
tashka2000 - Fotolia
Backup- und Recovery-Anforderungen für gute Data Protection
Data Protection stellt unter anderem sicher, dass Daten und Systeme zur Verfügung stehen und im Notfall wiederhergestellt werden können. Wichtig hierfür sind Backup und Recovery.
Data Protection ist eine der kritischsten Aufgaben in der IT, wobei Datensicherung (Backup) und -wiederherstellung (Recovery) zentrale Komponenten darstellen. Die Einhaltung wesentlicher Anforderungen an Backup und Recovery gewährleistet die schnelle Verfügbarkeit von Ressourcen und die Sicherheit der Data-Protection-Aktivitäten.
Datensicherungsprozesse müssen reproduzierbar und für IT-Mitarbeiter außerhalb des Backup-Teams zugänglich sein, um sie bei Bedarf durchführen zu können. Unternehmen mit gut dokumentierten Richtlinien und Verfahren, einer korrekten Konfiguration von Backup- und Recovery-Technologien sowie regelmäßigen Tests stärken die Zuverlässigkeit ihres Datensicherungsprogramms und sind besser auf potenzielle IT-Audits vorbereitet.
Im Folgenden werden die drei wichtigsten Anforderungen an Backup- und Recovery-Teams für eine effektive Data Protection erläutert.
1. Richtlinien und Verfahren
Die grundlegendste und möglicherweise wichtigste Anforderung ist die Existenz dokumentierter Richtlinien und Verfahren für Backup und Recovery. Obwohl viele IT-Mitarbeiter diese Aufgaben routiniert ausführen könnten, bieten dokumentierte Verfahren der IT-Abteilung zusätzliche Sicherheit, besonders wenn die zuständigen Backup- und Recovery-Teammitglieder nicht verfügbar sind.
Die Erfahrungen aus der COVID-19-Pandemie haben gezeigt, dass jeder erkranken und ausfallen kann. Daher ist es wichtig, dass klare Verfahrensdokumente existieren, die es praktisch jedem ermöglichen, Datensicherungen und -wiederherstellungen durchzuführen.
Richtlinien für Backup und Recovery müssen nicht so detailliert sein wie die eigentlichen Verfahren, sind aber aus Audit-Perspektive wichtig. Sie demonstrieren, dass das Unternehmen Data Protection ernst nimmt, insbesondere im Kontext von Business Continuity und Disaster Recovery.
IT-Auditoren suchen in der Regel nach dokumentierten Nachweisen für Richtlinien und Verfahren. Es ist sowohl aus Audit- als auch aus betrieblicher Sicht wichtig, diese regelmäßig zu überprüfen und zu aktualisieren.

2. Technologie
Obwohl Richtlinien und Verfahren an erster Stelle stehen, ist der Zugang zu relevanten und kosteneffizienten Technologien und Ressourcen ebenso entscheidend. Dazu gehören Softwareanwendungen und Datenspeicher-Repositories.
Backup-Softwareanwendungen sind integraler Bestandteil der Bemühungen einer Organisation, sich vor Datenverlust, -beschädigung und -diebstahl zu schützen. Sie helfen bei der Identifizierung von:
- Datendateien, Datenbanken und kritischen Systemen und Anwendungen
- Kriterien für Backup und Wiederherstellung
- Speicherorten der Daten- und System-Backups
- Backup-Zeitplänen
- Backup-Verifizierungsprozessen
- Prozessen zur Wiederherstellung von Daten, Anwendungen und Systemen
Anwendungen und Speicherorte können sich lokal oder in der Cloud befinden. Es ist wichtig, eine ausgewogene Mischung aus On-Premise- und Cloud-basierten Lösungen zu implementieren, um Redundanz und Sicherheit zu gewährleisten.
3. Testen
Das Testen von Datensicherungsaktivitäten ist der letzte, aber keineswegs unwichtigste Punkt. Neben regelmäßig geplanten Backups und Notfall-Backup-Aktivitäten sind regelmäßige Tests der Backup- und Recovery-Prozesse unerlässlich.
Backup-Tests müssen sicherstellen, dass:
- die gesicherten Daten am vorgesehenen Speicherort vorhanden sind.
- die Backups mit den primären Datenbeständen identisch sind.
- Sicherheitsmaßnahmen wie Verschlüsselung korrekt implementiert sind.
- die Daten bei Bedarf entschlüsselt und validiert werden können.
Dies gilt gleichermaßen für System- und Anwendungs-Backups: Sie müssen sicher, vollständig und häufig sein.

Regelmäßige Tests der Datenwiederherstellungsfunktionen gewährleisten die Verfügbarkeit und schnelle Zugänglichkeit der Unternehmensressourcen im Notfall. Während Backup-Tests fast täglich durchgeführt werden können, sollten Recovery-Tests in regelmäßigen Abständen, beispielsweise monatlich oder wöchentlich, geplant werden.
Zusätzlich empfiehlt es sich, jährliche oder halbjährliche Disaster-Recovery-Übungen durchzuführen, um die Effektivität des gesamten Data-Protection-Konzepts zu überprüfen und mögliche Schwachstellen zu identifizieren.