Backup- und Recovery-Anforderungen für gute Data Protection

1. Richtlinien und Verfahren

Die grundlegendste und möglicherweise wichtigste Anforderung ist die Existenz dokumentierter Richtlinien und Verfahren für Backup und Recovery. Obwohl viele IT-Mitarbeiter diese Aufgaben routiniert ausführen könnten, bieten dokumentierte Verfahren der IT-Abteilung zusätzliche Sicherheit, besonders wenn die zuständigen Backup- und Recovery-Teammitglieder nicht verfügbar sind.

Die Erfahrungen aus der COVID-19-Pandemie haben gezeigt, dass jeder erkranken und ausfallen kann. Daher ist es wichtig, dass klare Verfahrensdokumente existieren, die es praktisch jedem ermöglichen, Datensicherungen und -wiederherstellungen durchzuführen.

Richtlinien für Backup und Recovery müssen nicht so detailliert sein wie die eigentlichen Verfahren, sind aber aus Audit-Perspektive wichtig. Sie demonstrieren, dass das Unternehmen Data Protection ernst nimmt, insbesondere im Kontext von Business Continuity und Disaster Recovery.

IT-Auditoren suchen in der Regel nach dokumentierten Nachweisen für Richtlinien und Verfahren. Es ist sowohl aus Audit- als auch aus betrieblicher Sicht wichtig, diese regelmäßig zu überprüfen und zu aktualisieren.

2. Technologie

Obwohl Richtlinien und Verfahren an erster Stelle stehen, ist der Zugang zu relevanten und kosteneffizienten Technologien und Ressourcen ebenso entscheidend. Dazu gehören Softwareanwendungen und Datenspeicher-Repositories.

Backup-Softwareanwendungen sind integraler Bestandteil der Bemühungen einer Organisation, sich vor Datenverlust, -beschädigung und -diebstahl zu schützen. Sie helfen bei der Identifizierung von:

• Datendateien, Datenbanken und kritischen Systemen und Anwendungen
• Kriterien für Backup und Wiederherstellung
• Speicherorten der Daten- und System-Backups
• Backup-Zeitplänen
• Backup-Verifizierungsprozessen
• Prozessen zur Wiederherstellung von Daten, Anwendungen und Systemen

Anwendungen und Speicherorte können sich lokal oder in der Cloud befinden. Es ist wichtig, eine ausgewogene Mischung aus On-Premise- und Cloud-basierten Lösungen zu implementieren, um Redundanz und Sicherheit zu gewährleisten.

3. Testen

Das Testen von Datensicherungsaktivitäten ist der letzte, aber keineswegs unwichtigste Punkt. Neben regelmäßig geplanten Backups und Notfall-Backup-Aktivitäten sind regelmäßige Tests der Backup- und Recovery-Prozesse unerlässlich.

Backup-Tests müssen sicherstellen, dass:

• die gesicherten Daten am vorgesehenen Speicherort vorhanden sind.
• die Backups mit den primären Datenbeständen identisch sind.
• Sicherheitsmaßnahmen wie Verschlüsselung korrekt implementiert sind.
• die Daten bei Bedarf entschlüsselt und validiert werden können.

Dies gilt gleichermaßen für System- und Anwendungs-Backups: Sie müssen sicher, vollständig und häufig sein.

Regelmäßige Tests der Datenwiederherstellungsfunktionen gewährleisten die Verfügbarkeit und schnelle Zugänglichkeit der Unternehmensressourcen im Notfall. Während Backup-Tests fast täglich durchgeführt werden können, sollten Recovery-Tests in regelmäßigen Abständen, beispielsweise monatlich oder wöchentlich, geplant werden.

Zusätzlich empfiehlt es sich, jährliche oder halbjährliche Disaster-Recovery-Übungen durchzuführen, um die Effektivität des gesamten Data-Protection-Konzepts zu überprüfen und mögliche Schwachstellen zu identifizieren.