz- und Gewinnausfall der Kunden addiert. Dieser Folgeschaden hätte leicht die Kosten für die Datenwiederherstellung um ein Vielfaches übersteigen können.

Wichtig ist auch hier, dass in den Versicherungsbedingungen (Vermögens-)Folgeschäden wie Umsatz- und Gewinnausfall nicht ausgeschlossen sind.

Wie ein anderer Schadenfall zeigt, kann jedoch auch die Datenwiederherstellung an sich deutlich teurer werden, wenn die zerstörte Datenbank umfangreicher ist. Im angesprochenen Fall von Datenverlust bei einer Vermögensverwaltung beliefen sich die Kosten für die Rekonstruktion auf 175.000 Euro. Die finanziellen Folgen von fehlerhaften Backups sind im Vorfeld kaum abzusehen. Sie lassen sich durch eine spezielle IT-Haftpflicht-Versicherung weitgehend absichern.

Zum Schmunzeln: Ein Video-Tipp

Das Backup zu vernachlässigen kann auch psychisch schlimme Folgen haben. Dazu gibt es sogar einen kurzen Lehrfilm aus England: Wer The Institute for Backup Trauma jetzt allerdings zu ernst nehmen sollte, dem sei verraten, dass der Hauptdarsteller, Dr. Twain Weck, verblüffend an den Schauspieler und das ehemalige Monty Python-Mitglied John Cleese erinnert.

Ein Backup-Trauma kann vermieden werden: Der nächste Teil der Reihe "IT-Haftpflicht in der Praxis" beinhaltet eine Checkliste mit den wichtigsten Punkten, die bei der Einrichtung von Daten-Backups zu beachten sind - sozusagen die zwölf Gebote der Datensicherung.

Nähere Informationen bei Ralph Günther.
Der Autor behält sich alle Rechte am Artikel vor. © 2008 exali GmbH .

Lesermeinungen zum Artikel

Es wurden noch keine Bewertung abgegeben.