Datensicherungskonzept für Unternehmen

Datensicherungskonzept BREKOM Ratgeber Headerbild

Must-Have für jedes Unternehmen

Dass regelmäßige Backups Pflicht für jedes Unternehmen sind, ist inzwischen wohl den meisten Unternehmer*innen klar. Doch damit ist tatsächlich nur ein Bruchteil der Anforderungen an die Datensicherung im Unternehmen erfüllt: Damit die Sicherung und somit der Schutz der Unternehmensdaten wirklich gewährleistet ist, braucht es mehr als nur ein Backup Ihrer Daten alle paar Wochen.

Dieses „mehr“ für Unternehmen ist ein sorgfältig aufgesetztes und detailliertes Datensicherungskonzept, das die Grundlage für die Gewährleistung der Datensicherheit in Ihrem Unternehmen darstellt.

Warum brauchen Sie zwingend ein Backup-Konzept?

IT-Sicherheit ist Führungsaufgabe – das sagt Ihnen nicht nur jede*r IT-Security-Expert*in, sondern auch die herrschende Rechtssprechung. Jede Geschäftsführung haftet laut Gesetz für die Sicherheit ihrer Unternehmensdaten. Im Fall eines Datenverlusts können bei Schuld oder Mitschuld des Unternehmers, egal ob durch fahrlässiges oder vorsätzliches Handeln, Bußgelder in Höhe von bis zu 300.000 EUR fällig werden.

Gesetzliche Grundlage zum Datensicherungskonzept

Diverse Gesetze und Richtlinien legen Anforderungen an Maßnahmen zum Schutz von Daten gegen Verlust oder Missbrauch und an die sichere Archivierung von Daten fest. Dazu zählen zum Beispiel:

  • GmbHG: GmbH-Gesetz
  • BDSG: BundesdatenschutzgesetzEU-DSGVO: Datenschutz-Grundverordnung der Europäischen Union
  • GDPdU: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
  • KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
  • Basel II: Kreditvergaberichtlinie
  • Sarbanes-Oxley-Act: US-Gesetz zur Verbesserung der Unternehmensberichterstattung

Backup vs. Archivierung

Ein Backup ist als eher kurz- bis mittelfristige Speicherung von Daten anzusehen, die vor allem zur schnellen Wiederherstellung von Daten nach einem Verlust dient. Die Archivierung von Daten hingegen beschreibt die langfristige Speicherung von Daten auf einem externen Datenträger zu Dokumentationszwecken und zur Einhaltung gesetzlicher Archivierungsvorgaben, z.B. von E-Mails.

Artikel 5 Absatz 1 des DSGVO legt so unter anderem fest, dass technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der personenbezogenen Daten getroffen werden müssen. Damit einher geht die Pflicht zur Dokumentation dieser Schutzmaßnahmen, um den angemessenen Schutz der Daten im Unternehmen vor Verlust und Missbrauch nachweisen zu können.

Und hier sind wir beim Datensicherungskonzept angelangt: Das schriftliche Backup-Konzept dient Ihnen nicht nur als Nachweis, dass Sie als Unternehmer*in die Verantwortung für den Datenschutz wahrnehmen, sondern ist auch für den Ernstfall eine absolut essenzielle Grundlage für die funktionierende Datensicherung und -wiederherstellung.

Archivierte Daten als Beweismittel in Rechtsstreits

Rechtlich festgelegte Aufbewahrungsfristen für steuerrelevante Daten beispielsweise können für Sie als Unternehmer*in nicht nur lästige Pflicht, sondern auch eine Hilfe bei möglichen juristischen Auseinandersetzungen sein: Archivierte Dokumente wie E-Mails können als wichtige Beweismittel oder Gedächtnisstützen dienen.

Aus welchen Gründen eine Datensicherung im Unternehmen noch unerlässlich ist, lesen Sie in unserem Basiswissen-Beitrag zum Thema Datensicherung.

Aufgabe und Ziel des Backup-Konzepts

Unabhängig von der Größe Ihres Unternehmens ist das Thema Datensicherung sehr komplex. Wie Sie schon lesen konnten, gibt es diverse gesetzliche Anforderungen an die Datensicherheit in Unternehmen, und dazu kommen in (fast) jedem Unternehmen noch individuelle Anforderungen.

Das Ziel eines Datensicherungskonzepts ist daher, eine strukturierte Vorgehensweise bei der Datensicherung im Unternehmen zu definieren und zu dokumentieren. Dieses Dokument beinhaltet alle organisatorischen und technischen Maßnahmen zum Schutz der Systeme und der Daten vor Verlust oder Missbrauch sowie den Ablauf der Datensicherung und der Datenwiederherstellung im Verlustfall. So können Sie im Ernstfall schnell und strukturiert reagieren und lange Wiederherstellungszeiten vermeiden.

Wie Sie das passende Datensicherungskonzept für Ihr Unternehmen entwickeln

Wir haben nun deutlich gemacht, wie wichtig ein umfassendes Backup-Konzept für jedes Unternehmen ist. Widmen wir uns jetzt also der Frage, wie Sie ein solches Konzept auch für Ihr Unternehmen aufsetzen können.

Wer ist im Unternehmen zuständig für das Datensicherungskonzept?

Wie Sie bereits erfahren haben, sind die Geschäftsführer*innen höchstpersönlich verantwortlich für die Erfüllung der gesetzlichen Anforderungen an die Datensicherung. Das heißt natürlich nicht, dass nur Sie als Unternehmer*in persönlich das Backup-Konzept aufsetzen dürfen. Im Unternehmen sollte ein Informationssicherheitsbeauftragter (ISB) benannt werden, der u.a. auch für die Entwicklung, Umsetzung und Überprüfung des Datensicherungskonzepts zuständig ist. Weitere Zuständigkeiten für Fachverantwortliche wie IT-Leitende oder IT-Administrator*innen sollten im Konzept festgehalten werden. Denken Sie bei der Festlegung der Zuständigkeiten auch immer daran, mindestens eine Vertretung für jede verantwortliche Position zu benennen.

Wie können Sie die unternehmensspezifischen Anforderungen im Backup-Konzept umsetzen?

Die Entwicklung eines Backup-Konzepts sollten Sie nicht auf die leichte Schulter nehmen – immerhin ist es die wichtigste Grundlage für die Datensicherung in Ihrem Unternehmen. Wie aber können Sie an die Entwicklung des Konzepts herangehen? Wie werden Sie den gesetzlichen und Ihren individuellen Anforderungen zur Datensicherheit gerecht?

Ein Datensicherungskonzept entsteht Schritt für Schritt. Zuallererst sollten Sie Ihre Anforderungen klar definieren: Informieren Sie sich über die für Ihr Unternehmen geltenden gesetzlichen Anforderungen und legen Sie ggf. Ihre branchen- oder unternehmensspezifischen Ansprüche fest. Machen Sie eine Bestandsaufnahme Ihrer IT-Systeme: Als Basis für die Inhalte des Konzepts können bereits vorhandene Dokumentationen dienen, vor allem aber sollten die IT-Fachverantwortlichen im Unternehmen ausgiebig zu den IT-Systemen befragt werden. Sie kennen sich am besten mit den Anwendungen aus und kennen die spezifischen Voraussetzungen der Systeme.

Welche Inhalte aber sollten nun genau abgefragt und festgelegt werden? In der folgenden Auflistung geben wir Ihnen einen Überblick über die relevanten Punkte eines Datensicherungskonzepts zur Orientierung an die Hand.

Inhalte des Datensicherungskonzepts

In Ihrem Backup-Konzept sollten Sie folgende Aspekte berücksichtigen und schriftlich festhalten:

  • Personelle Zuständigkeiten
    • verantwortliche Personen für Konzept und Durchführung der Datensicherung und Wiederherstellung (inkl. Vertretungsregelung)
  • Gefährdungslage auf Basis einer Bedrohungsanalyse
    • Ermittlung der individuellen potenziellen Gefahren, z.B. Diebstahl, Cyber-Angriffe oder Umwelteinflüsse
  • Einflussfaktoren und Rahmenbedingungen der Datensicherung je IT-System
    • Datenspezifikation/-differenzierung (auch Differenzierung zwischen Datensicherung und Archivierung)
    • Datenvolumen
    • Änderungsvolumen
    • Änderungszeitpunkte
    • Fristen
    • Verfügbarkeitsanforderungen (u.a. Festlegung von RTO und RPO)

RTO und RPO

RTO: Recovery Time Objective bezeichnet die maximal tolerierbare Ausfallzeit eines IT-Systems, Netzwerk o.ä.

RPO: Recovery Point Objective beschreibt den maximal vertretbaren Datenverlust im Störungsfall.

  • Rechtliche Anforderungen
    • Integritätsbedarf
    • Vertraulichkeitsbedarf
  • Verfahrensweise der Datensicherung: Welche Daten je IT-System werden wie gesichert?
    • Festlegung je nach Datenart
    • Häufigkeit (Backup-Zyklen: stündlich, täglich, wöchentlich, jährlich) und Zeitpunkte der Sicherungen
    • Speichermedien
    • Aufbewahrung der Datenträger
    • Transportmodalitäten
  • Sicherung des Backups: Schutz vor Diebstahl, Umwelteinflüssen, Angriffen und Verlust
    • Räumliche Sicherung: Co-Location der Datenträger (Offsite-Backup), festgelegte Zutrittsberechtigungen, Zugangskontrollen, Klimatisierung der Räumlichkeiten
    • Monitoring des Zustands der verwendeten Hardware
  • Prozess zur Wiederherstellung der Daten (Disaster Recovery Plan)
  • Regelmäßige Tests zur Sicherstellung der Funktion der Datensicherung und Wiederherstellung

Minimaldatensicherungskonzept

Eine reduziertere Form des Datensicherungskonzepts ist das sogenannte Minimaldatensicherungskonzept. Darin müssen folgende ausgewählte Fragen beantwortet werden:

  • Welche IT-Systeme werden gesichert?
  • Welche Daten auf diesen IT-Systemen werden gesichert?
  • Welche Datensicherungsart wird genutzt?
  • Welche Speichermedien werden verwendet?
  • Wie werden die Datensicherungen erstellt?
  • Wie werden die gesicherten Daten bei Datenverlust zurückgespielt?

Alle Mitarbeiter*innen im Unternehmen, die in ihrer Tätigkeit vom Backup-Konzept betroffen sind, sollten entsprechend über die für sie relevanten Teile informiert werden.

Wiederherstellungstests

Um die definierten Prozesse zu testen und die Funktion der Backup-Medien sicherzustellen, sollten in regelmäßigen Abständen Testdurchläufe der Datenwiederherstellung durchgeführt werden. So können Sie überprüfen, ob die festgelegten Wiederherstellungszeiten eingehalten werden und ob Ihr Datensicherungskonzept noch Lücken aufweist.

Fazit: Kein Datensicherungskonzept ist keine Lösung

Jede*r Unternehmer*in ist für die Sicherheit de Daten im Unternehmen selbst verantwortlich. Bei Datenverlust oder -missbrauch haftet die Unternehmer*innen für Versäumnisse bei der Datensicherung. Dieses Risiko wollen Sie sicherlich nicht eingehen. Ein sorgfältig abgestimmtes Datensicherungskonzept sollte daher auch in Ihrem Unternehmen die Grundlage zur Einhaltung Ihrer Pflichten im Bereich Datensicherheit bilden.

Wir hoffen, dass wir Ihnen mit diesem Artikel die Relevanz eines Datensicherungskonzepts verdeutlichen und dessen notwendige Inhalte verständlich machen konnten. Wenn Sie noch weitere Fragen haben, wenden Sie sich gerne an unsere IT-Security-Experten.

IT-Fachpersonal fehlt? BREKOM hilft!

Immer häufiger ist die Rede von Fachkräftemangel im IT-Bereich. Wenn auch Ihnen das nötige Fachpersonal für die Umsetzung eines sicheren Datensicherungskonzepts fehlt, unterstützen wir Sie gerne mit unserer Expertise im Bereich Datensicherung.

Ihr zuverlässiger IT-Experte für die Datensicherung

BREKOM unterstützt Sie bei der Planung, Implementierung und dem Betrieb Ihrer Backup-Lösung: Wir helfen bei der Erstellung  und Umsetzung eines individuellen Datensicherungskonzepts.

Analyse und Bestandsaufnahme

Dafür analysieren wir Ihre Geschäftsanforderungen und helfen, die für Sie individuell greifenden Gesetze und Regelungen in technische Anforderungen zu übersetzen. Anschließend führen wir eine Ist-Aufnahme der eingesetzen bzw. geplanten IT-Systeme für die Datensicherung durch, beschreiben die aktuellen Sicherungsmaßnahmen und erarbeiten eine Backupstrategie aus den sich ergebenden neuen Anforderungen.

Backup-Organisation

Darüber hinaus unterstützen wir Sie bei der Festlegung der Backup-Organisation und den Zuständigkeiten für Planung, Betrieb und regelmäßig durchzuführende Rücksicherungstests. Mit einem solchen professionell aufgesetzten Datensicherungskonzept erfüllen Sie alle gesetzlichen Anforderungen und müssen sich keine Sorgen mehr um Datenverluste machen.

Jetzt unverbindlich beraten lassen!

Lassen Sie sich von unseren Experten unverbindlich und kostenlos beraten. Rufen Sie uns gerne direkt an oder nutzen Sie das Kontaktformular für eine unverbindliche Anfrage. Wir melden uns schnellstmöglich bei Ihnen zurück.

BREKOM Kontaktbild

Datensicherung mit BREKOM

Jedes Business ist individuell. Deshalb setzen wir auf persönliche Beratung und freuen uns darauf, Sie und Ihre individuellen Anforderungen kennenzulernen, die die Basis für Ihr ideales Backupkonzept darstellen.

Telefon: 0421 2400 1499

Das könnte Sie auch interessieren:

Datensicherung Ratgeber BREKOM VorschaubildBildmaske oktagon

Datensicherung im Unternehmen: Sicherungsarten, Speichermedien und die richtige Backup-Strategie

Datensicherung >>

Phishing Mails Ratgeber BREKOM VorschaubildBildmaske oktagon

Was es ist, wie Sie Phishing Mails erkennen und sich davor schützen.

Phishing Mails >>

Disaster Recovery Plan BREKOM TeaserbildBildmaske oktagon

Must-Have für Unternehmen zur Wiederherstellung von Daten & Systemen nach Katastrophen

Disaster Recovery Plan >>