Backup-Audits: Auf die Vorbereitung kommt es an

Bedeutung des Backup-Audits

Backup-Aktivitäten sind von entscheidender Bedeutung, und Organisationen müssen sie genau und konsequent durchführen. Wenn Backups nicht ordnungsgemäß durchgeführt werden – selbst mit automatisierten Backup-Systemen und -Anwendungen –, kann dies zu Daten- und Datenbankverlusten, Diebstahl oder Beschädigungen führen. Schäden an Daten durch Sicherheitsverletzungen sind ein besonders wichtiger Aspekt. Regelmäßige Backup-Audits stellen sicher, dass Backup-Programme wie erforderlich funktionieren, den relevanten Standards und Vorschriften entsprechen und robust genug sind, um Anomalien zu erkennen und zu korrigieren.

Wichtige Bereiche, die Teams für Backup-Audits untersuchen sollten, sind Cloud-Backup-Dienste, Sicherheitsvorkehrungen zur Verhinderung von Cyberangriffen wie Ransomware, Risiken im Zusammenhang mit der Nutzung von As-a-Service-Plattformen und Bedrohungen durch nicht identifizierte oder nicht verwaltete Schatten-IT-Aktivitäten (Shadow IT).

Zu den wichtigsten zu untersuchenden Backup-Kennzahlen gehören Recovery Time Objective (RTO), Recovery Point Objective (RPO), die Backup-Erfolgsrate oder die Backup-Zuverlässigkeit und die Erfolgsquote bei Datenwiederherstellungstests.

Weitere Gründe für Backup-Audits sind unter anderem die folgenden:

• Identifizierung und Minderung von Sicherheitsrisiken.
• Einhaltung relevanter Standards und Vorschriften.
• Vermeidung von Strafen wegen Nichteinhaltung der Compliance.
• Bewertung der Backup-Leistung und -Zuverlässigkeit.
• Validierung des Einsatzes von künstlicher Intelligenz (KI).
• Bestätigung der Data-Protection-Funktionen.
• Gewährleistung der Sicherheit der Zugriffskontrolle.
• Überprüfung der Wirksamkeit von Cloud- oder Hybrid-Cloud-Lösungen.

Die wichtigsten Elemente für einen Audit

Die folgenden Aktivitäten sind bei der Vorbereitung und Durchführung eines Backup-Audits von zentraler Bedeutung:

• Einholung der Genehmigung der Geschäftsleitung für das Audit.
• Festlegung des Ansatzes (Audit durch Erst-, Zweit- oder Drittanparteien).
• Bildung des Audit-Teams und Überprüfung der Qualifikationen und Fachkenntnisse der Mitglieder.
• Entwicklung des Audit-Plans.
• Festlegung der Ziele und des Umfangs des Audits.
• Festlegung der Standards und Vorschriften, die für die Compliance herangezogen werden.
• Identifizierung der zu prüfenden Kontrollen.
• Festlegung der Verantwortlichkeiten des Audit-Teams.
• Sammeln von Nachweisen, zum Beispiel Backup-Zeitplänen und Backup-Testdaten.
• Planung und Durchführung von Interviews.
• Analyse der Audit-Ergebnisse und Zusammenstellung in Arbeitspapieren.
• Erstellung des Audit-Berichts mit Ergebnissen und Empfehlungen.

Weitere Hinweise zu den für das Audit zu berücksichtigenden Kontrollen finden Sie in unserer kostenlosen Vorlage für einen Backup-Plan.

Zusätzlich zu der oben genannten Liste sind Vorbereitung und Dokumentation entscheidende Faktoren bei der Organisation einer Backup-Prüfung. Elektronische und gedruckte Unterlagen sind als Nachweise unerlässlich. Stellen Sie daher sicher, dass diese Unterlagen identifiziert und für die Prüfung bereitgestellt werden.

Bilden Sie ein Team, das sich um die Prüfer kümmert. Es ist wichtig, dass alle Teammitglieder mit dem Prüfungsprozess vertraut sind, damit sie auf alle Fragen präzise antworten können. Die Teammitglieder sollten auch in der Lage sein, Backup-Systeme zu demonstrieren, da die Auditoren möglicherweise überprüfen möchten, wie Backups in Echtzeit durchgeführt werden. Holen Sie sich Unterstützung von der IT-Führungsebene, da die Auditoren möglicherweise mehrere Mitglieder des IT-Führungsteams befragen möchten.

Beispiele für Kontrollen bei Backup-Audits

Für ein Backup-Audit können zahlreiche Kontrollpunkte identifiziert werden. In der folgenden Tabelle sind wichtige Backup- und Audit-Kontrollen sowie die zu ihrer Bestätigung erforderlichen Nachweise aufgeführt.

Auch wenn die folgende Checkliste mit Aktivitäten vor dem Audit möglicherweise nicht vollständig vor dem Backup-Audit vorliegt, sollten Sie darauf vorbereitet sein, alle verfügbaren Nachweise als Antwort auf die Empfehlungen des Audit-Berichts vorzulegen, darunter die folgenden:

• Aktuelle Kopien aller Pläne für Datensicherung, Archivierung und zugehörige Dokumentation.
• Backup-Richtlinien und -Verfahren.
• Ergebnisse der letzten Bewertungen.
• Rollen und Verantwortlichkeiten der Backup-Teams.
• Ergebnisse von Backup-Tests.
• Frühere Backup-Probleme und wie diese gelöst wurden.
• Schulungsmaterialien zur Datensicherung.
• Backup-Pläne.
• Berichte zur Datensicherungsleistung, insbesondere zu Sicherheitsverletzungen.
• Nachweise für die Einhaltung relevanter Standards und Vorschriften.
• Nachweise für frühere Managementbewertungen und Audits.
• Nachweise für kontinuierliche Verbesserungsmaßnahmen.
• Ein Nachweis, dass das Datensicherungsprogramm Teil eines umfassenden Disaster-Recovery-Programms ist.
• Ein Nachweis, dass Datensicherungs- und Wiederherstellungstests, Datensicherungsbewertungen, Aktualisierungen des Datensicherungsplans sowie Aktualisierungen der Richtlinien und Verfahren geplant und durchgeführt wurden.
• Nachweis der Unterstützung des Backup-Programms durch die Geschäftsleitung, einschließlich eines Sponsors aus der Geschäftsleitung, eines Budgets und von Mitarbeitern, die sich speziell um Backups kümmern.
• Nachweis, dass Backup- und Recovery-Aktivitäten als strategische Geschäftsaktivität in das Unternehmen eingebettet sind.

Sind Ihre Backup-Auditoren vorbereitet?

Da Backup und Recovery routinemäßige IT-Funktionen sind, ist es wichtig zu überprüfen, ob die Prüfer über Kenntnisse in den entsprechenden Bereichen verfügen und ob sie in der Vergangenheit bereits Backup-Prüfungen durchgeführt haben. Wenn Sie ein internes Audit durchführen, kann es sinnvoll sein, den Prüfern Hintergrundmaterialien zu Datensicherungsaktivitäten zur Verfügung zu stellen, damit sie sich entsprechend vorbereiten können. Bei externen Audits sollten Sie sich erkundigen, ob die potenzielle Prüfungsgesellschaft über Kenntnisse im Bereich Datensicherung und -wiederherstellung verfügt.

Im Folgenden finden Sie einige wichtige Kriterien, die bei der Bewertung potenzieller Datensicherungsprüfer zu beachten sind.

Professionelle Audit- und IT-Zertifizierungen

• Certified Information Systems Auditor (CISA). Die von ISACA angebotene CISA-Zertifizierung konzentriert sich auf alle Aspekte des IT-Auditprozesses und ist auch in Deutschland anerkannt.
• Certified Information Systems Security Professional (CISSP). Die CISSP-Zertifizierung von ISC2 ist ideal für Auditoren, die sich mit Cybersicherheitsbewertungen befassen. Auch dieses Zertifikat ist in Deutschland anerkannt.
• Certified in Risk and Information Systems Control (CRISC). Die CRISC-Zertifizierung von ISACA befasst sich mit Risikomanagement- und Kontrollrahmenwerken und ist in Deutschland anwendbar.
• Certified Public Accountant CPA). Eine CPA-Zertifizierung befasst sich mit den finanziellen Aspekten des Sarbanes-Oxley Act (SOX) oder der HIPAA-Vorschriften bei Compliance-Prüfungen. Dies ist ein US-Abschluss, der in Deutschland nicht anerkannt ist. Hier können deutsche Unternehmen Wirtschaftsprüfer, vereidigte Buchprüfer und Experten mit CISA-Zertifikat ansprechen und nach dem nötigen Fachwissen fragen.

Qualifikationen in den Bereichen Backup und Storage

• CompTIA Storage+ Powered by SNIA. Befasst sich mit den wichtigsten Aspekten der Speicher-, Sicherungs- und Wiederherstellungsplanung. CompTIA ist zwar in Deutschland bekannt (A+, Security+), aber Storage+ ist im deutschen Markt kaum verbreitet.
• IBM Certified Specialist – Tivoli Storage Manager. Zertifiziert Fachkenntnisse in Unternehmenssicherungssoftware, insbesondere Tivoli Storage Manager. In Deutschland sind Fachkräfte mit dieser Zertifizierung zu finden.
• Microsoft Certified: Azure Backup & Recovery. Eine wichtige Qualifikation für die Prüfung von Azure-Cloud-Backup-Umgebungen, die auch in Deutschland verfügbar ist.
• Symantec Certified Specialist in Backup. Diese Zertifizierung befasst sich mit Symantec-Backup-Ressourcen. Spezialisten sollten hier auch in Deutschland zu finden sein.
• Veeam Certified Engineer. Die VMCE-Zertifizierung bescheinigt Fachwissen im Bereich Veeam-Backup und -Replikation und ist in Deutschland anerkannt.

Fachwissen in Compliance und wichtigen Rahmenwerken

• ISO/IEC 27001 und 27040. Wichtige globale Standards für Informationssicherheit und Speichersicherheit.
• NIST SP 800-209. Dieser Standard definiert Kriterien für eine sichere Speicherinfrastruktur in den USA.
• PCI DSS, HIPAA, DSGVO und SOX. Diese wichtigen regulatorischen Rahmenwerke befassen sich mit Datenschutz, Privatsphäre, Sicherheit sowie Backup und Wiederherstellung.

Diese Vorgaben sind in Deutschland relevant, einige eventuell etwas weniger oder nicht für jedes Unternehmen wie beispielsweise HIPAA oder SOX.

Technische und soziale Kompetenzen sowie Erfahrung

• IT-Audit-Fachwissen, insbesondere im Bereich Backups.
• Fachwissen im Bereich Disaster-Recovery-Planung.
• Kenntnisse über Business-Continuity-Rahmenwerke.
• Kenntnisse und Fachwissen im Bereich Cybersicherheit.
• Kenntnisse im Bereich Backup-Tests.
• Fachwissen in der Bewertung von RPO- und RTO-Metriken.
• Ausgeprägte Fähigkeiten im Bereich Dokumentation und Berichterstattung.

Überprüfung des Backup-Audit-Berichts

Der Audit-Bericht kann als Entwurf oder in endgültiger Form vorgelegt werden. Wenn ein Entwurf vorgelegt wird, kann das Audit-Team möglicherweise schnelle Lösungen identifizieren, mit denen bestimmte Ergebnisse des Berichts vor der Vorlage des endgültigen Berichts behoben werden können. Dies ist nicht immer die Regel; es liegt im Ermessen der Audit-Organisation und muss möglicherweise von der Geschäftsleitung genehmigt werden.

Der fertige Audit-Bericht sollte der Organisation zur sorgfältigen Prüfung der Ergebnisse und Empfehlungen vorgelegt werden.

Zu den wichtigsten Überlegungen und Maßnahmen gehören die folgenden:

• Der Bericht enthält einen Zeitrahmen für die Bestätigung der Ergebnisse und (bei Bedarf) deren Behebung.
• Die IT-Führungskräfte sollten so schnell wie möglich über den Bericht informiert werden.
• Bereiten Sie sich darauf vor, auf die im Bericht festgestellten Leistungs- oder Betriebsprobleme zu reagieren und diese zu beheben.
• Das Kunden-Audit-Team, das das Audit angefordert hat, sollte so schnell wie möglich eine Antwort auf den Audit-Bericht vorbereiten, mit vorgeschlagenen Maßnahmen und Terminen zur Umsetzung der Empfehlungen.
• Vereinbaren Sie persönliche Treffen nach dem Audit, um den Audit-Bericht weiter zu besprechen.

Mit einer guten Vorbereitung, einem Verständnis des Audit-Prozesses und zahlreichen Belegen für Backup und Recovery sollte der Backup-Audit informativ und aufschlussreich sein und sicherstellen, dass die Organisation das effektivste Datensicherungs- und -wiederherstellungsprogramm verwaltet.