Data Security Schutz vor Datenverlust durch Backups

Ein Gastbeitrag von Björn Albers

Anbieter zum Thema

Riesige Informationsmengen werden täglich in der Öffentlichen Verwaltung verarbeitet. Sicherungskopien schützen vor Verlust. Das systematische Anlegen der Backups muss verlässlich erfolgen und lückenlos dokumentiert werden. IT-Verantwortliche dürfen hier den Überblick nicht verlieren.

In öffentlichen Einrichtungen werden digitale Daten in hohem Maß verarbeitet und gespeichert
In öffentlichen Einrichtungen werden digitale Daten in hohem Maß verarbeitet und gespeichert
(© deepagopi2011 - stock.adobe.com)

Ob es sich um Behördenanträge, Steuerdaten, Dokumente zu umfangreichen Genehmigungsverfahren oder um sensible persönliche Bürgerdaten handelt: In öffentlichen Einrichtungen werden digitale Daten in hohem Maß verarbeitet und gespeichert. Die Daten müssen jederzeit zur Verfügung stehen. Andernfalls drohen Störungen bis hin zur Unterbrechung des gesamten Betriebes. Noch schlimmer ist ein kompletter Datenverlust. Wenn die Wiederherstellung unmöglich ist, ist dies eine Katastrophe. Betroffen sind am Ende auch die Bürgerinnen und Bürger. Sie erwarten von öffentlichen Institutionen gerade im Zeitalter der Digitalisierung die schnelle Bereitstellung von Diensten.

IT-Sicherheit meint auch Datensicherheit

Drei grundsätzliche Gefahrenkategorien für die Datensicherheit existieren: höhere Naturgewalt, technische Störfälle und der Faktor Mensch. Professionelle Data (Loss) Protection mit Backups stellt häufig die letzte Verteidigungslinie von IT-Netzwerken dar. Ein Beispiel sind Cyberattacken: Bei Hackerangriffen mit Ransomware werden Daten verschlüsselt und hohe Lösegelder eingefordert. Auf die Daten auf den Hauptservern lässt sich dann nicht mehr zugreifen. Auch durch technische Fehlfunktionen oder Notfälle, wie Brände, können Daten verloren gehen. Ohne ein unbeschädigtes Backup läuft dann nichts mehr.

Das Thema taucht explizit im IT-Grundschutz des Bundesamtes für Informationssicherheit (BSI) auf: Der Baustein „CON.3 Datensicherungskonzept“ beschreibt grundlegende Anforderungen an Backup-Konzepte. Ein im März 2022 von einer Arbeitsgruppe von Deutschem Städtetag, Landkreistag und Städte- und Gemeindebund veröffentlichtes Papier definiert Mindestmaßnahmen für den IT-Betrieb. Kommunalverwaltungen müssen diese erfüllen, um sich nicht „der groben Fahrlässigkeit“ schuldig zu machen. Auch hier findet sich der Baustein aus dem BSI-Grundschutz wieder. Backup-Anforderungen werden ebenso in Normen wie der ISO 27002 spezifiziert. Für die Verarbeitung und Speicherung personenbezogener Daten definiert die Datenschutzgrundverordnung (DSGVO) verpflichtende Vorgaben. Die DSGVO benennt den Schutz vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung. Data Security bzw. Data Protection ist also ein integraler Bestandteil der weiter gefassten IT Security.

Essenziell ist der Durchblick beim Backup

Das Anlegen von Sicherungskopien ist daher eine tägliche Routine im IT-Betrieb. Die Gewährleistung von Datensicherheit macht eine solide Backup-Infrastruktur erforderlich. Im Idealfall behalten Administratoren zu jedem Zeitpunkt den vollständigen Überblick und die volle Kontrolle über alles, was in der Backupumgebung geschieht. Dies schließt alle Backups, Backup-Server sowie Konfigurationsdetails und -änderungen mit ein. Wenn für die Datensicherung verschiedene Software-Produkte zum Einsatz kommen, brauchen die Verantwortlichen eine kompakte Übersicht mit einem einheitlichen Dashboard, das alles umfasst.

Um die ordnungsgemäße Durchführung nachzuweisen, müssen IT-Mitarbeiter zudem Dokumentationen erstellen. Wichtig ist, dass diese Berichte die Erfüllung gesetzlicher Richtlinien bzw. spezieller Vorgaben der Mandanten nachweisen. Die Nachweise dienen aber nicht nur der Erfüllung von Audit- und Compliance-Vorgaben. Sie sind auch eine praktische Hilfe für Admins, um den notwendigen Überblick nicht zu verlieren und Qualität sicherzustellen.

Jederzeit vollständige Nachweise nötig

Bei einer mangelhaften Dokumentation kann der Restore der Daten länger dauern als geplant. Allein das Auffinden der Backupdaten raubt zum Teil viel Zeit. Wirklich fatal ist es allerdings, wenn Fehler im Backup „unter dem Radar“ bleiben. Genau das geschieht in der Praxis eben durch unzureichendes Reporting: Die Möglichkeiten der Data-Protection-Software für die Berichterstellung sind häufig begrenzt. Reports mitunter mithilfe von Scripts erstellt, die ein Backup-Administrator selbst geschrieben hat. Möglicherweise hat dieser Mitarbeiter die Organisation bereits verlassen. Das Script läuft im Hintergrund weiter. Der Nachfolger verlässt sich beim Reporting darauf, versteht aber die genaue Funktionsweise nicht. Vielleicht funktioniert das Script nicht mehr richtig. Wenn ein Update für die Backup-Software erscheint, werden neue Funktionen beim Reporting nicht berücksichtigt, weil das Script parallel nicht auch geupdatet wird. Die Folge: Der Report ist unvollständig und dokumentiert bestimmte kritische Fehler nicht. Den Verantwortlichen fällt dies nicht auf. Kritische Daten werden nicht gesichert.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Von hoher Relevanz sind im Bereich der Öffentlichen Verwaltung die individuell geltenden Aufbewahrungsfristen zu Bürgerdaten. Auch diesbezüglich sollten Nachweise und Informationen für jedes Backup jederzeit schnell verfügbar sein. Dies betrifft ebenso die Archivierung. Backup-Produkte bieten meist Archivfunktionen an. Diese arbeiten mit Aufbewahrungsfristen, Intervallen und Speicherorten, die sich von den Backups unterscheiden. Alle Einstellungen müssen hier genauso dokumentiert werden.

IT-Verantwortliche sollten auf alle Fragen vorbereitet sein, für die sich Audit-Prüfer interessieren:

  • Wann ist ein Backup für einen Computer gelaufen?
  • Welche Fehler gab es?
  • Welche Maßnahmen wurden zur Behebung ergriffen?
  • Wie war das Backup zu diesem spezifischen Zeitpunkt konfiguriert?

Solche Fragen allein mit den Reporting-Optionen des Backup-Tools zu beantworten, ist schwer möglich. Dieses gibt zum Beispiel keine Auskunft über die konfigurierte Aufbewahrungsfrist eines bestimmten Backups zu einem spezifischen vergangenen Zeitpunkt. Sollten diese Informationen im Nachhinein überhaupt noch abrufbar sein, benötigen Administratoren viel Zeit beim Zusammensuchen.

Mehr Sicherheit trotz weniger Arbeit

Automatisiertes Monitoring unterstützt dabei, die Kontrolle zurückzugewinnen. Ein großer Vorteil ist die „Außenperspektive“ auf die gesamte Infrastruktur: Die gerade in IT-Abteilungen großer Organisationen fragmentierte Backup-Umgebung wird von einer unabhängigen Instanz überwacht. Diese findet Fehler, die Data-Protection-Programme von sich aus zum Teil nicht erkennen: Wenn ein Sicherungskopie eine Größe von 0 Byte anzeigt, kann man in vielen Fällen logisch schließen, dass sie fehlerhaft ist. Denn offensichtlich befinden sich keinerlei Daten darin. Die Backup-Software selbst identifiziert dieses Problem nicht. Sie registriert anhand ihrer eigenen Parameter fälschlicherweise die ordnungsgemäße Datensicherung. Ein separates Monitoring-Tool erkennt diese Fehler.

Umgekehrt zeigt es auch nur die wirklich relevanten Fehler an. Damit erspart es IT-Teams dort zeitlichen Aufwand für die Analyse, wo gar keine echten Probleme sind. Zusätzlich reduziert sich auch der Aufwand bei der Fehlerbehebung: Alle für das Problem relevanten Informationen werden übersichtlich und zusammenhängend dargestellt. Umständliches Zusammensuchen aus den entlegensten Ecken des Backup-Tools fällt dadurch weg. Reports und Dokumentationen bleiben durch Automatisierung immer abrufbereit, wenn sie gebraucht werden. Die Informationen darin sind idealerweise praxisrelevant, können also passgenau auf die Bedürfnisse des jeweiligen Mandanten zugeschnitten werden.

Nicht zuletzt minimiert automatisierte Backup-Überwachung menschliche Fehler, die besonders unter Zeitdruck entstehen. IT-Administratoren haben meist noch andere, anspruchsvolle Aufgaben. Wenn das Thema Backup auch eher unbeliebt ist, so gehört es doch zu den notwendigen Security-Maßnahmen. Der Mehrwert wird hier erst sichtbar, wenn der Schaden da ist. Die Denkweise lautet: „Es muss eben gemacht werden.“ Gerade deshalb lohnen sich Investitionen, die qualitätssichernd wirken sowie signifikante Zeit-, Arbeits- und Kostenersparnis versprechen.

* Der Autor: Björn Albers, Senior Systemberater Schmitz RZ Consult GmbH

(ID:48555474)