Bundesamt für Sicherheit in der Informationstechnik

M 2.138 Strukturierte Datenhaltung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Eine schlecht strukturierte Datenhaltung kann zu einer Vielzahl von Problemen führen. Alle IT-Benutzer sind daher darauf hinzuweisen, wie eine gut strukturierte und übersichtliche Datenhaltung aussehen sollte. Auf allen Servern sollten entsprechende Strukturen durch die Administratoren vorgegeben werden. Dies ist ohnehin Voraussetzung, um eine differenzierte Vergabe von Zugriffsrechten realisieren zu können.

Programm- und Arbeitsdateien sollten immer in getrennten Bereichen gespeichert werden. Dies sorgt für eine bessere Übersicht und erleichtert auch die Durchführung von Datensicherungen und die Sicherstellung des korrekten Zugriffsschutzes. Bei den meisten Applikationsprogrammen ändern sich nach der Installation keine oder nur sehr wenige Konfigurationsdateien. Soweit möglich, sollten alle Dateien, die sich regelmäßig ändern, in gesonderten Verzeichnissen abgespeichert werden, damit nur diese in die regelmäßigen Datensicherungen mitaufgenommen werden müssen.

Bei einer sauberen Trennung von Programmen und Daten reicht es, die Daten in die regelmäßigen Datensicherungen aufzunehmen. Wichtig ist es, die Arbeitsdateien sorgfältig gesichert zu haben, diese können dann notfalls auch auf anderen Systemen weiterverarbeitet werden.

Bei vernetzten Systemen stellt sich außerdem die Frage, welche Programme bzw. Dateien auf den lokalen Festplatten oder auf einem Netzserver abgelegt werden sollten. Beides hat Vor- und Nachteile und muss sowohl von der organisatorischen Struktur als auch von der eingesetzten Hard- und Software abhängig gemacht werden. So sollten z. B. Dateien mit hohen Verfügbarkeitsansprüchen zusammen mit den zugehörigen Applikationsprogrammen besser auf den Arbeitsplatzrechnern gehalten werden als auf einem Netzserver. Dann muss allerdings auch die entsprechende Notfallvorsorge für diese Arbeitsplatzrechner betrieben werden.

Es sollten aufgaben- oder projektbezogene Verzeichnisse eingerichtet werden, um die Zuordnung von Dateien zu erleichtern. Es sollten möglichst wenig Daten in personenbezogenen Verzeichnissen abgelegt werden.

Um zu verhindern, dass für die weitere Arbeit grundlegenden Dateien wie Briefvorlagen, Formularen, Projektplänen oder Ähnlichem unterschiedliche Versionsstände existieren, sollten diese zentral verwaltet werden. Sie sollten beispielsweise auf einem Server so vorgehalten werden, dass jeder lesend darauf zugreifen kann, aber es sollte für jede solche Datei jeweils nur eine Person geben, die sie verändern darf.

Wie auf einem Server durch Verzeichnisvorgaben Daten strukturiert werden könnten, wird in dem folgenden Beispiel gezeigt:

\
\bin
\bin\program1
\bin\program2
\bin\program3
\user
\user\user1
\user\user2
\projekte
\projekte\p1
\projekte\p1\texte
\projekte\p1\bilder
\projekte\p2
\projekte\p2\projektplan
\projekte\p2\teilprojekt1
\projekte\p2\teilprojekt2
\projekte\p2\teilprojekt3
\projekte\p2\ergebnis
\vordrucke

Es sollte regelmäßig überprüft werden,

  • ob Daten aus dem Produktionssystem entfernt werden können, weil sie archiviert oder gelöscht werden können,
  • ob Zugriffsrechte entzogen werden können, weil Mitarbeiter die Projektgruppe verlassen haben,
  • ob auf allen IT-Systemen die aktuellsten Versionen von Formularen, Vorlagen, etc. gespeichert sind.

Dies ist durch die Benutzer für deren IT-Systeme bzw. die von ihnen verwalteten Verzeichnisse und von den Administratoren der Server regelmäßig zu überprüfen. Diese Prüfungen sollten mindestens vierteljährlich durchgeführt werden, da sonst die Kenntnisse über Inhalt und Herkunft der Dateien wieder aus den Gedächtnissen der Mitarbeiter verschwunden sind.

Prüffragen:

  • Werden auf allen Servern der Organisation Strukturen für eine strukturierte Datenhaltung geschaffen?

  • Sind alle Benutzer darüber informiert, wie eine strukturierte Datenhaltung aussieht?

  • Werden Programm- und Arbeitsdaten voneinander getrennt gespeichert?

  • Ist geregelt, welche Daten lokal bzw. im Netz gespeichert werden sollen?

  • Wird die Datenspeicherung in personenbezogenen Verzeichnissen vermieden?

  • Werden Vorlagedateien zentral verwaltet?

  • Wird mindestens vierteljährlich überprüft, ob die Vorgaben zur strukturierten Datenhaltung auf den Servern eingehalten werden?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK