Bundesamt für Sicherheit in der Informationstechnik

M 6.33 Entwicklung eines Datensicherungskonzepts

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT, Verantwortliche der einzelnen Anwendungen

Die Verfahrensweise der Datensicherung wird von einer großen Zahl von Einflussfaktoren bestimmt. Das IT-System, das Datenvolumen, die Änderungsfrequenz der Daten und die Verfügbarkeitsanforderungen sind einige dieser Faktoren. Im Datensicherungskonzept gilt es, eine Lösung zu finden, die diese Faktoren berücksichtigt und gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist.

Die technischen Möglichkeiten, Datensicherungen durchzuführen, sind vielfältig. Jedoch wird die Auswahl immer von den genannten Faktoren bestimmt. Daher gilt es zunächst, die Einflussgrößen der IT-Systeme und der damit realisierten IT-Anwendungen zu bestimmen und nachvollziehbar zu dokumentieren. Anschließend muss die geeignete Verfahrensweise entwickelt und dokumentiert werden. Zum Abschluss muss durch die Behörden-/Unternehmensleitung die Durchführung angeordnet werden.

Das Datensicherungskonzept muss für die Gewährleistung einer funktionierenden Datensicherung die Datenrestaurierbarkeit mittels praktischer Übungen als Verpflichtung vorsehen (siehe M 6.41 Übungen zur Datenrekonstruktion ).

Die Ergebnisse sollten aktualisierbar und erweiterbar in einem Datensicherungskonzept niedergelegt werden. Ein möglicher Aufbau eines Datensicherungskonzepts ist im nachfolgenden Inhaltsverzeichnis beispielhaft aufgezeigt:

Inhaltsverzeichnis Datensicherungskonzept

1. Definitionen

  • Anwendungsdaten, Systemdaten, Software, Protokolldaten
  • Vollsicherung, inkrementelle Datensicherung

2. Gefährdungslage zur Motivation

  • Abhängigkeit der Institution vom Datenbestand
  • Typische Gefährdungen wie ungeschulte Benutzer, gemeinsam genutzte Datenbestände, Computer-Viren, Hacker, Stromausfall, Festplattenfehler
  • Institutionsrelevante Schadensursachen
  • Schadensfälle im eigenen Haus

3. Einflussfaktoren je IT-System

  • Spezifikation der zu sichernden Daten
  • Verfügbarkeitsanforderungen der IT-Anwendungen an die Daten
  • Rekonstruktionsaufwand der Daten ohne Datensicherung
  • Datenvolumen
  • Änderungsvolumen
  • Änderungszeitpunkte der Daten
  • Fristen
  • Vertraulichkeitsbedarf der Daten
  • Integritätsbedarf der Daten
  • Kenntnisse und datenverarbeitungsspezifische Fähigkeiten der IT-Benutzer

4. Datensicherungsplan je IT-System

4.1 Festlegungen je Datenart
  • Art der Datensicherung
  • Häufigkeit und Zeitpunkt der Datensicherung
  • Anzahl der Generationen
  • Datensicherungsmedium
  • Verantwortlichkeit für die Datensicherung
  • Aufbewahrungsort der Backup-Datenträger
  • Anforderungen an das Datensicherungsarchiv
  • Transportmodalitäten
  • Rekonstruktionszeiten bei vorhandener Datensicherung
4.2 Festlegung der Vorgehensweise bei der Datenrestaurierung
  • Randbedingungen für das Datensicherungsarchiv
    • Vertragsgestaltung (bei externen Archiven)
    • Refresh-Zyklen der Datensicherung
    • Bestandsverzeichnis
    • Löschen von Datensicherungen
    • Vernichtung von unbrauchbaren Datenträgern
  • Vorhalten von arbeitsfähigen Lesegeräten

5. Minimaldatensicherungskonzept

6. Verpflichtung der Mitarbeiter zur Datensicherung

7. Sporadische Restaurierungsübungen

Einzelne Punkte dieses Datensicherungskonzepts werden in den Maßnahmen M 6.34 Erhebung der Einflussfaktoren der Datensicherung , M 6.35 Festlegung der Verfahrensweise für die Datensicherung , M 6.37 Dokumentation der Datensicherung , M 6.41 Übungen zur Datenrekonstruktion und M 2.41 Verpflichtung der Mitarbeiter zur Datensicherung näher ausgeführt, so dass nach Bearbeitung dieser Maßnahmen für jedes relevante IT-System die wesentlichen Teile eines anwenderspezifischen Datensicherungskonzepts erstellt sind.

Prüffragen:

  • Existiert ein aktuelles Datensicherungskonzept?

  • Sind sämtliche betroffenen IT-Systeme im Datensicherungskonzept aufgeführt?

  • Sind die Mitarbeiter über den sie betreffenden Teil des Datensicherungskonzepts unterrichtet?

  • Wird die Umsetzung des Datensicherungskonzepts regelmäßig kontrolliert?

Stand: 13. EL Stand 2013