04.03.2022 – Kategorie: IT-Sicherheit

Datensicherung: Nützlicher Rettungsanker oder lästige Pflicht?

Datensicherung kann einfach und effizient sein – oder veraltet, die nur die Funktionen eines Aktenschranks im virtuellen Raum bietet. Was bei der Umsetzung zu beachten ist, erklärt Gastautor Thomas Sandner von Veeam.

Nun ist es aber höchste Zeit geworden, dem Thema Datensicherung und Backup mehr Aufmerksamkeit zu widmen, da es die einzige Versicherung gegen jegliche IT-Ausfälle darstellt, denn die Abwehr von Bedrohungen ist gut, doch alle Angriffe kann niemand abfangen. Wenn es zum Zwischenfall kommt, ist das Backup die einzige Möglichkeit, um den Betrieb schnell wieder aufzunehmen und den Schaden in Grenzen zu halten.

Kein Mitarbeiter und kein Geschäftsführer sollte aber denken, dass sich irgendjemand in der IT-Abteilung schon um die Datensicherung kümmern wird und nach der Einrichtung mögliche Pannen abgedeckt sind. Das ist falsch. Sowohl Beschaffenheit der Backup-Lösung als auch der Notfallplan eines Unternehmens entscheiden am Ende darüber, wie schnell sich verlorene oder verschlüsselte Daten wiederherstellen lassen – und ob überhaupt.

Bewusstsein für Datensicherung schaffen

Ohne die Erstellung einer auf das Unternehmen angepassten Strategie ist höchstens die halbe Miete bezahlt. Ein wichtiger Schritt dabei ist insbesondere die Klassifizierung relevanter Daten, um die Reihenfolge ihrer Wiederherstellung nach Wichtigkeit zu planen. Backup und Wiederherstellung ist kein Thema am Rande, sondern sollte zur Chef-Sache ernannt werden. Dies hier ist ein Plädoyer für mehr Aufmerksamkeit bei der Datensicherungsstrategie und eine Bestandsaufnahme der Backup-Kultur.

Ein Bewusstsein für das Thema Datensicherung entwickelt sich immer dann, wenn man schlechte Erfahrungen gemacht hat. Das fängt schon im Privaten an: Menschen, die durch mangelnde Datensicherung Urlaubs- oder Hochzeitfotos oder andere wichtige Daten verloren haben, sind sehr sensibel beim Thema Backup. Doch davon abgesehen herrscht hier kein allzu großes Interesse an der Thematik. Bei Unternehmen sieht das schon ganz anders aus. Fast jedes Unternehmen mit einer vorhandenen IT-Infrastruktur verwendet eine Backup-Lösung.

Dennoch schenken Verantwortliche dem Thema mancherorts zu wenig Aufmerksamkeit. Das Bewusstsein für Datensicherung ist unter IT-fremden Mitarbeitern generell nicht sonderlich ausgeprägt. Es stellt sich die Frage, ob das überhaupt erforderlich ist, da sich schließlich die IT-Abteilungen darum kümmern. Wenn aber doch mal versehentlich eine E-Mail gelöscht wird oder anderweitige Probleme bemerkt werden, sollte jeder Mitarbeiter wissen, was zu tun ist beziehungsweise wissen, an wen man sich wenden kann und wie das Problem beschrieben werden kann.

Recovery-Plan tangiert alle Mitarbeiter

Ein wichtiger Bestandteil bei der Backup-Strategie ist grundsätzlich der Recovery-Plan, der unter Umständen eben auch für IT-fremde Mitarbeiter wichtig ist. Durch die sich verschärfende Situation durch Ransomware-Angriffe, wurde das Bewusstsein aber auch hier etwas geschärft. Auch in Sachen Homeoffice und die damit verbundene Anbindung an Geschäftsdaten, ist es für IT-fremde Mitarbeiter wichtig, gewisse Grundkenntnisse zu besitzen. Wenn das Unternehmen wichtige Daten nicht direkt auf dem Server speichert, wo sie durch Backup-Software geschützt sind, sollte man darauf achten, dass man keine falschen Dokumente überspeichert.

Es hilft generell, wenn jeder Mitarbeiter darüber nachdenkt, wie und wo seine Dokumente gespeichert und gesichert werden. Bei guten Backup-Lösungen gibt es aber auch für Internet- oder Stromausfälle lokal gepufferte Backups, die eine verlässliche Versicherung gegen Verluste darstellen. Auch in den Führungsetagen triff das Thema zunehmend auf Gehör und das ist gut so. Denn IT-Sicherheit ist im Ernstfall Chefsache. Niemand anders kann sonst mal eben entscheiden, das System komplett herunterzufahren, um beispielsweise die Ausbreitung von Schadsoftware zu verhindern.

Szenarien des Datenverlusts durchspielen

Ransomware-Angriffe sind die dominierende, wenn auch nicht die häufigste Ursache für Datenverluste. Konfigurationsfehler, Hardware-Schäden und menschliche Fehler sind häufige Ursachen, haben aber bei Weitem nicht die Tragweite eines Angriffs, da hier meist schnell und sicher wiederhergestellt werden kann. Bei SSD-Laufwerken gab es einmal den Fall, dass die Firmware ein Ablaufdatum hatte und danach ein Zugriff auf die Daten nicht mehr möglich war. Da sollte man sich vorher informieren, denn solche Fehler sind vermeidbar. Aber mit einer guten Datensicherungsstrategie ist man hier ebenfalls abgesichert.

Der Faktor Mensch stellt auch heute noch ein Risiko dar. Wenn eine Datei überspeichert oder versehentlich etwas gelöscht wird, kann es zu Datenverlusten kommen. Die Konsequenzen halten sich aber auch hier im Rahmen. Wie gut die Daten im Falle eines Angriffs wiederhergestellt werden können, hängt maßgeblich davon ab, wie schnell man den Vorfall bemerkt und gegebenenfalls das System herunterfahren kann. Auf dieses Verlustszenario und darauf, wie man sich mit einem ausgeklügelten Notfallplan des Incident Response Teams gut auf derartige Einsätze vorbereiten kann, darauf sollte das Hauptaugenmerk gelegt werden.

Prävention und Planung der Datensicherung

Für viele Verantwortliche muss Backup-Storage vor allem günstig sein. Man implementiert einmalig eine Lösung und macht an das Thema wie an eine abgeschlossene Versicherung einen Haken dran. Das ist besser als kein Backup. Aber wenn Performance wichtig ist und sich im Ernstfall schnell wiederherstellen lassen soll, muss man sich schon mehr mit dem Thema beschäftigen, umfassende Lösungen in Erwägung ziehen und das Thema zur Chefsache machen.

Die KRITIS-Betreiber sind hier schon weiter. Es herrscht ein höheres Bewusstsein und es steht mehr Budget zur Verfügung. Das hilft auf jeden Fall, tiefer in die Diskussion einzusteigen. Oftmals scheitert es an mangelnder Planung. Wie hoch die Chancen sind, alle Daten wiederherzustellen, hängt davon ab, wie schnell das Unternehmen darauf reagieren kann und welche Systeme betroffen sind. Muss man ganze Umgebungen wiederherstellen, Kernsysteme neu aufbauen, Applikationen wiederherstellen? Eine Analyse im Vorfeld ist wichtig, damit im Ernstfall jeder die Abläufe kennt. Das Incident Response Team sollte alle möglichen Szenarien davor abbilden, um gewappnet zu sein. Entscheidend ist, ob die Angreifer die Backup-Struktur kompromittiert haben oder man noch selbst die Kontrolle darüber hat.

Herausforderungen bei der Datensicherung beachten

Shared Responsibility ist immer noch ein großes Thema für Unternehmen. Verschiedene SaaS-Anbieter, verschiedene Clouds und überall andere Nutzungsvereinbarungen. Man muss sich klar machen, dass die Anbieter gesetzlich nicht für die Datensicherung verantwortlich sind und das im Einzelfall prüfen. In der Regel sind aber externe Lösungen ohnehin leistungsfähiger und sicherer. Die Herausforderung in Bezug auf Container ist die Kompatibilität. Es ist nicht möglich Container unverändert in die Cloud zu setzen. So gibt es in der Cloud andere Storage-Klassen als On-Prem um nur ein Beispiel zu nennen. Kasten K10 schafft hier eine echte Workload Mobility, die auf verschiedene Services anpassbar ist.

Die Backup-Kultur ist insgesamt eine gepflegte. Die allermeisten Unternehmen haben ein umfassendes System und einen Plan für den Ernstfall. Dennoch besteht hin und wieder der Bedarf, die verwendete Backup-Lösung auf Performance und Sicherheit zu prüfen und bei allen Mitarbeitern ein Bewusstsein für die grobe Funktionsweise und interne Notfallabläufe zu schaffen. In ein paar Jahren wird die Automatisierung in den Bereichen Systemupdates, Backup, Deployment und Policy-Management bis hin zur Datenklassifikation vorangeschritten sein. Doch das ist am Anfang viel Aufwand und man benötigt qualifiziertes Personal und Budget. Deshalb sind noch einige Unternehmen von der Automatisierung entfernt, auch wenn es auf Dauer eine Erleichterung wäre. Wichtig ist, die Entwicklungen zu beobachten und in dieser schnell wachsenden Umgebung nicht den Anschluss zu verlieren.

Veeam Software Datensicherung
Thomas Sandner ist Senior Director Technical Sales Germany bei Veeam Software. (Bild: Veeam)

Über den Autor: Thomas Sandner ist Senior Director Technical Sales Germany bei Veeam. Veeam Software ist Anbieter von Backup-, Wiederherstellungs- und Datenmanagement-Lösungen für die moderne Datensicherung. Das Unternehmen stellt eine Plattform für Cloud-, virtuelle, physische, SaaS- und Kubernetes-Umgebungen zur Verfügung. Über die Plattform lassen sich Apps und Daten sichern und sind immer verfügbar. (sg)

Lesen Sie auch: Betrieblicher Datenschutz: Seit 2022 neue Anforderungen für Unternehmen


Teilen Sie die Meldung „Datensicherung: Nützlicher Rettungsanker oder lästige Pflicht?“ mit Ihren Kontakten:


Scroll to Top