Die Langzeitsicherung im Unternehmen richtig umsetzen

Was ist eine Backup-Aufbewahrungsrichtlinie?

Eine Backup-Aufbewahrungsrichtlinie ist eine interne Vorgabe, die festlegt, welche Daten gespeichert werden, wo sie gespeichert sind und wie lange sie aufbewahrt werden. Die Richtlinie kann auch bestimmen, welche Arten von Backups zulässig sind, etwa auf Bändern oder in der Cloud. Dazu können verschiedene Backup-Methoden zählen, etwa vollständige, inkrementelle oder differenzielle Sicherungen.

Aufbewahrungsrichtlinien gibt es aus zahlreichen Gründen. Sie dienen dazu dienen unter anderem dazu, Kundendaten sicher, verfügbar und gesetzeskonform zu speichern. Branchen wie Gesundheitswesen, Bildung, IT oder Einzelhandel haben jeweils unterschiedliche Anforderungen. Einige Richtlinien beinhalten auch Fristen für die automatische Löschung veralteter Daten.

Warum sind Aufbewahrungsrichtlinien wichtig?

Solche Richtlinien definieren die Dauer der Datenspeicherung nach der Sicherung. Sie sind aus drei Gründen wesentlich:

Gesetzliche Anforderungen: Viele Organisationen müssen rechtliche Vorgaben erfüllen, zum Beispiel DSGVO, HIPAA, Sarbanes-Oxley Act oder PCI DSS.

Geschäftliche Anforderungen: Unternehmen legen selbst fest, wie lange Daten im Fall von Notfällen verfügbar sein sollen (zum Beispiel mindestens sechs Wochen). Das heißt, sie entscheiden, wie alt die Backup-Daten nach einem größeren Datenverlust sein dürfen, entsprechend ihren Geschäftsansprüchen.

Kosteneffizienz: Speichern bedeutet Kosten, besonders bei Cloud- oder unveränderlichen Speicherlösungen. Durch definierte Löschfristen in der Aufbewahrungsrichtlinie können Unternehmen Speicherplatz und Kosten reduzieren, da sie definieren, in welchen Intervallen Backup-Kopien von welchen Medien gelöscht werden.

Zentrale Aspekte einer Aufbewahrungsrichtlinie

Bei der Erstellung einer Aufbewahrungsrichtlinie müssen drei wichtige Aspekte berücksichtigt werden: welche Daten das Unternehmen aufbewahren muss, relevante Compliance-Vorschriften und zukünftige Aktualisierungen der Richtlinie.

Welche Daten müssen aufbewahrt werden?

Einige Daten müssen laut Gesetz für einen bestimmten Zeitraum aufbewahrt werden; andere Daten sind zwar nützlich, aber es ist nicht gesetzlich vorgeschrieben, sie über einen längeren Zeitraum vorzuhalten. Unternehmen können interne Regeln dafür festlegen, welche Daten sie wie lange aufbewahren, vorausgesetzt, dass sie die Compliance-Vorschriften erfüllen oder übertreffen. Zu den gängigen Arten von aufbewahrten Daten gehören Dateien, E-Mail-Nachrichten und Datenbankdatensätze.

Eine der ersten Best Practices für die Aufbewahrung von Backups ist, zu wissen, welche Daten live bleiben sollten und welche Daten das Unternehmen archivieren sollte. In der Regel basiert diese Entscheidung auf dem Alter der Daten. In einigen Fällen prüfen Administratoren Kriterien wie den Zeitpunkt des letzten Zugriffs auf die Daten und den Datentyp.

Beispielsweise verfügt ein Unternehmen möglicherweise über viel freien Speicherplatz auf dem Dateiserver, möchte aber etwas Ordnung schaffen. Mit diesem Ziel vor Augen beschließt es, eine Archivierungsrichtlinie zu erstellen, nach der alle Daten, die älter als fünf Jahre sind, in das Archiv verschoben und alle Daten, die älter als zehn Jahre sind, gelöscht werden.

Dies mag zwar wie ein vernünftiger Ansatz für die Erstellung einer Richtlinie zur Datenaufbewahrung klingen, könnte jedoch unerwünschte Folgen haben. Was passiert, wenn eine Tabelle vor sechs Jahren erstellt wurde, aber regelmäßig aktualisiert wird? Wenn die Richtlinie zur Datenaufbewahrung nur das Erstellungsdatum berücksichtigt, würde die Tabelle archiviert werden, obwohl sie regelmäßig verwendet wird. Es ist in der Regel viel effektiver, eine Aufbewahrungsrichtlinie auf das Datum des letzten Zugriffs statt auf das Erstellungsdatum zu stützen.

Richtlinien zur Datenaufbewahrung können auch auf andere Weise fehlschlagen. Wenn ein Unternehmen beispielsweise vor 11 Jahren einen 15-Jahres-Mietvertrag für sein Bürogebäude unterzeichnet hat, hat in den letzten 10 Jahren höchstwahrscheinlich niemand mehr einen Blick auf das Dokument geworfen. Dennoch möchte das Unternehmen es wahrscheinlich aufbewahren. Die Richtlinie sollte Fälle dieser Art berücksichtigen.

Compliance

Neben den internen Compliance-Regeln muss ein Unternehmen bei der Festlegung seiner Richtlinie zur Datenaufbewahrung mehrere Gesetze und Vorschriften berücksichtigen. Es ist wichtig, die geltenden Gesetze zu ermitteln; dabei kann ein externer Prüfer helfen.

Die DSGVO der Europäischen Union enthält beispielsweise Vorschriften, die für personenbezogene Daten (PII) von EU-Bürgern gelten, unabhängig davon, wo diese gespeichert sind.

Eine Organisation, die Daten erfasst, sollte über eine Richtlinie verfügen, in der die Einhaltung der DSGVO ausdrücklich geregelt ist.

Weitere Vorschriften mit Anforderungen zur Datenaufbewahrung sind der Sarbanes-Oxley Act in den USA und der Payment Card Industry Data Security Standard. Insbesondere im Zusammenhang mit diesen Vorschriften sollte eine Organisation nur personenbezogene Daten aufbewahren, die benötigt werden.

Zu den Strafen für Verstöße gehören Geldbußen und Reputationsverluste. Ein Datenaufbewahrungsplan innerhalb einer internen Richtlinie kann ein hilfreiches Instrument zur Einhaltung der Vorschriften sein.

Aktualisierung der Richtlinien

Die Aufbewahrungsstrategie muss flexibel bleiben. Bei Rechtsstreitigkeiten können Daten länger gespeichert werden müssen als vorgesehen. Daher sind regelmäßige Prüfungen und Anpassungen essenziell.

Checkliste zur Erstellung einer Aufbewahrungsrichtlinie

Die Nuancen der Aufbewahrungsrichtlinien variieren je nach Unternehmen, aber die folgende Checkliste enthält einige grundlegende, notwendige Schritte zur Entwicklung einer Richtlinie:

• Datenarten definieren
• Daten nach Lebenszyklus organisieren
• Anzahl der Backup-Versionen festlegen
• Backup-Typ und Häufigkeit bestimmen
• Lebenszyklen pro Datensatz definieren
• Veraltete Daten löschen
• Richtlinie überprüfen und durchsetzen

Der letzte Schritt ist entscheidend für den Erfolg der Richtlinie, daher sollten Sie den Überprüfungsprozess nicht überspringen. In diesem Schritt erfahren Administratoren, ob Aktualisierungen erforderlich sind, idealerweise bevor diese sich auf Daten auswirken.

Bewährte Verfahren für Aufbewahrungsrichtlinien

Im Folgenden finden Sie einige bewährte Verfahren für die Aufbewahrung von Sicherungen, auf die Administratoren bei der Erstellung einer neuen Richtlinie für ihr Unternehmen zurückgreifen können. Einige Vorschriften und Sicherheitsbedenken sind möglicherweise für bestimmte Unternehmen nicht relevant, aber zu den allgemeinen bewährten Verfahren für Backup-Administratoren gehören die folgenden:

• Berücksichtigen Sie, wie sich Branchenvorschriften auf die Aufbewahrungsstrategie auswirken.
• Branchenvorschriften berücksichtigen
• Backup-Frequenz und -Typ auf Datenstruktur abstimmen
• Wiederherstellungsszenarien einplanen
• Inkrementelle Backups nicht zu groß werden lassen
• Letztes Backup gut zugänglich speichern
• Speicherbedarf realistisch kalkulieren
• Backups in Zeiten geringer Netzlast durchführen.

Speichermedien und Speicherorte

Richtlinien sollten auch die Auswahl geeigneter Speicherorte umfassen. Da Aufbewahrungsfristen unterschiedlich sein können, benötigt eine Organisation möglicherweise verschiedene Arten von Speichermedien.

Festplatten sind ein beliebtes Medium, auch für die Langzeitaufbewahrung, beispielsweise in Systemen mit MAID-Technologie. HDDs haben allerdings eine geringere Haltbarkeit, etwa bis zu zehn Jahren, weswegen Sie für spezifische Backups genutzt werden sollten. Optische Medien (DVDs, CD-Rs) können je nach Typ und Qualität zwischen 5 und 100 Jahren halten, sind aber oft weniger zuverlässig als Magnetbänder, so dass auch sie nur in bestimmten Fällen für die Langzeitaufbewahrung geeignet sind.

Die öffentliche Cloud ist ein beliebter Speicherort für die langfristige Aufbewahrung. Amazon S3 Glacier, Microsoft Azure Blob Storage und Google Nearline gehören zu den Optionen für kostengünstigen Archivspeicher in der Cloud. Der Speicher befindet sich außerhalb des Unternehmens, was für die Datensicherheit von Vorteil ist. Die Wiederherstellungszeiten und -kosten können jedoch hoch sein, je nachdem, wie viel ein Unternehmen aus der Cloud zurückholen muss.

Bänder sind ein weiterer Medientyp für die Langzeitspeicherung, der kostengünstiger ist als andere Optionen wie Festplatten. Die Haltbarkeit wird für die neuesten LTO-Bandkassetten in der Regel mit bis zu 30 Jahren angegeben. LTO-9 bietet 45 TB komprimierte Speicherkapazität. Die Wiederherstellungsgeschwindigkeit ist jedoch langsam, sodass Unternehmen Bänder nicht ausschließlich zur Aufbewahrung von Daten verwenden sollten, die schnell wiederhergestellt werden müssen.

Festplatten sind teurer, aber schneller als Bänder. Sie sind nicht kosteneffizient für die Speicherung großer Datenmengen, die langfristig aufbewahrt werden müssen und auf die das Unternehmen wahrscheinlich nicht häufig zugreift.

Eine solide Richtlinie zur Aufbewahrung von Backups könnte die 3-2-1-Backup-Methode verwenden. Diese Methode mag angesichts der heutigen Vielfalt an Backup-Optionen etwas einfach erscheinen, ist jedoch ein guter Ausgangspunkt für Administratoren, die eine Richtlinie entwerfen.

Implementierung einer Backup-Aufbewahrungsrichtlinie

Die Implementierung einer Richtlinie zur Aufbewahrung von Backups umfasst mehrere Schritte:

• Identifizieren Sie die geschäftlichen und Compliance-Anforderungen für Ihre Daten. Denken Sie daran, dass unterschiedliche Datensätze unterschiedliche Aufbewahrungsanforderungen haben können.
• Legen Sie verschiedene Aufbewahrungsstufen fest, zum Beispiel kurz, mittel und lang, und definieren Sie einen Zeitraum für jede Stufe. Anschließend können Sie Ihre verschiedenen Datensätze den entsprechenden Aufbewahrungsstufen zuordnen.
• Legen Sie die Häufigkeit Ihrer Backups fest. Die Häufigkeit, mit der Sie Ihre Daten sichern, bestimmt den Wiederherstellungspunkt für diese Daten. Mit anderen Worten: Je häufiger Sie Ihre Daten sichern, desto weniger Daten können aufgrund eines unvorhergesehenen Ereignisses verloren gehen. Einige Unternehmen richten die Häufigkeit der Backups nach der Änderungsrate der Daten aus, beispielsweise werden einige Daten alle paar Sekunden gesichert, während andere Daten möglicherweise nur einmal pro Tag gesichert werden.
• Wählen Sie Ihr bevorzugtes Speichermedium und Ihren bevorzugten Speicherort. Als bewährte Vorgehensweise sollten Sie mehrstufige Backups erstellen, bei denen die Daten an mehreren Orten und auf mindestens zwei verschiedenen Medientypen gespeichert werden. Berücksichtigen Sie bei der Auswahl der Speichermedien die geschätzte Lebensdauer der Medien, da diese lange genug funktionsfähig bleiben müssen, um Ihre Anforderungen an die Datenaufbewahrung zu erfüllen.
• Definieren Sie Ihre Sicherheits- und Zugriffskontrollen für Backups. Teil des Prozesses zur Erstellung einer Richtlinie zur Datenaufbewahrung ist die Festlegung, wie Sie Ihre Backups sichern und den Zugriff darauf kontrollieren. In einigen Fällen werden die Sicherheits- und Zugriffskontrollen durch gesetzliche Vorschriften geregelt. In anderen Fällen liegt die Entscheidung im Ermessen des Unternehmens. Bei der Bewertung Ihrer Sicherheits- und Zugriffskontrolloptionen ist es wichtig, ein Gleichgewicht zwischen Sicherheit und Zugänglichkeit zu finden. Sie sollten niemals so viele Sicherheitsmaßnahmen für ein Backup anwenden, dass Sie in einer Krisensituation nicht mehr darauf zugreifen können, weil abhängige Systeme offline sind.
• Automatisieren Sie die Durchsetzung von Richtlinien. Backup-Aufbewahrungsrichtlinien müssen automatisiert sein, um wirksam zu sein. Daher müssen Sie festlegen, welche Kontrollen Sie einrichten, um sicherzustellen, dass Backups für den erforderlichen Zeitraum aufbewahrt und nach Ablauf der Aufbewahrungsfrist automatisch gelöscht werden.
• Testen und validieren Sie Ihre Richtlinie zur Aufbewahrung von Backups. Sie können nicht davon ausgehen, dass Ihre Richtlinie zur Aufbewahrung von Backups wie vorgesehen funktioniert. Sie müssen einige Verfahren zum Testen der automatisierten Durchsetzung Ihrer Richtlinie festlegen, um sicherzustellen, dass sie ordnungsgemäß funktioniert.
• Dokumentieren Sie Ihre Richtlinie und schulen Sie die IT-Mitarbeiter. Ihre Aufbewahrungsrichtlinie muss formell dokumentiert werden. Außerdem müssen Sie die Richtlinie und ihre Kontrollen den IT-Mitarbeitern erklären, um sicherzustellen, dass die Richtlinien nicht verletzt oder umgangen werden.
• Überprüfen und aktualisieren Sie die Richtlinie regelmäßig. Die Backup-Aufbewahrungsrichtlinie, die Sie heute einführen, entspricht möglicherweise in einem Jahr nicht mehr Ihren Anforderungen. Es ist wichtig, regelmäßige Überprüfungen Ihrer Richtlinie zu planen und ein System einzurichten, mit dem die Richtlinie an sich ändernde Geschäftsanforderungen oder gesetzliche Vorschriften angepasst werden kann.