Bundesamt für Sicherheit in der Informationstechnik

M 6.156 Durchführung eigener Datensicherungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, IT-Sicherheitsbeauftragter

Stellt eine Institution im Verlauf der Planungsmaßnahmen zur Nutzung von Cloud Services oder zu einem späteren Zeitpunkt fest, dass besondere Gegebenheiten eigene Datensicherungen erforderlich machen, sind einige wichtige Aspekte zu beachten. Die identifizierte Notwendigkeit für eigene Datensicherungen ist zu begründen und zu dokumentieren.

Grundsätzlich existieren zwei unterschiedliche Möglichkeiten zur Durchführung zusätzlicher Datensicherungen für eine Institution. Zum einen kann die Erstellung der Datensicherung durch die Institution selbst vorgenommen werden, und zum anderen ist dies durch die Nutzung eines zusätzlichen Services (Backup as a Service) umsetzbar. In diesem Fall übernimmt ein externer Dienstleister diese Aufgabe.

Insbesondere im Fall der Beauftragung eines externen Dienstleisters sollten die Anforderungen der Institution an den Backup Service detailliert ausgearbeitet und sorgfältig dokumentiert werden. Sie sind mit den besonderen Gegebenheiten, aus denen die Notwendigkeit zur eigenen Datensicherung entstanden ist, abzugleichen. Der Backup Service ist dann entweder ein weiterer Cloud-Dienst oder ein Outsourcing-Vorhaben, für das die Sicherheitsmaßnahmen aus den entsprechenden Bausteinen umgesetzt werden müssen.

Grundsätzlich empfiehlt es sich, das Recht zur eigenen Datensicherung mit dem gewählten Cloud-Diensteanbieter vertraglich zu vereinbaren. In diesem Fall ist die Maßnahme zur Vertragsgestaltung (siehe hierzu Maßnahme M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter ) um den entsprechenden Aspekt zu ergänzen.

Prüffragen:

  • Ist die Entscheidung zur Durchführung eigener Datensicherungen begründet und dokumentiert?

  • Existieren detaillierte Anforderungen an einen Backup Service?

Stand: 14. EL Stand 2014