Linkedin Xing Youtube
Cybervorfall? IFIT-Sicherheitstelefon
Linkedin Xing Youtube
Cybervorfall? IFIT-Sicherheitstelefon
Cybersecurity
Beratungstermin vereinbaren

Datensicherungskonzept für Unternehmen

Must-Have für jedes Unternehmen

Dass regelmäßige Backups Pflicht für jedes Unternehmen sind, ist inzwischen wohl den meisten Unternehmer*innen klar. Doch damit ist tatsächlich nur ein Bruchteil der Anforderungen an die Datensicherung im Unternehmen erfüllt: Damit die Sicherung und somit der Schutz der Unternehmensdaten wirklich gewährleistet ist, braucht es mehr als nur ein Backup Ihrer Daten alle paar Wochen.

Dieses „mehr“ für Unternehmen ist ein sorgfältig aufgesetztes und detailliertes Datensicherungskonzept, das die Grundlage für die Gewährleistung der Datensicherheit in Ihrem Unternehmen darstellt.

Zum Abschluss des Beitrags bieten wir Ihnen zudem eine kostenlose Checkliste zur Datensicherung an, mit der Sie Ihr Datensicherungskonzept Schritt für Schritt überprüfen können.

  • Diese Fragen werden im Beitrag beantwortet:

Was ist ein Datensicherungs­konzept? Definition

In einem Datensicherungskonzept wird die Vorgehensweise bei der Datensicherung im Unternehmen festgehalten. Das Backup-Konzept enthält alle technischen und organisatorischen Maßnahmen zum Schutz von IT-Systemen und Daten vor Verlust oder Missbrauch sowie den Ablaufplan von Datensicherung und -wiederherstellung im Katastrophenfall.

Warum brauchen Sie zwingend ein Backup-Konzept?

IT-Sicherheit ist Führungsaufgabe – das sagt Ihnen nicht nur jede*r IT-Security-Expert*in, sondern auch die herrschende Rechtssprechung. Jede Geschäftsführung haftet laut Gesetz für die Sicherheit ihrer Unternehmensdaten. Im Fall eines Datenverlusts können bei Schuld oder Mitschuld des Unternehmers, egal ob durch fahrlässiges oder vorsätzliches Handeln, Bußgelder in Höhe von bis zu 300.000 EUR fällig werden.

Gesetzliche Grundlage zum Datensicherungs­konzept

Diverse Gesetze und Richtlinien legen Anforderungen an Maßnahmen zum Schutz von Daten gegen Verlust oder Missbrauch und an die sichere Archivierung von Daten fest. Dazu zählen zum Beispiel:

  • GmbHG: GmbH-Gesetz
  • BDSG: Bundesdatenschutzgesetz
  • EU-DSGVO: Datenschutz-Grundverordnung der Europäischen Union
  • GDPdU: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
  • KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
  • Basel II: Kreditvergaberichtlinie
  • Sarbanes-Oxley-Act: US-Gesetz zur Verbesserung der Unternehmensberichterstattung

Backup vs. Archivierung

Ein Backup ist als eher kurz- bis mittelfristige Speicherung von Daten anzusehen, die vor allem zur schnellen Wiederherstellung von Daten nach einem Verlust dient. Die Archivierung von Daten hingegen beschreibt die langfristige Speicherung von Daten auf einem externen Datenträger zu Dokumentationszwecken und zur Einhaltung gesetzlicher Archivierungsvorgaben, z.B. von E-Mails.

Artikel 5 Absatz 1 des DSGVO legt so unter anderem fest, dass technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der personenbezogenen Daten getroffen werden müssen. Damit einher geht die Pflicht zur Dokumentation dieser Schutzmaßnahmen, um den angemessenen Schutz der Daten im Unternehmen vor Verlust und Missbrauch nachweisen zu können.

Cybersecurity

Und hier sind wir beim Datensicherungskonzept angelangt: Das schriftliche Backup-Konzept dient Ihnen nicht nur als Nachweis, dass Sie als Unternehmer*in die Verantwortung für den Datenschutz wahrnehmen, sondern ist auch für den Ernstfall eine absolut essenzielle Grundlage für die funktionierende Datensicherung und -wiederherstellung.

Archivierte Daten als Beweismittel in Rechtsstreits

Rechtlich festgelegte Aufbewahrungsfristen für steuerrelevante Daten beispielsweise können für Sie als Unternehmer*in nicht nur lästige Pflicht, sondern auch eine Hilfe bei möglichen juristischen Auseinandersetzungen sein: Archivierte Dokumente wie E-Mails können als wichtige Beweismittel oder Gedächtnisstützen dienen.

Aus welchen Gründen eine Datensicherung im Unternehmen noch unerlässlich ist, lesen Sie in unserem Basiswissen-Beitrag zum Thema Datensicherung.

Basiswissen Datensicherung

Aufgabe und Ziel des Backup-Konzepts

Unabhängig von der Größe Ihres Unternehmens ist das Thema Datensicherung sehr komplex. Wie Sie schon lesen konnten, gibt es diverse gesetzliche Anforderungen an die Datensicherheit in Unternehmen, und dazu kommen in (fast) jedem Unternehmen noch individuelle Anforderungen.

Das Ziel eines Datensicherungskonzepts ist daher, eine strukturierte Vorgehensweise bei der Datensicherung im Unternehmen zu definieren und zu dokumentieren. Dieses Dokument beinhaltet alle organisatorischen und technischen Maßnahmen zum Schutz der Systeme und der Daten vor Verlust oder Missbrauch sowie den Ablauf der Datensicherung und der Datenwiederherstellung im Verlustfall. So können Sie im Ernstfall schnell und strukturiert reagieren und lange Wiederherstellungszeiten vermeiden.

Wie Sie das passende Datensicherung­skonzept für Ihr Unternehmen entwickeln

Wir haben nun deutlich gemacht, wie wichtig ein umfassendes Backup-Konzept für jedes Unternehmen ist. Widmen wir uns jetzt also der Frage, wie Sie ein solches Konzept auch für Ihr Unternehmen aufsetzen können.

Wer ist im Unternehmen zuständig für das Datensicherungs­konzept?

Wie Sie bereits erfahren haben, sind die Geschäftsführer*innen höchstpersönlich verantwortlich für die Erfüllung der gesetzlichen Anforderungen an die Datensicherung. Das heißt natürlich nicht, dass nur Sie als Unternehmer*in persönlich das Backup-Konzept aufsetzen dürfen. Im Unternehmen sollte ein Informationssicherheitsbeauftragter (ISB) benannt werden, der u.a. auch für die Entwicklung, Umsetzung und Überprüfung des Datensicherungskonzepts zuständig ist. Weitere Zuständigkeiten für Fachverantwortliche wie IT-Leitende oder IT-Administrator*innen sollten im Konzept festgehalten werden. Denken Sie bei der Festlegung der Zuständigkeiten auch immer daran, mindestens eine Vertretung für jede verantwortliche Position zu benennen.

Wie können Sie die unternehmens­spezifischen Anforderungen im Backup-Konzept umsetzen?

Die Entwicklung eines Backup-Konzepts sollten Sie nicht auf die leichte Schulter nehmen – immerhin ist es die wichtigste Grundlage für die Datensicherung in Ihrem Unternehmen. Wie aber können Sie an die Entwicklung des Konzepts herangehen? Wie werden Sie den gesetzlichen und Ihren individuellen Anforderungen zur Datensicherheit gerecht?

Cybersecurity

Ein Datensicherungskonzept entsteht Schritt für Schritt. Zuallererst sollten Sie Ihre Anforderungen klar definieren: Informieren Sie sich über die für Ihr Unternehmen geltenden gesetzlichen Anforderungen und legen Sie ggf. Ihre branchen- oder unternehmensspezifischen Ansprüche fest. Machen Sie eine Bestandsaufnahme Ihrer IT-Systeme: Als Basis für die Inhalte des Konzepts können bereits vorhandene Dokumentationen dienen, vor allem aber sollten die IT-Fachverantwortlichen im Unternehmen ausgiebig zu den IT-Systemen befragt werden. Sie kennen sich am besten mit den Anwendungen aus und kennen die spezifischen Voraussetzungen der Systeme.

 

Welche Inhalte aber sollten nun genau abgefragt und festgelegt werden? In der folgenden Auflistung geben wir Ihnen einen Überblick über die relevanten Punkte eines Datensicherungskonzepts zur Orientierung an die Hand.

Inhalte des Datensicherungs­konzepts

In Ihrem Backup-Konzept sollten Sie folgende Aspekte berücksichtigen und schriftlich festhalten:

  • Personelle Zuständigkeiten
    • verantwortliche Personen für Konzept und Durchführung der Datensicherung und Wiederherstellung (inkl. Vertretungsregelung)
  • Gefährdungslage auf Basis einer Bedrohungsanalyse
    • Ermittlung der individuellen potenziellen Gefahren, z.B. Diebstahl, Cyber-Angriffe oder Umwelteinflüsse
  • Einflussfaktoren und Rahmenbedingungen der Datensicherung je IT-System
    • Datenspezifikation/-differenzierung (auch Differenzierung zwischen Datensicherung und Archivierung)
    • Datenvolumen
    • Änderungsvolumen
    • Änderungszeitpunkte
    • Fristen
    • Verfügbarkeitsanforderungen (u.a. Festlegung von RTO und RPO)

RTO und RPO

RTO: Recovery Time Objective bezeichnet die maximal tolerierbare Ausfallzeit eines IT-Systems, Netzwerk o.ä.

RPO: Recovery Point Objective beschreibt den maximal vertretbaren Datenverlust im Störungsfall.

  • Rechtliche Anforderungen
    • Integritätsbedarf
    • Vertraulichkeitsbedarf
  • Verfahrensweise der Datensicherung: Welche Daten je IT-System werden wie gesichert?
    • Festlegung je nach Datenart
    • Art der Datensicherung (mehr zu Datensicherungsarten)
    • Häufigkeit (Backup-Zyklen: stündlich, täglich, wöchentlich, jährlich) und Zeitpunkte der Sicherungen
    • Speichermedien
    • Aufbewahrung der Datenträger
    • Transportmodalitäten
  • Sicherung des Backups: Schutz vor Diebstahl, Umwelteinflüssen, Angriffen und Verlust
    • Räumliche Sicherung: Co-Location der Datenträger (Offsite-Backup), festgelegte Zutrittsberechtigungen, Zugangskontrollen, Klimatisierung der Räumlichkeiten
    • Monitoring des Zustands der verwendeten Hardware
  • Prozess zur Wiederherstellung der Daten (Disaster Recovery Plan)
  • Regelmäßige Tests zur Sicherstellung der Funktion der Datensicherung und Wiederherstellung

Minimaldaten­sicherungskonzept

Eine reduziertere Form des Datensicherungskonzepts ist das sogenannte Minimaldatensicherungskonzept. Darin müssen folgende ausgewählte Fragen beantwortet werden:

  • Welche IT-Systeme werden gesichert?
  • Welche Daten auf diesen IT-Systemen werden gesichert?
  • Welche Datensicherungsart wird genutzt?
  • Welche Speichermedien werden verwendet?
  • Wie werden die Datensicherungen erstellt?
  • Wie werden die gesicherten Daten bei Datenverlust zurückgespielt?

Alle Mitarbeiter*innen im Unternehmen, die in ihrer Tätigkeit vom Backup-Konzept betroffen sind, sollten entsprechend über die für sie relevanten Teile informiert werden.

Wieder­herstellungstests

Um die definierten Prozesse zu testen und die Funktion der Backup-Medien sicherzustellen, sollten in regelmäßigen Abständen Testdurchläufe der Datenwiederherstellung durchgeführt werden. So können Sie überprüfen, ob die festgelegten Wiederherstellungszeiten eingehalten werden und ob Ihr Datensicherungskonzept noch Lücken aufweist.

Fazit: Kein Datensicherungs­konzept ist keine Lösung

Cybersecurity

Kostenlose Checkliste zur Datensicherung

Wie sauber ist Ihr Datensicherungskonzept aufgesetzt? Haben Sie die volle Kontrolle über die Datensicherung in Ihrem Unternehmen? Prüfen Sie Ihre Backup-Strategie mit unserer exklusiven Checkliste:

  • über 40 Fragen zu allen Aspekten der Datensicherung
  • von Sicherungsmedien über Systeme bis zur Datenwiederherstellung
  • von IT-Security-Experten entwickelt
Cybersecurity

IT-Fachpersonal fehlt? BREKOM hilft!

Immer häufiger ist die Rede von Fachkräftemangel im IT-Bereich. Wenn auch Ihnen das nötige Fachpersonal für die Umsetzung eines sicheren Datensicherungskonzepts fehlt, unterstützen wir Sie gerne mit unserer Expertise im Bereich Datensicherung.

Ihr zuverlässiger IT-Experte für die Datensicherung

BREKOM unterstützt Sie bei der Planung, Implementierung und dem Betrieb Ihrer Backup-Lösung: Wir helfen bei der Erstellung und Umsetzung eines individuellen Datensicherungskonzepts. Wie das aussehen kann, erklären wir Ihnen in diesem Video am Beispiel eines Lösungskonzepts für die Datensicherung in einem Produktionsbetrieb:

Beitrag teilen:

Beratungstermin vereinbaren

Inhalt

Das könnte Sie auch interessieren:

Cybersecurity

NIS2 – Checkliste

NIS2-Checkliste Kennen Sie eigentlich Ihren NIS2-Reifegrad? Obwohl das Inkrafttreten der EU-Richtlinie spätestens für den Anfang 2025 geplant ist, haben sich

Weiterlesen >
  • Damit IT einfach sicher ist.
Newsletter abonnieren
Linkedin Xing Youtube
  • © 2024 BREKOM GmbH

Webdesign Agentur
und SEO Agentur by
 Werbeagentur Gipfelstürmer Marketing-Agentur.

Jetzt anmelden
und auf dem Laufenden bleiben!

Für den Versand unserer Newsletter nutzen wir rapidmail. Mit Ihrer Anmeldung stimmen Sie zu, dass die eingegebenen Daten an rapidmail übermittelt werden. Beachten Sie bitte auch die AGB und Datenschutzbestimmungen.