Datensicherheit und Datensicherung sind zwei wichtige Elemente einer DSGVO-konformen Datenverarbeitung. Dabei beschreibt der Begriff „Datensicherheit“ alle ergriffenen technischen Maßnahmen, um Daten zu schützen und besteht grundsätzlich aus den drei Säulen Vertraulichkeit (Zugriff auf Daten durch befugte Personen), Verfügbarkeit (Verwendbarkeit der Daten) sowie Integrität (Schutz vor Manipulation und technischen Defekten).
Die moderne Datensicherung bezieht sich vor allem auf die spezielle Daten- bzw. Informationsspeicherung auf elektronischen Speichermedien, um die drei Grundsäulen der Datensicherung zu schützen und somit den Lesezugriff auf diese Daten einzuschränken, die Unverändertheit der Daten sicherzustellen und die Identität des Verfassers nachzuweisen.
Methoden einer modernen Datensicherung
Die Anforderungen an die Datensicherung steigen für Unternehmen aufgrund der Digitalisierung und der europäischen Datenschutzgrundverordnung spürbar an. Welche Datensicherungsmethode die beste für Unternehmen ist, hängt dabei von der Größe und Branche Ihres Unternehmens sowie von der Schutzbedürftigkeit Ihrer Daten ab.
Grundlegend unterscheidet man folgende Methoden der modernen Datensicherung:
- einfache Volldatensicherung
- differentielle Datensicherung
- inkrementelle Datensicherung
- sequentielle Datensicherung
- partielle Datensicherung
Einfache Volldatensicherung – Speicherung aller Daten auf einem Datenträger
Bei einer einfachen Volldatensicherung werden alle Daten bei jedem Speicherungsvorgang auf einem Datenträger gespeichert. Dies hat den Vorteil, dass sich Backups sehr viel leichter verwalten lassen. Außerdem lässt sie sich einfacher als die inkrementelle und/ oder die differentielle Datensicherung erstellen. Die Datenwiederherstellung ist ebenso simpel, vor allem da nur eine Datei benötigt wird.
Nachteilig ist, dass bei der Durchführung von regelmäßigen Datensicherungen deutlich mehr Speicherkapazität benötigt wird.
Differentielle Datensicherung – Erst Vollbackup, dann nur noch neue oder geänderte Daten
Bei der differentiellen Datensicherung werden, ähnlich der einfachen Volldatensicherung, beim ersten Mal ebenfalls alle Daten gesichert – also ein Vollbackup erstellt. Danach werden nur noch Daten gesichert, die neu hinzukommen oder sich verändert haben. Bei einer Datenwiederherstellung sind somit zwei Dateien notwendig: Die Vollsicherung und die sogenannte differentielle Sicherungsdatei.
Von Vorteil ist, dass die differentielle Datensicherung deutlich weniger Speicherkapazität als die einfache Volldatenscherung benötigt. Jedoch dauert der Vorgang der Datenwiederherstellung etwas länger und ist aufgrund zweier Dateien etwas komplizierter.
Inkrementelle Datensicherung – der kompliziertere Kollege der differentiellen Datensicherung
Auch bei der inkrementellen Datensicherung wird zunächst, wie bei der differentiellen Datensicherung, eine Vollsicherung erstellt und anschließend nur noch neu hinzugekommene oder veränderte Daten gespeichert. Der vorteilhafte Unterschied besteht jedoch darin, dass die inkrementelle Datensicherung weniger Speicherplatz als die Vollsicherung und die differentielle Sicherung benötigt.
Jedoch benötigt der Wiederherstellungsvorgang einer inkrementellen Datensicherung deutlich länger und die Handhabung ist komplizierter, da alle Sicherungsdateien der Sicherungskette notwendig sind, um eine komplette Datenwiederherstellung zu erreichen.
Sequentielle Datensicherung – alle Daten werden hintereinander gespeichert
In der Wirtschaftsinformatik gehört die sequentielle Datensicherung zu den fünf Hauptformen der Datensicherung. Charakteristisch ist hierbei, dass die Daten bzw. die Datensätze hintereinander gespeichert werden und die Sortierung der Daten auf einem speziellen Schlüssel basiert.
Partielle Datensicherung – Speicherung der Daten in Teilen
Bei dieser Methode werden die Daten in Teilen gespeichert, was es möglich macht, die Sicherungsintervalle an die Datenwichtigkeit anzupassen. Dadurch kann die Speicherung der Systemdateien dann erfolgen, wenn es zu einer Änderung im System gekommen ist, während die Sicherung der Datenpartitionen täglich erfolgt. Damit ist die Sicherung des Datenbestandes immer auf dem aktuellen Stand.
Da dieser Vorgang automatisiert werden kann, ist die partielle Datensicherung wesentlich schneller als andere Methoden der Datensicherung. Auch ist das Zurücksichern der Daten ebenfalls einfach und unkompliziert. Um eine bessere Redundanz zu erreichen, wird die Sicherung eines Systems bzw. einer Datenbank außerdem auf mehrere Datenträger verteilt.
Strategien einer modernen Datensicherung
Nachdem Sie jetzt die wichtigsten Methoden einer modernen Datensicherung kennen, schauen wir uns nun Strategien einer modernen Datensicherung an, die in Unternehmen eingesetzt werden können:
1. First in, First out (FIFO) – die einfachste Back-up-Strategie
Die First in, First out (kurz Fifo) ist die einfachste Back-up-Strategie, bei der mindestens zwei Datenträger verwendet werden. Wird der zweite Datenträger langsam voll, wird der erste Datenträger mit der älteren Vollsicherung gelöscht.
2. Großvater-Vater-Sohn – das Generationsprinzip
Beim Großvater-Vater-Sohn-Prinzip werden Backups über verschiedene Zeitintervalle erstellt, welche sich wie folgt definieren lassen:
- Großvater: Die Erstellung des Großvater-Backups (Vollsicherung) erfolgt ein Mal im Monat.
- Vater: Das Vater-Backup (Vollsicherung) wird ein Mal wöchentlich erstellt, wobei monatlich vier bis fünf Speichermedien benötigt werden.
- Sohn: Das Sohn-Backup (Vollsicherung) wird ausschließlich an Werktagen erstellt, was bedeutet, dass wöchentlich vier Speichermedien benötigt werden.
3. Die Türme von Hanoi – komplexe und rekursive Backup-Strategie
„Die Türme von Hanoi“ ist eine komplexe und rekursive Backup-Strategie, die auf einem mathematischen Rätsel des französischen Mathematikers Edouard Lucas beruht und speziell für Datensicherung per Magnetbänder entwickelt wurde.
Beispiel:
Magnetband A:
Das Magnetband A wird jeden zweiten Tag verwendet.
Magnetband B:
Das Magnetband B wird jeden vierten Tag verwendet.
Magnetband C:
Das Magnetband C wird jeden achten Tag verwendet.
Maßnahmen zur Datensicherung sind abhängig von den zu sichernden Daten
Welche Datensicherungsmaßnahmen für ein Unternehmen am wichtigsten sind, hängt davon ab, welche Daten im Unternehmen gesichert werden müssen. Dabei sollten die Faktoren Software, Systemdaten, Datenbanken, Benutzerdaten und Anwendungsdaten betrachtet werden.
Software: In der Regel wird die Betriebs- und Anwendungssoftware nicht aus Gründen des Datenschutzes, sondern zu funktionellen Zwecken gesichert. In den meisten Fällen spiegeln Firmen die Festplatten frisch installierter Anwender-PCs. Dies soll sicherstellen, dass die betroffenen Computer auch nach einem Schadwarebefall oder bei einem ernsten Softwarefehler schnell wieder betriebsbereit sind.
Systemdaten: Auch Systemdaten werden nicht aus Datenschutzgründen gesichert. Jedoch sind neben den Systemdateien auch die Programm- und Bootdateien notwendig, damit der betroffene Computer nach einem Systemabsturz zügig wiederhergestellt werden kann.
Datenbanken: PersönlicheDaten von Mitarbeitern und Kunden sind immer zu sichern, wobei die Art der Sicherung von der Datenbanksoftware abhängig ist.
Benutzerdaten: Da bei einem Serverabsturz sämtliche Benutzer noch einmal angelegt werden müssten Zugriffskontrolle), müssen Benutzerdaten immer gesichert werden.
Anwendungsdaten: Sämtliche Anwendungsdaten einer Firma, welche direkt mit dem Unternehmen zu tun haben, sind unbedingt zu sichern. Darunter zählen beispielsweise Geschäftsbriefe oder E-Mails. Die unbedingte Sicherung dieser Daten begründet sich allein schon in der Tatsache, dass der Unternehmer seitens des deutschen Gesetzgebers einer Aufbewahrungspflicht unterliegt. Sämtliche Geschäftsunterlagen müssen für mindestens zehn Jahre aufbewahrt werden. Die gilt nicht für Werbemails oder privaten E-Mailverkehr. Diese müssen nicht gesichert werden.
Maßnahmen zur Datensicherheit müssen dokumentiert werden!
Laut DSGVO sind alle Firmen dazu verpflichtet, sämtliche organisatorischen und technischen Maßnahmen, die der Datensicherheit dienen, zu dokumentieren (Stichwort: Rechenschaftsflicht). Als ein solcher Dokumentationsnachweis ist daher ein sogenanntes Datensicherheitskonzept zu führen, welches gegenüber Dritten und Behörden als Nachweis dient und belegt, dass die gesetzlich verlangte Verfügbarkeitskontrolle gewährleistet ist.
Wichtig: Die Datensicherheit sollte im Unternehmen keinesfalls vernachlässigt werden, da der Geschäftsführer unmittelbar für die Datensicherheit und die IT-Sicherheit verantwortlich ist und im schlimmsten Fall sogar persönlich belangt werden kann.