© artpartner-images/Getty Images© artpartner-images/Getty Images

vernetzt

Daten hinter Schloss und Riegel

Egal ob sie gestohlen werden oder verloren gehen, weil Datenträger kaputtgehen – der Verlust von Daten über Kunden und Lieferanten kann das Aus für eine Firma bedeuten. Die richtige und rechtskonforme Sicherung ist ein absolutes Muss.

Schon kleine Aktionen können eine Katastrophe auslösen: Ein unbedachter Mausklick auf einen E-Mail-Anhang und das Unheil nimmt seinen Lauf. Innerhalb von 24 Stunden infizierte die Erpressersoftware Locky auf diese Weise Anfang 2016 mehr als 17.000 Rechner in Deutschland und machte alle Dateien darauf unbrauchbar. Doch es müssen nicht immer Viren oder Malware sein. Immer wieder gehen Festplatten und Datenträger kaputt, weil sie zu alt sind, ein Blitzeinschlag zu Überspannung führt oder schlicht der Kaffee aus einer umgestoßenen Tasse darüber läuft. Vor Datenverlust ist niemand gefeit: Laut der Studie „Global Data Protection Index“, die das Marktforschungsunternehmen Vanson Bourne im Auftrag des US-IT-Anbieters Dell EMC im vergangenen Jahr erstellte, verloren 37 Prozent der untersuchten 200 deutschen Unternehmen während der vorangegangenen zwölf Monate wenigstens einmal Geschäftsdaten. Die Kosten dafür beliefen sich im Durchschnitt auf 558.000 Euro.

Was viele nicht wissen: „Neben wirtschaftlichen Folgen für das Unternehmen und den Imageschäden kann eine unzureichende Datensicherung auch juristische Konsequenzen haben“, erklärt Hans Markus Wulf, Rechtsanwalt und Partner bei der auf IT-Recht spezialisierten Sozietät SKW Schwarz in Hamburg. „Bei mangelhafter Datensicherung tragen die Unternehmen beziehungsweise deren Geschäftsführung grundsätzlich die volle Verantwortung und somit das gesamte Haftungsrisiko. Und dies teilweise sogar persönlich, unabhängig von der gewählten Rechtsform“, sagt er.

Datenverluste durch Hackerangriffe stiegen gemäß der Vanson-Bourne-Studie von 2014 auf 2016 um 13 Prozent. Auffällig dabei: Die Angreifer nehmen nicht mehr nur Stamm- und Geschäftsdaten der Firmen ins Visier, sondern auch Backup- und Archivkopien – etwa mittels sogenannter Ransomware wie WannaCry, die im Mai 2017 eine Sicherheitslücke des Windows-Betriebssystems ausnutzte. „Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen“, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn.

3, 2, 1, für immer meins

Neben Firewall und ständigen Updates aller eingesetzten Software-Produkte ist eine regelmäßige Datensicherung deshalb geradezu überlebenswichtig. Experten empfehlen dabei die 3-2-1-Regel. Das heißt, dass alle Daten dreifach vorliegen sollten: einmal als Original und zweimal als Kopien. Unternehmen sollten zwei verschiedene Technologien nutzen und mindestens eine Kopie an einem anderen Ort aufbewahren. Und ganz wichtig: Regelmäßig testen, ob die Backups auch wirklich funktionieren, sodass das Geschäft im Notfall schnell weiterlaufen kann.

Bei der Form der Datenspeicher haben Unternehmen die Wahl zwischen verschiedenen Varianten: „Bei kleinen und mittelständischen Firmen sind die gängigsten Backup-Speicher – auch aus Kostengründen – aus unserer Sicht eigene kleine Server mit HDD-(Hard Disk Drive)-Festplatten, die als sogenannte RAID-(Redundant Array of Independent Disks)-Systeme konfiguriert werden. Oder aber Cloud-Backups, externe Einzel-Festplatten sowie das Speichern auf der internen Festplatte eines eingesetzten Backup­Desktop-PCs“, erklärt Michael Nuncic, Marketing Communications und Program Manager beim Datenrettungsspezialisten Kroll Ontrack. Magnetband-Lösungen kommen bei geringen Datenmengen meist noch nicht zum Einsatz.

 Maßgeschneiderte Lösungen

„Welche Datensicherungsvariante am besten geeignet ist, kann man pauschal nicht beantworten. Das hängt ganz entscheidend von dem zugrundeliegenden Einsatzszenario ab“, sagt Nuncic. „Wenn es sich bei dem Backup um eine Sicherheitskopie eines laufenden Produktivsystems handelt, das eine geschäftskritische Funktion für das Unternehmen besitzt, muss dieses so schnell wie möglich wieder zum Laufen gebracht werden. Die Daten eines umfangreichen Webshops auf einem Magnetband-Backup zu speichern, macht deshalb keinen Sinn.“ Hier seien HDD-basierte oder noch besser – weil schneller – SSD-(Solid State Drive)-basierte Systeme geeigneter, weil sich Backups damit schnell auf ein neu aufgesetztes Produktivsystem aufspielen ließen, erklärt der Fachmann.

Bei der Auswahl der Lösungen sollten Unternehmen außerdem darauf achten, dass das System eine große Verbreitung im Markt hat. Nur so stehen permanent neue Upgrades und Funktionsverbesserungen sowie Treiberunterstützungen zur Verfügung – und die Lösung muss nicht nach ein paar Jahren durch eine neue ersetzt werden.

Als besonders komfortabel und einfach erscheint die Datensicherung in der Cloud, zumal sie eine fast uneingeschränkte Verfügbarkeit verspricht. „Als Unternehmer muss man sich allerdings Gedanken machen, ob es aus datenschutzrechtlichen Gründen wichtig ist, dass der Server in Deutschland steht, und was passiert, wenn der Cloud-Anbieter insolvent wird“, erklärt Thomas Steinke, Prokurist bei März Datenverarbeitung in München. Auch, ob das Unternehmen selbst über die erforderliche Bandbreite verfügt, damit nicht jeder Up- und Download minutenlang dauert, ist ein Kriterium.

Viele Kopien, viel Sicherheit

Beim Einsatz von Magnetband- oder Festplattenlaufwerken rät Steinke zu einer Erstausstattung von 20 Sicherungsbändern beziehungsweise Festplatten: „Vier Datenträger für jeden Montag, Dienstag, Mittwoch und Donnerstag, die rollierend jede Woche neu überschrieben werden. Weitere vier Speichermedien für vier Freitage des Monats, die auch monatlich neu überschrieben werden. Dazu kommen elf Monatsbänder oder -platten für jeden Monatsletzten, der jährlich überschrieben wird, und zu guter Letzt ein Speicher für den 31. Dezember eines jeden Jahres, der mindestens zehn Jahre aufbewahrt werden sollte.“ Nach dieser Rechnung muss jährlich nur ein neues Sicherungsmedium zusätzlich angeschafft werden – eine überschaubare Investition.

Und wenn bei aller Vorsicht und der besten Datensicherung doch der schlimmste aller denkbaren Fälle eintritt? „Der beste Tipp, den man hierbei geben kann, ist, das betroffene System beziehungsweise den betroffenen Speicher so schnell wie möglich abzuschalten“, erklärt Nuncic. Damit wird verhindert, dass das Betriebssystem neue Daten oder Fragmente genau an der Stelle speichert, an der die verlorenen Originaldateien abgelegt wurden. „So schnell wie möglich bedeutet hier aber nicht, sofort den Stecker zu ziehen“, betont er. „Besser ist es, das System möglichst normal herunterzufahren. Und zwar selbst dann, wenn der Datenverlust durch eine Ransomware oder einen sonstigen Virus verursacht wurde.“ Ansonsten besteht nämlich die Gefahr, dass noch nicht gespeicherte Daten oder Datenbanken korrumpieren, was bedeutet, dass deren interne Struktur beschädigt wird. Das würde die Datenrettung und -wiederherstellung erschweren – allen Vorsichtsmaßnahmen zum Trotz.

 

Gesetzliche Anforderungen an die Speicherung von Daten

Hans Markus Wulf, Rechtsanwalt und Partner bei der auf IT-Recht spezialisierten Sozietät SKW Schwarz in Hamburg, erläutert die rechtlichen Eckpunkte der Datensicherung:

 Verfügbarkeitskontrolle. Unternehmen haben nach § 9 Bundesdatenschutzgesetz (BDSG) die Pflicht zur Umsetzung von technischen und organisatorischen Maßnahmen zur Einhaltung der datenschutzrechtlichen Vorgaben. Dies umfasst die Verfügbarkeitskontrolle: Das Unternehmen muss sicherstellen, dass alle personenbezogenen Daten jederzeit verfügbar sind, dazu gehört eine effektive Datensicherung. Eine solche Pflicht trifft das Unternehmen auch nach Geltung der neuen EU-Datenschutz-Grundverordnung (DSGVO) ab Mai 2018 (gemäß Art. 32 Abs. 1 lit. b). Bei Zuwiderhandlung drohen Sanktionen bis zu einem Bußgeld von zehn Millionen Euro (Art. 83 DSGVO).

 Sicherungszyklus. Wie oft die Daten zu sichern sind, ist nicht geregelt. Allerdings gilt in der Praxis das Einvernehmen, dass eine Datensicherung täglich erfolgen muss. Die für kleine und mittlere Unternehmen im Bereich der IT-Sicherheit geltende VdS-Richtlinie 3473 sieht in Ziffer 16.5.1 vor, dass eine Datensicherung so zu erfolgen hat, dass alle Daten gespeichert werden, die nicht älter als 24 Stunden sind.

 Folgen bei Verstoß. Kommt der Geschäftsführer einer GmbH der Datensicherungspflicht beziehungsweise der Einführung eines Systems zur regelmäßigen Datensicherung nicht nach, so droht im Regress des Unternehmens sogar die Haftung mit dem Privatvermögen.

 

Fünf Tipps gegen den Datenverlust

Eine hundertprozentige Sicherheit gibt es nie, doch der Verlust lässt sich mit einigen Vorkehrungen eindämmen:

1 Notfallplan erstellen. Eckpunkte eines Notfallplans beinhalten, wer wofür zuständig ist, wer informiert werden muss und welche geschäftskritischen Daten zuerst wiederhergestellt werden müssen. Ein guter Notfallplan enthält die Kontaktdaten eines spezialisierten Datenrettungsunternehmens. Wichtig: Der Notfallplan sollte allen bekannt gemacht werden und leicht zugänglich sein.

2 Regelmäßiges Backup durchführen. Unternehmen sollten ihre Daten täglich sichern und mindestens einmal wöchentlich eine Vollsicherung vornehmen.

3 Computer pflegen. Experten raten, Festplatten regelmäßig zu defragmentieren, die Laufwerkskapazität zu überprüfen sowie Software für das Antiviren- und Festplatten-Monitoring zu nutzen.

 4 Daten sicher lagern. Das Backup sollte an einem sicheren Ort außerhalb des eigenen Firmensitzes untergebracht werden. Hier bieten sich Cloud-Lösungen an.

 5 Testläufe des Backups durchführen. Rücksicherungstests – etwa alle zwei bis drei Monate – schützen vor bösen Überraschungen im Notfall.

 

Eckpunkte eines Notfallplans

Der Notfallplan sollte sowohl vorbeugende Maßnahmen enthalten als auch Maßnahmen, mit denen das Unternehmen seine Geschäfte im Ernstfall wie gewohnt weiterführen kann. Im Überblick die Mindestanforderungen:

 Risikoanalyse erstellen. Die wichtigsten Geschäftsprozesse auflisten, die besonders geschützt werden müssen, ebenso die Folgen, wenn diese ausfallen.

Lösungsmöglichkeiten entwickeln. Wie können Ausfälle schnellstmöglich aufgefangen und der Betrieb aufrechterhalten werden, welcher Dienstleister kann dabei helfen? Gibt es

Ausweichmöglichkeiten?

Beauftragung von Verantwortlichen. Mitarbeiter-Team benennen, das im Notfall Ansprechpartner ist und die Vorgehensweise koordiniert. Für das Team Bereitschaftspläne aufstellen.

Handlungsanweisungen festlegen. So weiß jeder, was im Ernstfall in welcher Reihenfolge zu tun ist.

Regelmäßige IT-Sicherheitsschulungen. Für alle Mitarbeiter zum Pflichtprogramm erklären und Notfallübungen abhalten.

Notfallplan in Sicherheitsrichtlinien integrieren. Den Notfallplan regelmäßig aktualisieren und dafür sorgen, dass allen Mitarbeitern die aktuelle Fassung vorliegt.


Wir freuen uns über Diskussionen und Ihre Kommentare.
Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

CAPTCHA-Bild

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Lesen Sie weiter