Warum die richtige Backup-Strategie für das revDSG so wichtig ist
Mit dem Ausrollen des neuen Datenschutzgesetzes sollen Kundendaten besser geschützt werden. Unternehmen sind jetzt gefordert und müssen verschiedene Massnahmen umsetzen.
Am 1. September 2023 tritt das total-revidierte Datenschutzgesetz (revDSG) in Kraft. Es ersetzt die bisherige Fassung von 1993. Die Änderungen beinhalten insbesondere Anpassungen an die technologischen Entwicklungen der vergangenen Jahre mit einem Fokus auf besseren Schutz von persönlichen Daten.
Betroffen von diesen Änderungen ist jedes Unternehmen, das personenbezogene Daten verarbeitet. Ausser den technischen und juristischen sind auch einige organisatorische Schutzmassnahmen erforderlich, wie etwa ein Backup-Konzept. Mit der richtigen Backup-Strategie sind Unternehmen nicht nur konform im Rahmen des revDSG, sondern auch effektiv bei der Sicherung von Firmendaten.
Daten sind die wertvollsten Ressourcen für ein Unternehmen
Unternehmen sollten darauf Wert legen, ihre wichtigste Ressource, nämlich ihre Daten, zu schützen. Gefahren für die Daten von Unternehmen gibt es auf diversen Ebenen:
Ökologische Gefahren wie Feuer und Wasser
Cyberangriffe wie etwa Ransomware-Attacken
Nicht korrekt abgespeicherte Dokumente
Um solchen Gefahren entgegenzuwirken, wird Unternehmen empfohlen, regelmässig Backups ihrer Systeme zu erstellen. Dadurch werden nicht nur die Daten zusätzlich gesichert, sondern auch die Zeit minimiert, in der ein Betrieb wegen der genannten Faktoren ausser Gefecht gesetzt werden kann.
Mit der passenden Backup-Strategie zum Rundumschutz
Wichtig ist nicht nur, dass die Daten des Unternehmens gesichert werden, sondern auch wie und wo. Bei einem Ausfall des Systems kann das Wie und Wo entscheidend sein. Oftmals wird von der 3-2-1-Strategie gesprochen.
Mindestens drei Sicherungen der Daten: Unternehmen sollten beim Sichern der Daten immer vom Worst-Case-Szenario ausgehen. Je mehr Datenkopien vorhanden sind, desto unwahrscheinlicher ist es, dass die Sicherungen unabhängig voneinander ausfallen.
Die Sicherungen auf mindestes zwei verschiedenen Datenträgern: Alle Backup-Technologien und Datenträger bringen ihre eigenen Fehleranfälligkeiten mit sich. Damit die Eventualität eines Ausfalles minimiert wird, sollten die Backups auf verschiedenen Datenträgern erstellt werden. Es besteht die Option, lokale Speicher, wie etwa ein NAS, zu nutzen oder auf die Cloud auszuweichen. Wichtig ist, dass alle Backup-Anbieter dementsprechende Sicherheitsmechanismen anbieten.
Eine Sicherheitskopie an einem externen Standort: Wenn Backups nicht physisch voneinander getrennt sind, gehen sie im Katastrophenfall alle verloren. Dieses Risiko kann eliminiert werden, wenn mindestens eine Sicherung extern abgelegt ist, sei es in der Cloud oder in einem externen Datencenter.
Eine Sicherung sollte offline gespeichert werden: Damit eine Unabhängigkeit vom Internet erstellt werden kann, sollte mindestens eine Sicherung offline verfügbar sein. Dies kann in Form von externen Festplatten geschehen.
Fazit
Die Massnahmen des revDSG sind sehr zeitintensiv, somit empfiehlt sich, diese frühzeitig in Angriff zu nehmen. Mit einer durchdachten und auf die Firma angepassten Backup-Strategie ist ein wichtiger Teil der Anforderungen des revDSG gedeckt und Unternehmen können so Datenverluste verhindern und Ausfallzeiten minimieren.
----------
Ein grosser Vorteil der Nutzung von Cloud-Diensten ist die Flexibilität
Die Sicherung von Unternehmensdaten ist ein komplexer, vielschichtiger Prozess. Eine gute Backup-Strategie umfasst daher verschiedene Lösungsaspekte, wie Oliver Widmer, Specialized Sales IT Security bei Alltron, im Interview sagt. Interview: Yannick Züllig
Was ist die für Unternehmen wichtigste Änderung im neuen Datenschutzgesetz?
Oliver Widmer: Es gibt eine ganze Reihe von relevanten Veränderungen. Eine besonders wichtige Veränderung ist hervorzuheben: das obligatorische Verzeichnis der Bearbeitungstätigkeiten. Dies bedeutet, dass Unternehmen künftig vom Gesetzgeber nicht nur verpflichtet sind, sich an den Datenschutz zu halten, sondern auch nachweislich dokumentieren müssen, wie sie dies gewährleisten.
Wie regelmässig müssen Backups erstellt werden, um Unternehmen effektiv zu schützen?
Unternehmen müssen sich grundsätzlich Gedanken machen, was ein akzeptabler Zeitraum zwischen den Backups ist – wie viel Datenverlust also akzeptabel ist. Diese RPO (Recovery Point Objective) genannte Messgrösse kann für jedes Unternehmen oder auch unterschiedliche Systeme sehr individuell sein. In letzter Zeit hat sich hier auf der technischen Schiene einiges getan. Einige Backup-Lösungen bieten die Möglichkeit an, die Nutzdaten ohne Unterbrechung zu sichern, die restlichen Systemdaten (etwa das Betriebssystem) hingegen nur beispielsweise ein Mal pro Tag. Mit Acronis Cyber Protect kann etwa eine Applikation oder ein Pfad bestimmt werden, dessen Daten bei jeder Änderung sofort gesichert werden. Damit kann das RPO praktisch komplett auf null reduziert werden.
Sind Naturkatastrophen oder Cyberangriffe aktuell ein grösseres Risiko für Unternehmensdaten?
Beides sind legitime Gefahrenquellen, die unterschiedliche Lösungsansätze erfordern. Da Naturkatastrophen in der Regel seltener vorkommen und lokal gebunden sind, kann dieses Risiko bereits mit einer Datensicherung an unterschiedlichen Standorten (geo-replication) stark gemindert werden. Cyberangriffe hingegen können jederzeit und ortsunabhängig erfolgen, ausserdem sind diese oftmals zielgerichtet und werden mit starker krimineller Energie durchgeführt. Die Bedrohungslage ist sehr komplex und erfordert mehrschichtige Schutzkonzepte, um Unternehmen gegen die unterschiedlichen Arten von Cyberangriffen zu schützen.
Ist es sinnvoller, zunächst in mehr Hardware- oder cloudbasierte Backups zu investieren? Und warum?
Zu einer guten Backup-Strategie sollte immer beides gehören. Lokale Backups helfen dabei, nach einem Desaster rasch Daten wiederherstellen zu können – ohne den Flaschenhals Internetleitung. Zusätzlich dazu sollte immer auch eine Kopie der Daten an einem anderen Standort vorhanden sein, etwa in der Cloud, um auch unabhängig des Standorts auf die Backups zugreifen zu können. Ein grosser Vorteil der Nutzung von Cloud-Diensten ist die Flexibilität. Cloud-Dienste erfordern keine grosse Investition und es können flexibel zusätzliche Ressourcen und Services dazugebucht werden.
Wie weit kann die 3-2-1-Strategie ausgebaut werden, bevor zu viele Redundanzen entstehen?
Natürlich können weitere Kopien, Medientypen (etwa Tape) und Standorte hinzugefügt werden, was aber die besagten Redundanzen schafft. Hier kommt es sehr darauf an, welche Anforderungen an die Verfügbarkeit der Daten nach einem Desaster bestehen. Mit mehr Redundanzen können je nach Art des Desasters schneller die Daten wiederhergestellt werden – das lässt sich in der Messgrösse RTO (Recovery Time Objective) festlegen.