Getty Images/iStockphoto

So unterscheiden sich Backup und Data Protection voneinander

Backups sollten Teil der Data-Protection-Strategie sein, um vor Bedrohungen wie Ransomware zu schützen und Datenschutzgesetze einzuhalten sowie Datenverlust zu verhindern.

Halten Sie zu viele Daten in Ihrer Unternehmensumgebung vor und wissen nicht, wo sich Ihre wirklich wertvollen Daten befinden oder wie Sie sie schützen können? Ohne eine wirksame Strategie zur Erfassung, Aufbewahrung, Verwertung und Löschung von Daten kann die Informationsflut jeden Aspekt des Geschäftsbetriebs überfordern.

Der Schutz wichtiger Datendateien, wie zum Beispiel Kreditkartentransaktionen und personenbezogener Daten (PII), während des gesamten Lebenszyklus der Daten unterstreicht die Notwendigkeit von Initiativen für Governance,Risikomanagement und Compliance im Finanzwesen, im Gesundheitswesen und in fast allen anderen Branchen. Die Datensicherung (Backup) ist ein wichtiger Bestandteil dieses Plans. Die Einhaltung von Datenschutzbestimmungen, die durch Bundesgesetze und Industriestandards (HIPAAPCI DSS 4.0) sowie durch Datenschutzgesetze der Bundesstaaten (CCPA) und der Europäischen Union (DSGVO) vorgegeben sind, erfordert verlässliche Verfahren zur Wiederherstellung von Daten.

Behörden, Banken und Millionen anderer Websites in ganz Europa fielen im Jahr 2021 aus, als ein Feuer zwei Rechenzentren des globalen Cloud Service Providers OVHcloud in Straßburg, Frankreich, beschädigte. Zwei seiner Kunden – BluePad und Bati Courtage – gewannen 2023 vor Gericht, unter anderem weil der Cloud-Anbieter fälschlicherweise behauptete, seine Backup- und Produktionsserver seien in getrennten Gebäuden untergebracht.

Da immer mehr Unternehmen auf Cloud-Umgebungen umsteigen, unterstützen ältere Systeme zum Kopieren und lokalen Speichern von Daten möglicherweise keine Multi-Cloud- oder Hybrid-Cloud-Szenarien. Viele Cloud-Anbieter bieten Backup-as-a-Service für die standortferne Datenspeicherung an. Aber selbst mit strikten Service-Level-Vereinbarungensind Unternehmen, die sich mit Data Protection und Backup auseinandersetzen müssen, für die Sicherheit ihrer Daten verantwortlich.

Früher wurde verstärkt auf die Geschwindigkeit und die Datenübertragung geachtet. Das entsprach dem Motto: Beherrschen die IT-Verantwortlichen die Server, die gesichert werden müssen, und wie schnell erfolgt die Umsetzung des Prozesses? Heute ist es wichtiger bei der Bewertung eines Anbieters darauf zu achten, welches Sicherheitsniveau er bietet und wie gut die Cloud-Backups geschützt sind. 

Es ist keine Überraschung, dass Ransomware – bösartige Software, die wichtige Dateien eines Unternehmens verschlüsselt und sie unlesbar macht, bis das Opfer ein Lösegeld für den Entschlüsselungsschlüssel zahlt – laut dem 2023 Data Breach Investigations Report von Verizon bei fast einem Viertel der Sicherheitsverletzungen der Grund war.

Während einige Experten auf eine Verlagerung weg von der traditionellen Datensicherung und -wiederherstellung hin zur Data Protection hinweisen, wird beides benötigt, um Daten sicher vorzuhalten.

Abbildung 1: Eine Data-Protection-Strategie umfasst mehrere Schritte, die gewährleisten soll, dass Daten sicher gespeichert werden und bei Bedarf verfügbar sind.
Abbildung 1: Eine Data-Protection-Strategie umfasst mehrere Schritte, die gewährleisten soll, dass Daten sicher gespeichert werden und bei Bedarf verfügbar sind.

Hauptunterschiede zwischen Data Protection und Backup

Eine Data-Protection-Strategie soll Daten vor Verlust, Beschädigung und unbefugtem Zugriff schützen und die Vertraulichkeit, Integrität und Verfügbarkeit der Daten gewährleisten. Mithilfe von Reifegradmodellen und anderen Rahmenwerken entwickeln Chief Information Security Officers Datensicherheitsrichtlinien und -verfahren für die Nutzung, Überwachung und Verwaltung von IT-Teams, Mitarbeitern und die Einhaltung von Vorschriften der Drittanbieter.

Ein Data-Protection-Beauftragter oder eine Person in einer ähnlichen Position arbeitet mit der Unternehmensleitung zusammen, um sicherzustellen, dass die Datenprozesse den Anforderungen an Vertraulichkeit, Geolokalisierung, Aufbewahrung und anderen Compliance-Vorschriften entsprechen. Technische Kontrollen für die Data Protection erfordern einen mehrschichtigen Ansatz: Systeme zur Erkennung von Eindringlingen (Firewalls), Zugangskontrollen, Benutzer- und Geräteauthentifizierung (Multifaktor), VerschlüsselungDatenmaskierung und Schutz vor Datenverlust (Data Loss Prevention).

Früher bedeutete Data Protection den Schutz von Daten und nicht von Systemen und Anwendungen. Allerdings wird der Begriff oft mit dem Begriff Datenschutz gleichgesetzt.

Heutzutage haben die meisten der geltenden Gesetze, Vorschriften und Verweise auf die Data Protection mit dem Schutz der Privatsphäre zu tun. Und obwohl der Begriff Daten ein allgemeiner Terminus ist, geht es, wenn er zusammen mit dem Wort Protection verwendet wird, in der Regel um den Schutz persönlicher Daten und Informationen über Einzelpersonen. Das Ergebnis ist Verwirrung in allen Branchen, weil der Begriff je nach Struktur und geografischem Standort eines Unternehmens so viele verschiedene Dinge bedeutet.

Mit Hilfe von Datensicherungssystemen können Unternehmen Kopien von wichtigen Dateien, Anwendungen, Datenbanken und Systemkonfigurationen anfertigen und an verschiedenen Orten speichern. Die Daten können dann wiederhergestellt werden, wenn sie aufgrund von menschlichem Versagen, Systemausfällen, Cyberangriffen oder Naturkatastrophen beschädigt werden oder verloren gehen, und so die Ausfallzeiten minimieren. Die Datensicherung ist ein wichtiger Bestandteil der Business-Continuity- und Disaster-Recovery-Programme vieler Unternehmen.

Data Protection und Backup werden im Zuge der Veränderungen in den Netzwerken genauer unter die Lupe genommen. Früher wurden für die Datensicherung physische Medien wie Bänder und Festplatten verwendet, doch heute setzen Unternehmen zunehmend auf SaaS-basierte Datensicherung als Service.

Nicht jedes Unternehmen kann seine Daten und Workloads in der Cloud sichern, aber die überwiegende Mehrheit der Unternehmen nutzt die Services entsprechend ihrer Regularien, und die Cloud bietet erhebliche Wiederherstellungsoptionen aus Sicht des Disaster Recovery. Das führt dazu, dass zahlreiche Daten online sind und in der Cloud residieren, was es schwierig macht, ein Air Gap umzusetzen. Allerdings kann die Cloud Funktionen bieten, die einem Air Gap sehr nahe kommen.

Wie man sowohl Data Protection als auch Backup nutzt

Eine wirksame Datensicherung ermöglicht es Unternehmen, Originaldaten wiederherzustellen und an einem bestimmten Ort wiederherzustellen, während Data-Protection-Kontrollen die Datenintegrität und -verfügbarkeit für diejenigen gewährleisten, die Zugriff darauf benötigen. Durch die Verwendung verschiedener Sicherungsansätze – vollständige,inkrementelle und differenzielle Backups – kann die IT-Abteilung die Kosten senken, die Wiederherstellung von Dateien kann jedoch länger dauern. Bei der differenziellen Sicherung werden nur Datei-Änderungen kopiert, was die Sicherungszeit und die Speicheranforderungen reduziert. IT-Administratoren sollten die Sicherungs- und Wiederherstellungsverfahren kontinuierlich testen und die Mitarbeiter in der Anwendung der besten Verfahren schulen.

Backups und Data Protection können nicht völlig getrennt voneinander betrachtet werden, da die Mitarbeiter in den Teams zusammenarbeiten müssen, die dann auch alle anderen Zugriffskontrollen für die Daten einrichten. Firmen benötigen strenge Zugangskontrollen für die Backups, sie müssen Tests durchführen und Schulungen für diejenigen anbieten, die die Backups wiederherstellen, sodass dies ein Teil des gesamten Programms sein muss.

Sicherheitskontrollen wie unveränderliche Backups (Immutable Backups) ermöglichen es den Systemadministratoren, Zeiträume festzulegen, in denen die Datei- und Systemdaten in keiner Weise verändert werden können. Backups sind ein direkter Angriffspunkt für Ransomware, denn wenn sie diese ausgeschaltet werden können, wissen die Cyberkriminellen, dass die Wahrscheinlichkeit, einer Lösegeldzahlung, viel höher ist. Da aber die Bedeutung von unveränderlich je nach Anbieter variieren kann, sollten Unternehmen prüfen, was wirklich angeboten wird.

Warum Data Protection und Backup Vorrang haben sollten

Viele Anwender gehen davon aus, dass die automatische Datensicherung Teil von Microsoft 365, Google Workspace, Salesforce und anderen SaaS ist. Dies ist allerdings nicht der Fall. 

Unternehmen gehen auch häufig davon aus, dass die Geräte und Computerprodukte, die sie kaufen, automatisch Backups durchführen und über Wiederherstellungsfunktionen verfügen. Auch hier muss geprüft werden, was seitens des Herstellers oder Anbieters im Lieferumfang enthalten ist.

Firmen müssen erkennen, dass das Disaster Recovery Teil ihres Backup-Programms sein muss. Sie sollten häufig genug Backups durchführen, damit sie geschützt sind und im Falle eines Angriffs nicht für Ransomware bezahlen müssen – vorausgesetzt, sie die Daten sind auf effektive Weise gespeichert und sicher. All dies muss Teil eines umfassenden Sicherheitsprogramms sein.

Erfahren Sie mehr über Backup-Lösungen und Tools

ComputerWeekly.de
Close