Backupkonzept und Datenschutz

(openPR) In der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetz (BDSG) steht folgendes:

zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)

Soll heißen, ein sinnvolles und effektives Backupkonzept muss aufgestellt werden bzw. vorhanden sein.

Konfrontiert man Administratoren mit der Frage nach dem Backupkonzept, so wird man meistens belächelt, soll heißen – „...natürlich haben wir ein Backupkonzept, unsere Daten sind uns wichtig!“ – Richtig ist oft nur eins, die Daten sind wichtig. Allerdings sind die Backupkonzepte dem nicht ausgelegt.

Einige Beispiele aus der Praxis:
- Sicherungsbänder liegen im Serverraum
- Bei Bandsicherung wird nicht die Wiederherstellbarkeit geprüft
- Backups liegen nicht in einem anderen Brandschutzsektor
- Tägliche Sicherung werden immer und immer überschrieben

Erst dann wenn es zu spät ist, sieht man wie unausgereift das eigene Backupkonzept doch ist, doch dann ist es natürlich zu spät und der Absatz zur Verfügbarkeitskontrolle in der Anlage zu §9 Satz 1 des BDSG ist somit nicht gegeben.

Ein Unternehmen verlässt sich in der Regel auf die IT Abteilung bzw auf den externen Anbieter. Gerade bei externen Anbieter sollte man sich das Backupkonzept genau vorstellen lassen und dieses auch regelmäßig überprüfen. Bei einer internen IT Abteilung sollte diese Prüfung auch gemacht und dokumentiert werden, auch ein Desaster Recovery in einer Testumgebung ist hilfreich um zu sehen ob das Backupkonzept greift und wie lange man benötigt um wieder Handlungsfähig zu sein.

In Zeiten der Virtualisierung und des Cloud-Computings (welches auch ein Datenschutzproblem darstellen kann), ist es auch auf den ersten Blick nicht immer nachvollziehbar wo die Daten des Unternehmens liegen. Oft gibt es keine Dokumentation über das interne Netz und wenn doch ist diese nur mit spärlichen Infos gefüllt. Auch hier kann man den Unternehmen nur dazu raten sich einen genauen Überblick über die Netzwerkinfrastruktur zu machen und mit den IT Verantwortlichen zu beraten, welche Backupstrategie man anwenden sollte. Eine IST Analyse soll darüber Aufschluss geben, welche Daten einen hohe Schutzwürdigkeit haben und das Backupkonzept sollte nach diesem ausgerichtet werden.