Bundesamt für Sicherheit in der Informationstechnik

M 6.35 Festlegung der Verfahrensweise für die Datensicherung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter

Die Verfahrensweise, wie die Datensicherung durchzuführen ist, wird von den in M 6.34 Erhebung der Einflussfaktoren der Datensicherung erhobenen Einflussfaktoren bestimmt. Für jedes IT-System und für jede Datenart muss die Verfahrensweise der Datensicherung festgelegt werden. Bei Bedarf ist sogar noch eine Unterscheidung für einzelne IT-Anwendungen des IT-Systems vorzunehmen, wenn sich hier differente Datensicherungsstrategien ergeben, was insbesondere im Großrechnerbereich sinnvoll sein kann.

Folgende Modalitäten einer Datensicherung sind für die Festlegung einer Verfahrensweise für die Datensicherung zu betrachten:

  • Art der Datensicherung,
  • Häufigkeit und Zeitpunkt der Datensicherung,
  • Anzahl der Generationen,
  • Vorgehensweise und Speichermedium,
  • Verantwortlichkeit für die Datensicherung,
  • Aufbewahrungsort,
  • Anforderungen an das Datensicherungsarchiv,
  • Transportmodalitäten und
  • Aufbewahrungsmodalität.

In der nachfolgenden Tabelle werden die Abhängigkeiten zwischen den Modalitäten einer Datensicherung und den Einflussfaktoren dargestellt und anschließend erläutert:

  Art der
Datensicherung
Häufigkeit und Zeitpunkte der Datens. Anzahl der Generationen Vorgehensweise und Speichermedium Verantwortlichkeit für
Datens.
Aufbewahrungsort Anforderungen an DS-Archiv Transportmodalitäten Aufbewahrungsmodalität
Verfügbarkeitsanforderungen   X  (X)   X   X   X   X   X   X  
Rekonstruktionsaufwand ohne Datens.    (X)   X            
Datenvolumen   X     X   X     X   X   X  
Änderungsvolumen   X   X   X   X          
Änderungszeitpunkte der Daten  (X)   X            (X)  
Fristen         X       X     X
Vertraulichkeitsbedarf der Daten        (X)   X     X   X   X
Integritätsbedarf der Daten  
 (X)  (X)   X     X   X   X
Kenntnisse der
IT-Benutzer
  X       X   X        

X bedeutet direkter Einfluss, (X) bedeutet indirekter Einfluss

Tabelle: Datensicherung

Erläuterungen:

Art der Datensicherung

Folgende Datensicherungsarten lassen sich aufzeigen:

  • Volldatensicherung: bei der Volldatensicherung werden sämtliche zu sichernden Dateien zu einem bestimmten Zeitpunkt auf einen zusätzlichen Datenträger gespeichert. Es wird dabei nicht berücksichtigt, ob die Dateien sich seit der letzten Datensicherung geändert haben oder nicht. Daher benötigt eine Volldatensicherung einen hohen Speicherbedarf. Der Vorteil ist, dass die Daten vollständig für den Sicherungszeitpunkt vorliegen und die Restaurierung von Dateien einfach und schnell möglich ist, da nur die betroffenen Dateien aus der letzten Volldatensicherung extrahiert werden müssen. Werden Volldatensicherungen selten durchgeführt, so kann sich durch umfangreiche nachträgliche Änderungen innerhalb einer Datei ein hoher Nacherfassungsaufwand ergeben.
  • Inkrementelle Datensicherung: bei der inkrementellen Datensicherung werden im Gegensatz zur Volldatensicherung nur die Dateien gesichert, die sich gegenüber der letzten Datensicherung (Volldatensicherung oder inkrementelle Sicherung) geändert haben. Dies spart Speicherplatz und verkürzt die erforderliche Zeit für die Datensicherung. Für die Restaurierung der Daten ergibt sich i. allg. ein höherer Zeitbedarf, da die Dateien aus Datensicherungen verschiedener Zeitpunkte extrahiert werden müssen. Die inkrementelle Datensicherung basiert immer auf einer Volldatensicherung. In periodischen Zeitabständen werden Volldatensicherungen erzeugt, in der Zeit dazwischen werden eine oder mehrere inkrementelle Datensicherungen vollzogen. Bei der Restaurierung wird die letzte Volldatensicherung als Grundlage genommen, die um die in der Zwischenzeit geänderten Dateien aus den inkrementellen Sicherungen ergänzt wird.
  • Differentielle Datensicherung: bei der differentiellen Datensicherung werden nur die Dateien gesichert, die sich gegenüber der letzten Volldatensicherung geändert haben. Eine differentielle Datensicherung benötigt mehr Speicherplatz als eine inkrementelle, Dateien lassen sich aber einfacher und schneller restaurieren. Für die Restaurierung der Daten reicht die letzte Volldatensicherung sowie die aktuellste differentielle, nicht wie bei der inkrementellen, wo unter Umständen mehrere Datensicherungen nacheinander eingelesen werden müssen.
  • Hinweis: Häufig wird auch Datenspiegelung als Datensicherungsmethode bezeichnet. Bei der Datenspiegelung werden die Daten redundant und zeitgleich auf verschiedenen Datenträgern gespeichert. Da so der Ausfall eines dieser Speicher ohne Zeitverlust überbrückt werden kann, steigert Datenspiegelung die Verfügbarkeit. Es ersetzt allerdings keine Datensicherung, da es nicht gegen Gefährdungen wie Diebstahl, Brand oder unbeabsichtigte Datenlöschung hilft.

Eine spezielle Form dieser genannten Datensicherungsstrategien ist die Image-Datensicherung. Bei der Image-Datensicherung werden nicht die einzelnen Dateien eines Festplattenstapels gesichert, sondern die physikalischen Sektoren der Festplatte.

Es handelt sich dabei um eine Vollsicherung, die sehr schnell auf eine gleichartige Festplatte restauriert werden kann.

Eine weitere Form ist das Hierarchische Speicher-Management (HSM). Hierbei geht es in erster Linie um die wirtschaftliche Ausnutzung teurer Speicher. Dateien werden abhängig von der Häufigkeit, mit der auf sie zugegriffen wird, auf schnellen Online-Speichern (Festplatten) gehalten, auf Nearline-Speicher (automatische Datenträger-Wechselsysteme) ausgelagert oder auf Offline-Speichern (Magnetbänder) archiviert. Gleichzeitig bieten diese HSM-Systeme i. A. auch automatische Datensicherungsroutinen kombiniert aus inkrementeller Datensicherung und Volldatensicherung.

Eine redundante Datenspeicherung bieten RAID-Systeme an (Redundant Array of Inexpensive Disks). Das RAID-Konzept beschreibt die Verbindung von mehreren Festplatten unter dem Kommando eines sogenannten Array-Controllers. Man unterscheidet verschiedene RAID-Level, wovon RAID-Level 1 die Datenspiegelung beschreibt.

RAID-Systeme ersetzen keine Datensicherung! RAID-Systeme helfen nicht bei Diebstahl oder Brand, daher müssen auch die auf RAID-Systemen gespeicherten Daten auf zusätzliche Medien gesichert werden und diese Medien auch in anderen Brandabschnitten untergebracht werden.

Für die Entscheidung, welche Datensicherungsstrategie angewendet werden soll, sind die folgenden Einflussfaktoren zu berücksichtigen, um eine für die Anforderungen geeignete und gleichzeitig wirtschaftliche Form zu finden:

Verfügbarkeitsanforderungen:

Sind die Verfügbarkeitsanforderungen sehr hoch, so ist eine Datenspiegelung in Erwägung zu ziehen, sind die Verfügbarkeitsanforderungen hoch, so sollte einer Volldatensicherung gegenüber der inkrementellen Datensicherung der Vorzug gegeben werden.

Datenvolumen und Änderungsvolumen:

Entspricht das Änderungsvolumen annähernd dem Datenvolumen (z. B. bei der Nutzung einer Datenbank), so verringert sich die Speicherplatzersparnis der inkrementellen Datensicherung so stark, dass eine Vollsicherung in Erwägung gezogen werden kann. Ist jedoch das Änderungsvolumen erheblich kleiner als das Datenvolumen, so spart die inkrementelle Datensicherung Speicherplatz und damit Kosten im großen Umfang.

Änderungszeitpunkte der Daten:

Einen geringen Einfluss auf die Datensicherungsstrategie können die Änderungszeitpunkte der Daten haben. Gibt es Zeitpunkte, an denen anwendungsbezogen der Komplettdatenbestand gesichert werden muss (z. B. nach buchhalterischen Wochen-, Monats- oder Jahresabschlüsse), so kommt zu diesen Zeitpunkten nur eine Vollsicherung in Frage.

Kenntnisse der IT-Benutzer:

Die Implementierung einer Datenspiegelung setzt entsprechende Kenntnisse des Systemadministrators voraus, erfordert jedoch auf Seiten der IT-Benutzer keinerlei Kenntnisse.
Eine Volldatensicherung lässt sich auch von einem IT-Benutzer mit geringen Systemkenntnissen durchführen. Demgegenüber erfordert eine inkrementelle Datensicherung schon mehr Systemkenntnisse und Erfahrungen im Umgang mit Datensicherungen.

Häufigkeit und Zeitpunkte der Datensicherung

Tritt ein Datenverlust ein (z. B. durch Headcrash auf der Festplatte), so müssen zur Restaurierung der Daten sämtliche Datenänderungen seit der letzten Datensicherung nochmals vollzogen werden. Je kürzer der zeitliche Abstand der Datensicherungen ist, um so geringer ist i. allg. auch der für eine Restaurierung und Nacherfassung erforderliche Zeitaufwand. Gleichzeitig muss beachtet werden, dass der Zeitpunkt der Datensicherung nicht nur periodisch (täglich, wöchentlich, werktags, ...) gewählt werden kann, sondern dass auch ereignisabhängige Datensicherungen (z. B. nach x Transaktionen, nach Ausführung eines bestimmten Programms, nach Systemänderungen) notwendig sein können.

Zur Auswahl der Häufigkeit und Zeitpunkte der Datensicherung sind folgende Einflussfaktoren zu beachten.

Verfügbarkeitsanforderungen, Rekonstruktionsaufwand ohne Datensicherung und Änderungsvolumen:

Der zeitliche Abstand der Datensicherungen ist so zu wählen, dass die Restaurierungs- und Nacherfassungszeit (Rekonstruktionsaufwand der geänderten Daten, für die keine Datensicherung vorhanden ist) der in diesem Zeitraum geänderten Daten (Änderungsvolumen) kleiner als die maximal tolerierbare Ausfallzeit ist.

Änderungszeitpunkte der Daten:

Gibt es Zeitpunkte, an denen sich die Daten in großem Umfang ändern (z. B. Programmlauf für Gehaltszahlung oder Versionswechsel der Software) oder an denen der Komplettdatenbestand vorliegen muss, so bietet es sich an, unmittelbar danach eine Volldatensicherung durchzuführen. Dazu sind neben den periodischen die ereignisabhängigen Datensicherungszeitpunkte festzulegen.

Anzahl der Generationen

Einerseits werden Datensicherungen in kurzen Zeitabständen wiederholt, um eine Kopie eines möglichst aktuellen Datenbestandes verfügbar zu haben, andererseits muss die Datensicherung gewährleisten, dass gesicherte Daten möglichst lange aufbewahrt werden. Bezeichnet man eine Volldatensicherung als Generation, so bedarf es einer Festlegung der Anzahl der aufzubewahrenden Generationen und des zeitlichen Abstandes, der zwischen den Generationen liegen muss. Diese Anforderungen lassen sich an folgenden Beispielen erläutern:

  • Wird eine Datei absichtlich oder unabsichtlich gelöscht, so ist diese Datei in allen späteren Datensicherungen nicht mehr verfügbar. Stellt sich heraus, dass diese gelöschte Datei dennoch benötigt wird, so muss zur Restaurierung auf eine ältere Datensicherung zurückgegriffen werden, die zeitlich vor dem Löschen erstellt wurde. Ist eine solche Generation nicht mehr vorhanden, so muss die Datei neu erfasst werden.
  • Tritt ein Integritätsverlust in einer Datei auf (z. B. durch einen technischen Defekt, durch unbeabsichtigtes Ändern einer Datei oder durch einen Computer-Virus), so ist es wahrscheinlich, dass dies nicht direkt, sondern erst zeitlich versetzt bemerkt wird. Um die Integrität der Datei wiederherstellen zu können, muss dann auf eine Generation zurückgegriffen werden, die vor dem Integritätsverlust erstellt wurde.
  • Es kann nicht ausgeschlossen werden, dass die Erstellung einer Datensicherung fehlerhaft oder unvollständig durchgeführt wurde. In diesem Fall ist es oftmals hilfreich, wenn auf eine weitere Generation zurückgegriffen werden kann.

Um diese Vorteile des Generationenprinzips aufrechterhalten zu können, muss jedoch eine Randbedingung eingehalten werden: der zeitliche Abstand der Generationen darf ein Mindestmaß nicht unterschreiten. Beispiel: In einem automatisierten Datensicherungsverfahren kommt es zu wiederholten Abbrüchen des Datensicherungslaufs. Hierdurch würden nacheinander sämtliche Generationen überschrieben werden. Verhindert werden kann dies, indem vor Überschreiben einer Generation das Mindestalter überprüft und nur dann überschrieben wird, wenn dieses Alter überschritten ist.

Charakterisieren lässt sich ein Generationsprinzip durch zwei Größen: das Mindestalter der ältesten Generation und die Anzahl der verfügbaren Generationen. Dabei gilt:

  • je höher das Mindestalter der ältesten Generation ist, je größer ist die Wahrscheinlichkeit, dass zu einer Datei mit Integritätsverlust (eine gelöschte Datei, die im Nachhinein als notwendig erkannt wird, ist ebenfalls darunter zu fassen) noch eine Vorläuferversion vorhanden ist,
  • je größer die Anzahl der verfügbaren Generationen ist, um so aktueller ist die angeforderte Vorläuferversion.

Die Anzahl der Generationen steht aber im direkten Zusammenhang mit den Kosten der Datensicherung, da Datenträger in ausreichender Zahl zur Verfügung stehen müssen. Dies folgt aus der Notwendigkeit, dass für jede Generation eigene Datenträger benutzt werden sollten. Aus Wirtschaftlichkeitsgründen muss daher die Anzahl der Generationen auf ein sinnvolles Maß beschränkt werden.

Für die Wahl der Parameter des Generationsprinzips ergeben sich folgende Einflüsse:

Verfügbarkeitsanforderungen und Integritätsbedarf der Daten:

Je höher die Verfügbarkeitsanforderungen oder der Integritätsbedarf der Daten sind, umso mehr Generationen müssen vorhanden sein, um im Fall des Integritätsverlustes die Restaurierungszeit zu minimieren.
Wenn der Verlust einer Datei oder eine Integritätsverletzung möglicherweise erst sehr spät bemerkt werden kann, sind zusätzliche Quartals- oder Jahressicherungsdatenbestände empfehlenswert.

Rekonstruktionsaufwand ohne Datensicherung:

Sind die Daten zwar umfangreich, aber auch ohne Datensicherung rekonstruierbar, so kann dies als eine weitere "Pseudo-Generation" ins Kalkül gezogen werden.

Datenvolumen:

Je höher das Datenvolumen ist, desto höher sind auch die Kosten einer Generation aufgrund des benötigten Speicherplatzes. Ein hohes Datenvolumen kann deshalb die Anzahl der Generationen aus wirtschaftlichen Gründen beschränken.

Änderungsvolumen:

Je höher das Änderungsvolumen ist, um so kürzer sollten die Zeitabstände zwischen den Generationen sein, um eine möglichst zeitnahe Version der betreffenden Datei zu haben, um den Restaurierungsaufwand durch Nachbearbeitung gering zu halten.

Vorgehensweise und Speichermedium

Nach der Festlegung der Art der Datensicherung, der Häufigkeit und des Generationenprinzips gilt es nun, die Vorgehensweise einschließlich des erforderlichen und wirtschaftlich angemessenen Datenträgers auszuwählen. Zunächst sollen einige gängige Datensicherungsverfahren beispielhaft aufgezeigt werden:

Beispiel 1: Manuelle dezentrale Datensicherung am PC
Bei nichtvernetzten PCs wird die Datensicherung vom IT-Anwender meist manuell als Vollsicherung der Anwendungsdaten durchgeführt. Als Speichermedium werden CD s oder DVD s verwendet.

Beispiel 2: Manuelle zentrale Datensicherung im Unix-System
Für Unix-Systeme mit angeschlossenen Terminals oder PCs mit Terminalemulation bietet sich aufgrund des zentralen Datenbestandes die zentrale Datensicherung an. Sie wird oft als Kombination von wöchentlichen Vollsicherungen und täglichen inkrementellen Datensicherungen mittels Streamer-Tapes vom Unix-Administrator manuell durchgeführt.

Beispiel 3: Manuelle zentrale Datensicherung im lokalen Netz
Im Bereich eines lokalen Netzes mit angeschlossenen PCs wird vielfach die Datensicherung dergestalt durchgeführt, dass der angeschlossene PC-Benutzer seine zu sichernden Anwendungsdaten auf einem zentralen Server im Netz ablegt und dass dann der Netzadministrator die Daten dieses Servers zentral sichert, wozu eine wöchentliche Vollsicherung und eine tägliche inkrementelle Sicherung durchgeführt werden.

Beispiel 4: Automatische zentrale Datensicherung im Großrechnerbereich
Vergleichbar dem Beispiel 2 werden im Großrechnerbereich zentrale Datensicherungen als Kombination von wöchentlichen Vollsicherungen und täglichen inkrementellen Datensicherungen durchgeführt. Vielfach wird dies automatisch mit Hilfe eines Tools (HSM) initiiert. Für einzelne IT-Anwendungen werden vielfach noch zusätzliche ereignisorientierte Volldatensicherungen vollzogen.

Beispiel 5: Automatische zentrale Datensicherung im verteilten System
Eine weitere Variante besteht aus der Kombination der Beispiele 3 und 4. Die lokalen Daten der verteilten Systeme werden auf einen zentralen Großrechner bzw. auf einen zentralen Server übertragen, auf dem die Datensicherung als Kombination von Vollsicherungen und inkrementellen Datensicherungen durchgeführt wird.

Beispiel 6: Voll-automatische zentrale Datensicherung dezentral gespeicherter Daten im verteilten System
Im Gegensatz zum vorangegangenen Beispiel erfolgt hier der Transfer vom dezentralen zum zentralen System automatisch. Mittlerweile werden Tools angeboten, die einen Zugriff von einem zentralen Datensicherungsserver auf die dezentralen Datenbestände erlauben. Eine Datensicherung kann somit transparent für den dezentralen Anwender zentral erfolgen.

Um das Datenvolumen auf dem Speichermedium zu minimieren, können zusätzlich Datenkompressionsalgorithmen angewandt werden. Teilweise kann das Datenvolumen damit um bis zu 80 % reduziert werden. Es ist bei Anwendung der Kompression sicherzustellen, dass die gewählten Parameter und Algorithmen im Rahmen der Datensicherung dokumentiert und für die Datenrestaurierung (Dekompression) vorgehalten werden.

Für die Vorgehensweise gibt es zwei Parameter, die festgelegt werden müssen: den Automatisierungsgrad und die Zentralisierung (Speicherort).

Beim Automatisierungsgrad ist zwischen manuell und automatisch zu unterscheiden:

  • Manuelle Datensicherung bedeutet, dass der Anstoß zur Datensicherung manuell gegeben wird. Vorteilhaft kann sein, dass der Ausführende individuell den Termin der Datensicherung dem Arbeitsablauf anpassen kann. Nachteilig ist, dass die Wirksamkeit und Güte der Datensicherung dann von der Motivation und Disziplin des Ausführenden abhängt. Durch Krankheit oder sonstige Abwesenheitsgründe können Datensicherungen ausfallen.
  • Automatische Datensicherungen werden programmgesteuert zu bestimmten Terminen angestoßen. Vorteilhaft ist, dass die Disziplin und Zuverlässigkeit der Ausführenden nachrangig ist, wenn der Terminplan vollständig und aktuell ist. Nachteilig kann sein, dass die Steuerungsprogramme Kosten verursachen, der Terminplan aktuellen Änderungen angepasst werden muss oder wichtige Änderungen nicht unmittelbar gesichert werden.

Bezüglich der Zentralisierung sind zentral und dezentral durchgeführte Datensicherungen zu unterscheiden:

  • Zentrale Datensicherungen zeichnen sich dadurch aus, dass der Speicherort und die Durchführung der Datensicherung am zentralen IT-System von einem Ausführenden durchgeführt werden. Diese Verfahrensweise hat den Vorteil, dass nur ein Mitarbeiter intensiv geschult werden muss und die IT-Anwender des IT-Systems von dieser Arbeit entlastet werden. Vorteilhaft ist weiterhin, dass durch das höhere zentrale Datenaufkommen kostengünstigere Speichermedien verwendet werden können. Nachteilig ist, dass evtl. vertrauliche Daten übertragen und von nicht Befugten eingesehen werden könnten.
  • Dezentrale Datensicherungen werden von den IT-Anwendern selbst durchgeführt, ohne dass die Daten auf ein zentrales IT-System übertragen werden müssen. Vorteilhaft ist, dass der IT-Anwender die Kontrolle über die Daten und die Backup-Datenträger behält, insbesondere wenn es sich um vertrauliche Daten handelt. Nachteilig ist, dass die konsequente Datensicherung damit von der Zuverlässigkeit der IT-Anwender abhängt und dass dezentrale Lösungen den IT-Anwendern Zeitaufwand abfordern.

Nach der Entscheidung, ob die Datensicherung manuell oder automatisch, zentral oder dezentral durchgeführt wird, muss nun der geeignete Datenträger für die Datensicherung gefunden werden. Dazu können folgende Parameter betrachtet werden:

  • Datenträger-Anforderungszeit: der Zeitaufwand für die Vorbereitung der Daten-Restaurierung ist bestimmt durch die Zeit, die benötigt wird, den erforderlichen Datensicherungs-Datenträger zu identifizieren und im System verfügbar zu machen. Kassetten in einem Roboter-System können innerhalb von Minuten zur Restaurierung bereit stehen, ausgelagerte Bänder müssen unter Umständen erst aufwendig transportiert und aufgelegt werden.
  • Zugriffszeit, Transferrate: der Zeitaufwand für die Erstellung und Restaurierung der Daten selbst hängt von der mittleren Zugriffszeit auf die Daten des Datenträgers und von der Datentransferrate ab. Festplatten erlauben einen Zugriff auf bestimmte Dateien im Millisekunden-Bereich, ein Magnetband muss erst zur entsprechenden Stelle gespult werden. Bei der Auswahl des Datenträgers ist zu berücksichtigen, dass bei entsprechend hohen Transferraten es nicht zu einer Überlastung der Übertragungskanäle kommen darf.
  • Praktikabilität/Speicherkapazität: je umständlicher die Datensicherung ist, um so größer ist die Gefahr, dass sie fehlerhaft vollzogen oder von den Verantwortlichen überhaupt nicht durchgeführt wird. Datenträger mit zu kleiner Speicherkapazität verhindern eine effektive Datensicherung, da der ständige Wechsel zeitaufwendig und fehleranfällig ist.
  • Kosten: die Kosten für die Datensicherung, also Beschaffungskosten für Lese-/ Schreibgeräte und Datenträger, erforderliche Rechen- und Arbeitszeit müssen in einem angemessenen Verhältnis zum Sicherungszweck stehen. Hierbei ist auch die Lebensdauer der Datenträger und der Zuverlässigkeit zu berücksichtigen.

Auf keinen Fall dürfen die laufenden Datensicherungskosten die Summe der Restaurierungskosten ohne Datensicherung und der Folgeschäden übersteigen. Die folgenden Einflussgrößen müssen dabei beachtet werden:

Verfügbarkeitsanforderungen:

Je höher die Verfügbarkeitsanforderungen sind, desto schneller muss auf die Datenträger als Speichermedium der Datensicherung zugegriffen werden können und desto schneller müssen die benötigten Daten vom Datenträger wieder einspielbar sein.
Aus Verfügbarkeitsgründen muss sichergestellt sein, dass die Speichermedien auch bei Ausfall eines Lesegerätes zur Restaurierung genutzt werden können. Die Kompatibilität und Funktion eines Ersatzgerätes ist zu gewährleisten.

Daten- und Änderungsvolumen:

Mit zunehmenden Datenvolumen werden i. allg. preisgünstige Bandspeichermedien wie Magnetbänder oder Bandkassetten (Data Cartridge) benutzt.

Fristen:

Müssen Löschfristen eingehalten werden (z. B. bei personenbezogenen Daten), so muss das ausgewählte Speichermedium die Löschung ermöglichen. Speichermedien, die nicht oder nur mit großem Aufwand löschbar sind (z. B. WORM), sollten in diesem Fall vermieden werden.

Vertraulichkeitsbedarf und Integritätsbedarf der Daten:

Ist der Vertraulichkeits- oder Integritätsbedarf der zu sichernden Daten hoch, so überträgt sich dieser Schutzbedarf auch auf die zur Datensicherung eingesetzten Datenträger. Ist eine Verschlüsselung der Datensicherung nicht möglich, kann über die Auswahl von Datenträgern nachgedacht werden, die aufgrund ihrer kompakten Bauart und Transportabilität in Datensicherungsschränken oder Tresoren untergebracht werden können.

Kenntnisse der IT-Benutzer:
Die Kenntnisse und datenverarbeitungsspezifische Fähigkeiten der IT-Benutzer entscheiden darüber, ob eine Verfahrensweise gewählt werden kann, in der der IT-Benutzer selbst manuell für die Datensicherung tätig wird, ob andere ausgebildete Personen die Datensicherung dezentral durchführen oder ob eine automatisierte Datensicherung praktikabler ist.

Verantwortlichkeit für die Datensicherung

Für die Entscheidung, wer für die Durchführung der Datensicherung verantwortlich ist, kommen drei Personengruppen in Frage. Zunächst kann es der IT-Benutzer selbst sein (typischerweise bei dezentralen und nichtvernetzen IT-Systemen), der Systemverwalter oder ein für die Datensicherung speziell ausgebildeter Administrator. Wird die Datensicherung nicht vom Benutzer selbst durchgeführt, sind die Verantwortlichen auf Verschwiegenheit bezüglich der Dateninhalte zu verpflichten und ggf. eine Verschlüsselung in Betracht zu ziehen.

Darüber hinaus sind die Entscheidungsträger zu benennen, die eine Daten-Restaurierung veranlassen können. Zu klären ist weiterhin, wer berechtigt ist, auf Datensicherungsträger zuzugreifen, insbesondere wenn sie in Datensicherungsarchiven ausgelagert sind. Es muss sichergestellt sein, dass nur Berechtigte Zutritt erhalten. Abschließend ist zu definieren, wer berechtigt ist, eine Daten-Restaurierung des Gesamtdatenbestandes oder ausgewählter, einzelner Dateien operativ durchzuführen.

Bei der Festlegung der Verantwortlichkeit ist insbesondere der Vertraulichkeits-, Integritätsbedarf der Daten und die Vertrauenswürdigkeit der zuständigen Mitarbeiter zu betrachten. Es muss sichergestellt werden, dass der Verantwortliche erreichbar ist und ein Vertreter benannt und eingearbeitet wird.

Als Einflussfaktor ist zu beachten:

Kenntnisse der IT-Anwender:

Die Kenntnisse und datenverarbeitungsspezifischen Fähigkeiten der IT-Benutzer entscheiden darüber, ob die Datensicherung eigenverantwortlich je IT-Benutzer durchgeführt werden sollte. Sind die Kenntnisse der IT-Benutzer nicht ausreichend, ist die Verantwortung dem Systemadministrator oder einer speziell ausgebildeten Person zu übertragen.

Aufbewahrungsort

Grundsätzlich sollten Datensicherungsmedien und Originaldatenträger in unterschiedlichen Brandabschnitten aufbewahrt werden. Werden Datensicherungsmedien in einem anderen Gebäude oder außerhalb des Betriebsgeländes aufbewahrt, so sinkt die Wahrscheinlichkeit, dass in einem Katastrophenfall die Datensicherungen in Mitleidenschaft gezogen werden. Je weiter jedoch die Datenträger von der zur Restaurierung notwendigen IT-Peripherie (z. B. Bandstation) entfernt ist, desto länger können die Transportwege und Transportzeiten sein, und desto länger ist die Gesamtrestaurierungszeit. Als Einflussfaktor ist daher zu betrachten:

Verfügbarkeitsanforderungen:

Je höher die Verfügbarkeitsanforderungen sind, um so schneller müssen die Datenträger der Datensicherung verfügbar sein. Werden aus Sicherheitsgründen die Datenträger extern ausgelagert, so ist bei sehr hohen Verfügbarkeitsanforderungen zu erwägen, Kopien der Datensicherung zusätzlich in unmittelbarer Nähe des IT-Systems vorzuhalten.

Vertraulichkeitsbedarf und Integritätsbedarf der Daten:

Je höher dieser Bedarf ist, um so besser muss verhindert werden, dass an den Datenträgern manipuliert werden kann. Die notwendige Zutrittskontrolle lässt sich i. allg. nur durch entsprechende infrastrukturelle und organisatorische Maßnahmen erreichen, siehe Baustein B 2.5 Datenträgerarchiv .

Datenvolumen:

Mit steigendem Datenenvolumen gewinnt die Sicherheit des Aufbewahrungsortes an Bedeutung.

Anforderungen an das Datensicherungsarchiv

Aufgrund der Konzentration von Daten auf Datensicherungsmedien besitzen diese einen mindestens ebenso hohen Schutzbedarf bezüglich Vertraulichkeit und Integrität wie die gesicherten Daten selbst. Bei der Aufbewahrung in einem zentralen Datensicherungsarchiv sind daher entsprechend wirksame Sicherheitsmaßnahmen wie z. B. Zutrittskontrolle notwendig.

Zusätzlich muss durch organisatorische und personelle Maßnahmen (Datenträgerverwaltung) sichergestellt werden, dass der schnelle und gezielte Zugriff auf benötigte Datenträger möglich ist. Hierzu sind die Maßnahme M 2.3 Datenträgerverwaltung und Baustein B 2.5 Datenträgerarchiv zu beachten.

Folgende Einflussfaktoren müssen beachtet werden:

Verfügbarkeitsanforderungen:

Je höher die Verfügbarkeitsanforderungen sind, um so schneller muss der gezielte Zugriff auf benötigte Datenträger möglich sein. Wenn eine manuelle Bestandsführung den Verfügbarkeitsanforderungen nicht genügt, können automatisierte Zugriffsverfahren (z. B. Roboter-Kassettenarchiv) zum Einsatz kommen.

Datenvolumen:

Das Datenvolumen bestimmt letztendlich die Anzahl der aufzubewahrenden Datenträger. Für entsprechend große Datenvolumen ist eine ausreichende Aufbewahrungskapazität im Datenträgerarchiv vorzusehen.

Fristen:

Sind Löschungsfristen einzuhalten, muss die Organisation des Datensicherungsarchivs dem angepasst sein und ggf. müssen auch die erforderlichen Löscheinrichtungen vorhanden sein. Zu den vorgegebenen Löschungszeitpunkten ist im Datensicherungsarchiv die Löschung zu initiieren bzw. durchzuführen und zu dokumentieren. Ist eine Löschung technisch nicht möglich, so ist durch organisatorische Maßnahmen eine Wiederverwendung zu löschender Daten zu verhindern.

Vertraulichkeits- und Integritätsbedarf der Daten:

Je höher dieser Bedarf ist, um so besser muss verhindert werden, dass an den Datenträgern manipuliert werden kann. Die notwendige Zutrittskontrolle lässt sich i. allg. nur durch entsprechende infrastrukturelle und organisatorische Maßnahmen erreichen vergleichbar dem Baustein B 2.5 Datenträgerarchiv .

Transportmodalitäten

Bei der Durchführung einer Datensicherung werden Daten transportiert. Sei es, dass sie über ein Netz oder eine Leitung übertragen werden, sei es, dass Datenträger zum Datenträgerarchiv transportiert werden. Dabei gilt es folgendes zu beachten:

Verfügbarkeitsanforderungen:

Je höher die Verfügbarkeitsanforderungen sind, desto schneller müssen die Daten zur Restaurierung bereitstellbar sein. Dies ist bei der Auswahl des Datenübertragungsmediums bzw. bei Auswahl des Datenträger-Transportweges zu berücksichtigen.

Datenvolumen:

Wenn zur Datenrestaurierung die Daten über ein Netz übertragen werden, so muss bei der Auswahl der Übertragungskapazität des Netzes das Datenvolumen beachtet werden. Es muss gewährleistet sein, dass das Datenvolumen innerhalb der erforderlichen Zeit (Verfügbarkeitsanforderung) übertragen werden kann.

Änderungszeitpunkte der Daten:

Werden Datensicherungen über ein Netz durchgeführt (insbesondere zu ausgewählten Terminen), kann aufgrund des zu übertragenen Datenvolumens ein Kapazitätsengpass entstehen. Daher ist zum Zeitpunkt der Datensicherung eine ausreichende Datenübertragungskapazität sicherzustellen.

Vertraulichkeits- und Integritätsbedarf der Daten:

Je höher dieser Bedarf ist, um so besser muss verhindert werden, dass die Daten auf dem Transport abgehört, unbefugt kopiert oder manipuliert werden. Bei Datenübertragungen ist schließlich eine Verschlüsselung oder ein kryptographischer Manipulationsschutz zu überdenken, beim physikalischen Transport sind sichere Behältnisse und Wege zu benutzen und ggf. auch der Nutzen und Aufwand einer Verschlüsselung abzuwägen.

Aufbewahrungsmodalität

Im Rahmen des Datensicherungskonzeptes sollte mitbetrachtet werden, ob für bestimmte Daten Aufbewahrungs- oder Löschfristen einzuhalten sind.

Fristen:

Falls Aufbewahrungsfristen einzuhalten sind, kann dem durch die Archivierung einer Datensicherungsgeneration nachgekommen werden. Sind die Aufbewahrungsfristen lang, so ist zusätzlich sicherzustellen, dass die erforderlichen Lesegeräte bevorratet werden und dass unter Umständen ein Refresh (erneutes Aufspielen der magnetisch gespeicherten Daten) bei magnetischen Datenträgern erforderlich werden kann, da diese mit der Zeit ihre Magnetisierung und damit den Dateninhalt verlieren.
Falls Löschfristen einzuhalten sind, muss der organisatorische Ablauf festgelegt werden und ggf. müssen auch die erforderlichen Löscheinrichtungen vorhanden sein. Zu den vorgegebenen Löschungszeitpunkten ist die Löschung zu initiieren bzw. durchzuführen.

Prüffragen:

  • Wurde für jedes IT-System und für jede Datenart die Verfahrensweise der Datensicherung festgelegt?

  • Wurden Art, Häufigkeit und Zeitpunkte der Datensicherungen festgelegt?

  • Wurden die Verantwortlichkeiten für die Datensicherungen festgelegt?

  • Wurden die Transport- und - Aufbewahrungsmodalitäten für die Datensicherungen geklärt?

Stand: 13. EL Stand 2013