Es gibt Security-Themen, die sind gefühlt so alt wie die digitale Datenverarbeitung selbst: Malware in E-Mails, Betrug auf Webseiten, Sicherheitslücken in Software und mangelhafte Datensicherung. Man könnte annehmen, dass Organisationen sich längst darauf eingestellt haben und adäquate Vorsorge treffen. In der Tat investieren Verantwortliche so viel Geld wie nie in die IT-Sicherheit. Die einen aktualisieren ihre Sicherheitslösungen, die andere rüsten mit neuen Technologien richtig auf und Clevere setzen den Zero Trust-Ansatz in ihrer IT-Security-Architektur um.
Hohe Gefahrenlage führt nicht zu mehr Backups
Doch das Thema Backup kommt in diesem Zusammenhang nur selten zur Sprache. Eine Umfrage des eco-Verbands zeigt recht deutlich, dass vor allem Deutsche wahre „Backup-Muffel“ sind. Nur jeder Fünfte (20 Prozent) macht wöchentlich oder öfter Backups der wichtigsten Daten. Und nur ein Drittel der Befragten in Deutschland (33,8 Prozent) macht mindestens monatlich eine Datensicherung. Globale Studien kommen zu besseren Ergebnissen (60-70 Prozent) bei deutschen Unternehmen, aber zufriedenstellend sind auch diese Werte bei weitem nicht. Trotz Cyberkrieg, Ransomware, staatlich unterstützten/gelenkten APT-Gruppen und Angriffen mit Künstlicher Intelligenz wird die Datensicherung stiefmütterlich behandelt.
Der Stand der Technik erfordert auch Datensicherung
Es ist kaum verständlich, warum Unternehmen überhaupt ihr „digitales Hab und Gut“ ohne professionelle Datensicherung Gefahren und vor allem (finanziellen) Schäden aussetzen. Denn den Stand der Technik in der IT-Sicherheit erreichen sie ohne Backups ganz sicher nicht. Dieser ist keine Wunschvorstellung von Security-Experten, sondern bereits Teil unseres Geschäftsalltags. In vielen Vorschriften und Gesetzen – wie dem Informationssicherheitsgesetz (Schweiz), dem Netz- und Informationssystemsicherheitsgesetz (Österreich) oder dem BSI-Gesetz (Deutschland) – wird explizit der Stand der Technik gefordert. Und dazu zählen auch Backups, damit die digitalen Schätze, auf denen der Erfolg vieler Unternehmen beruht, nicht plötzlich verschwinden oder nicht zugänglich sind.
NIS2 macht Datensicherungsmuffeln Beine
Wer sich bislang wenig um Datensicherung gekümmert hat, der bekommt in Kürze externe Motivation. Denn die Europäische Union hat mit der NIS-2-Richtlinie (Network and Information Security 2) das Security-Level von KRITIS-Unternehmen deutlich angehoben. Ein wichtiger Punkt dabei ist das professionelle Management von Datensicherungen. Spätestens ab 17. Oktober 2024 müssen Organisationen das aus NIS-2 abgeleitete nationale Recht mit einer noch unbekannten Übergangsfrist umsetzen. Zentraler Inhalt ist die Aufforderung, die Resilienz der Systeme im Hinblick auf die Cybersicherheit zu stärken. Konkret müssen KRITIS-Betreiber die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse sicherstellen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Und genau dazu zählt die Datensicherung. Mit der NIS-2-Richtlinie werden über die bislang regulierten wesentlichen Organisationen hinaus demnächst auch weitere wichtige (ab einer Größe von 50 Mitarbeitern) als Adressaten des Gesetzes in den Fokus geraten. Der Anwendungsbereich der gesetzlichen Pflichten steigert sich damit um eine enorme Anzahl von Organisationen. Experten gehen davon aus, dass weit mehr Organisationen davon betroffen sein werden als bislang angenommen.
Datensicherung in Zeiten von Ransomware
Die EU möchte dem Super-GAU „Daten weg, Business weg“ einen Riegel vorschieben. Denn dieses Worst-Case-Szenario ist dank Ransomware längst an der Tagesordnung. Zahlreiche Unternehmen haben bereits eine unliebsame Erfahrung mit Verschlüsselungstrojanern gemacht. Die Liste von prominenten und weniger bekannten Unternehmen, deren Daten unfreiwillig verschlüsselt wurden, ist lang und wächst täglich.
Wer das Lösegeld nicht bezahlen möchte, muss eine Datensicherung aus der Schublade ziehen können. Damit kann man sich zwar nicht vor Ransomware schützen, aber zumindest die negativen Auswirkungen eindämmen. Denn: Selbst wenn der geforderte Betrag gezahlt wird, hat man keine Garantie, dass die entschlüsselten Daten (sofern das wirklich geschieht) auch wieder nutzbar sind. Dann ist ein Backup im wahrsten Sinne „Gold wert“.
Eine Datensicherung ist also wichtiger als jemals zuvor. Die Liste an potenziellen Gefahren für Unternehmen ist sehr lang und nicht auf Ransomware beschränkt. Sie reicht vom Ausfall der Hardware über menschliche Fehler bis hin zu Cyberattacken und Naturkatastrophen. Spätestens jetzt, wenn rechtliche Forderungen vehement hinzukommen, müssen Verantwortliche reagieren. NIS2 betrifft in erster Linie KRITIS, sendet aber auch ein Signal an andere Organisationen: Wer den geforderten Mindeststandard nicht erreicht, befindet sich in allerhöchster Gefahr. Deswegen sollte man lieber auch in die Datensicherung investieren – es lohnt sich.
Eine passende Backup-Lösung zu finden, ist nicht schwer. Wir haben Ihnen sechs Fragen zusammengestellt, die Ihnen bei der Auswahl helfen könnten.
1. Welche Daten sind wichtig oder „können die weg“?
Fragen Sie sich zuerst selbst: Welche Daten und Dokumente sind so wichtig, dass mein Unternehmen ohne sie nicht arbeiten kann? Oder wäre deren Verlust verheerend für die Geschäftstätigkeit? Müssen ganze Betriebssysteme oder nur bestimmte Dateien und Ordner gesichert werden? Durch die Beantwortung dieser Fragen können Sie feststellen, wie komplex Ihre Sicherungs- und Wiederherstellungslösung sein sollte. Sie müssen sicher sein, dass die Lösung alle Daten und Anwendungen abdecken kann, mit denen Sie arbeiten. Und denken Sie auch an E-Mails. Heutzutage enthält unsere E-Mail-Kommunikation mehr wertvolle Informationen als je zuvor. Deshalb sollten Sie auch diese sichern.
2. Diese zwei Kennzahlen sollten Sie überprüfen
Doch woran erkennt man eine sehr gute Backup-Lösung? Zwei Kennzahlen leisten wertvolle Hilfestellung: Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Dies sollten Sie unbedingt checken, bevor Sie sich für eine Sicherungs- und Wiederherstellungssoftware entscheiden.
Die erste Kennzahl (RTO) bezieht sich auf die Zeit, die eine Anwendung, ein System und/oder ein Prozess ausfallen kann, ohne dass ein signifikanter Schaden für das Unternehmen entsteht. Sie gibt zudem Aufschluss, wie lange die Wiederherstellung der Anwendung und ihrer Daten dauert. Der Zeitraum kann von null Minuten (Systeme müssen sofort verfügbar sein), bis mehrere Tage (in Einzelfällen Wochen) betragen.
Die zweite (RPO) bezieht sich im Allgemeinen auf die Datenmenge, die innerhalb eines für ein Unternehmen relevanten Zeitraums verloren gehen kann, bevor ein signifikanter Schaden entsteht. Und zwar vom Zeitpunkt eines kritischen Ereignisses bis zum vorhergehenden Backup. Wenn kein Datenverlust hinnehmbar ist, beträgt RPO null Sekunden.
Diese beiden Zahlen bestimmen die Häufigkeit der Backups sowie die Zeit, die für die Datenwiederherstellung benötigt wird. Denn jeder möchte seine Daten so schnell wie möglich wiederherstellen und nichts davon verlieren. Daher sollte die Lösung so oft wie nötig Backups erstellen können und eine Datenwiederherstellung in wenigen Minuten oder sogar noch schneller ermöglichen (wenn dies möglich und für das Unternehmen entscheidend ist).
3. Soll man in der Cloud oder lokal Datensicherungen speichern?
Idealerweise kombinieren Sie Cloud- und lokale Lösungen. Am einfachsten geht dies mit der sogenannten 3-2-1-Regel: drei Kopien an zwei verschiedenen internen Standorten und mindestens eine außerhalb des Unternehmens. Dann können Sie häufige Backups machen und den großen Speicherplatz im lokalen Speicher nutzen. Zusätzliche Backups oder nur die wichtigsten Daten können zusätzlich in die Cloud geschickt werden. Auch wenn Ihr Büro beispielsweise überschwemmt wird, können Sie die Daten vom externen Speicherort aus wiederherstellen. Und was ist der bequemste externe Speicherort? Natürlich die Cloud.
4. Manuell oder automatisch sichern?
Administratoren haben am liebsten alles selbst in der Hand. Routinearbeiten geben sie aber gerne ab, denn sie entlasten den Arbeitsalltag. Das gilt auch für die Datensicherung. Die beste Möglichkeit, ein ordentliches Backup zu erstellen, ist die Verwendung einer speziellen Software. Statistiken besagen, dass manuelle Sicherungen in der Regel älter als ein halbes Jahr sind. Und wenn es um die Wiederherstellung geht, enthalten solche Sicherungen wahrscheinlich nicht alles, was Sie brauchen. Manche Kunden sichern ihre Daten mithilfe eines erworbenen Skripts. Dies ist eher nicht zu empfehlen, wenn man nicht die volle Kontrolle darüber besitzt. In solchen Fällen liegt alles in der Verantwortung des IT-Administrators – und macht zusätzliche Arbeit.
Außerdem sollte der optimale Wiederherstellungsprozess fast automatisch ablaufen. Sie sollten auswählen können, welche Daten Sie zurückholen und ab welchem Zeitpunkt Sie diese wiederherstellen möchten. Sehr oft wollen die Kunden nicht die letzte Version der Daten rekonstruieren, sondern einige frühere Versionen.
5. Vertrauen Sie auf eine gute Beratung
Kaufen Sie nicht die Katze im Sack. Informieren Sie sich lieber bei einem IT-Fachhändler oder Managed Service Provider. Diese helfen Ihnen bei der Bedarfsanalyse und suchen mit Ihnen die passende, individuelle Lösung heraus. Wichtig ist auch der Service nach dem Kauf: Die Installation ist meist einfach, die korrekten Einstellungen zu finden hingegen eher schwierig. Hier lohnt es sich, wenn man das Know-how der Fachleute zurate zieht.
6. Testen Sie Ihre Wahl
Nach der Installation der ausgewählten Softwarelösung sollte diese ausgiebig getestet werden, bevor sie auf den Live-Systemen eingesetzt wird. Auch wenn alles reibungslos zu laufen scheint, hat insbesondere die Anlaufphase so ihre Tücken. Überprüfen Sie unbedingt den Sicherungs- und Wiederherstellungsprozess: Werden auch wirklich alle sicherungswürdigen Daten erfasst? Klappt die Wiederherstellung einwandfrei? Sind die Backups auf den lokalen Speichern und in der Cloud unbeschädigt? Und vor allem: Sind die Wiederherstellungszeiten in dem Rahmen, den Sie für Ihre Geschäftstätigkeit benötigen? Wenn der Fall der Fälle eintritt, bleibt keine Zeit, das richtige Verfahren zu finden. Deswegen bieten professionelle Lösungen eine Test-Wiederherstellungsfunktion an. Mit dieser können Anwender problemlos testen, ob beispielsweise ganze virtuelle Maschinen wiederhergestellt werden können und korrekt funktionieren.
Fazit
„Lieber Haben als Brauchen“ sagt der Volksmund. Und liegt damit auch in Bezug auf die digitalen Schätze und deren Sicherung absolut richtig. Wer trotz hoher Gefahrenlage und einer breiten Auswahl an Lösungen keine professionelle Datensicherung betreibt, handelt unnötig grob fahrlässig. Wer hingegen eine clevere Backup-Strategie einsetzt, bedient nicht nur die Forderungen an den Stand der Technik in der IT-Sicherheit – er hat im Fall der Fälle einen wirksamen „Plan B“ zur Hand, um seine Organisation optimal zu schützen.