Datensicherungskonzept für Unternehmen

Datensicherungskonzept BREKOM Ratgeber Headerbild

Must-Have für jedes Unternehmen

Dass regelmäßige Backups Pflicht für jedes Unternehmen sind, ist inzwischen wohl den meisten Unternehmer*innen klar. Doch damit ist tatsächlich nur ein Bruchteil der Anforderungen an die Datensicherung im Unternehmen erfüllt: Damit die Sicherung und somit der Schutz der Unternehmensdaten wirklich gewährleistet ist, braucht es mehr als nur ein Backup Ihrer Daten alle paar Wochen.

Dieses „mehr“ für Unternehmen ist ein sorgfältig aufgesetztes und detailliertes Datensicherungskonzept, das die Grundlage für die Gewährleistung der Datensicherheit in Ihrem Unternehmen darstellt.

Zum Abschluss des Beitrags bieten wir Ihnen zudem eine kostenlose Checkliste zur Datensicherung an, mit der Sie Ihr Datensicherungskonzept Schritt für Schritt überprüfen können.

Diese Fragen werden im Beitrag beantwortet:

Was ist ein Datensicherungskonzept? Definition

In einem Datensicherungskonzept wird die Vorgehensweise bei der Datensicherung im Unternehmen festgehalten. Das Backup-Konzept enthält alle technischen und organisatorischen Maßnahmen zum Schutz von IT-Systemen und Daten vor Verlust oder Missbrauch sowie den Ablaufplan von Datensicherung und -wiederherstellung im Katastrophenfall.

Warum brauchen Sie zwingend ein Backup-Konzept?

IT-Sicherheit ist Führungsaufgabe – das sagt Ihnen nicht nur jede*r IT-Security-Expert*in, sondern auch die herrschende Rechtssprechung. Jede Geschäftsführung haftet laut Gesetz für die Sicherheit ihrer Unternehmensdaten. Im Fall eines Datenverlusts können bei Schuld oder Mitschuld des Unternehmers, egal ob durch fahrlässiges oder vorsätzliches Handeln, Bußgelder in Höhe von bis zu 300.000 EUR fällig werden.

Gesetzliche Grundlage zum Datensicherungskonzept

Diverse Gesetze und Richtlinien legen Anforderungen an Maßnahmen zum Schutz von Daten gegen Verlust oder Missbrauch und an die sichere Archivierung von Daten fest. Dazu zählen zum Beispiel:

  • GmbHG: GmbH-Gesetz
  • BDSG: Bundesdatenschutzgesetz
  • EU-DSGVO: Datenschutz-Grundverordnung der Europäischen Union
  • GDPdU: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
  • KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
  • Basel II: Kreditvergaberichtlinie
  • Sarbanes-Oxley-Act: US-Gesetz zur Verbesserung der Unternehmensberichterstattung

Backup vs. Archivierung

Ein Backup ist als eher kurz- bis mittelfristige Speicherung von Daten anzusehen, die vor allem zur schnellen Wiederherstellung von Daten nach einem Verlust dient. Die Archivierung von Daten hingegen beschreibt die langfristige Speicherung von Daten auf einem externen Datenträger zu Dokumentationszwecken und zur Einhaltung gesetzlicher Archivierungsvorgaben, z.B. von E-Mails.

Artikel 5 Absatz 1 des DSGVO legt so unter anderem fest, dass technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der personenbezogenen Daten getroffen werden müssen. Damit einher geht die Pflicht zur Dokumentation dieser Schutzmaßnahmen, um den angemessenen Schutz der Daten im Unternehmen vor Verlust und Missbrauch nachweisen zu können.

Und hier sind wir beim Datensicherungskonzept angelangt: Das schriftliche Backup-Konzept dient Ihnen nicht nur als Nachweis, dass Sie als Unternehmer*in die Verantwortung für den Datenschutz wahrnehmen, sondern ist auch für den Ernstfall eine absolut essenzielle Grundlage für die funktionierende Datensicherung und -wiederherstellung.

Archivierte Daten als Beweismittel in Rechtsstreits

Rechtlich festgelegte Aufbewahrungsfristen für steuerrelevante Daten beispielsweise können für Sie als Unternehmer*in nicht nur lästige Pflicht, sondern auch eine Hilfe bei möglichen juristischen Auseinandersetzungen sein: Archivierte Dokumente wie E-Mails können als wichtige Beweismittel oder Gedächtnisstützen dienen.

Aus welchen Gründen eine Datensicherung im Unternehmen noch unerlässlich ist, lesen Sie in unserem Basiswissen-Beitrag zum Thema Datensicherung.

Basiswissen Datensicherung >>

Aufgabe und Ziel des Backup-Konzepts

Unabhängig von der Größe Ihres Unternehmens ist das Thema Datensicherung sehr komplex. Wie Sie schon lesen konnten, gibt es diverse gesetzliche Anforderungen an die Datensicherheit in Unternehmen, und dazu kommen in (fast) jedem Unternehmen noch individuelle Anforderungen.

Das Ziel eines Datensicherungskonzepts ist daher, eine strukturierte Vorgehensweise bei der Datensicherung im Unternehmen zu definieren und zu dokumentieren. Dieses Dokument beinhaltet alle organisatorischen und technischen Maßnahmen zum Schutz der Systeme und der Daten vor Verlust oder Missbrauch sowie den Ablauf der Datensicherung und der Datenwiederherstellung im Verlustfall. So können Sie im Ernstfall schnell und strukturiert reagieren und lange Wiederherstellungszeiten vermeiden.

Wie Sie das passende Datensicherungskonzept für Ihr Unternehmen entwickeln

Wir haben nun deutlich gemacht, wie wichtig ein umfassendes Backup-Konzept für jedes Unternehmen ist. Widmen wir uns jetzt also der Frage, wie Sie ein solches Konzept auch für Ihr Unternehmen aufsetzen können.

Wer ist im Unternehmen zuständig für das Datensicherungskonzept?

Wie Sie bereits erfahren haben, sind die Geschäftsführer*innen höchstpersönlich verantwortlich für die Erfüllung der gesetzlichen Anforderungen an die Datensicherung. Das heißt natürlich nicht, dass nur Sie als Unternehmer*in persönlich das Backup-Konzept aufsetzen dürfen. Im Unternehmen sollte ein Informationssicherheitsbeauftragter (ISB) benannt werden, der u.a. auch für die Entwicklung, Umsetzung und Überprüfung des Datensicherungskonzepts zuständig ist. Weitere Zuständigkeiten für Fachverantwortliche wie IT-Leitende oder IT-Administrator*innen sollten im Konzept festgehalten werden. Denken Sie bei der Festlegung der Zuständigkeiten auch immer daran, mindestens eine Vertretung für jede verantwortliche Position zu benennen.

Wie können Sie die unternehmensspezifischen Anforderungen im Backup-Konzept umsetzen?

Die Entwicklung eines Backup-Konzepts sollten Sie nicht auf die leichte Schulter nehmen – immerhin ist es die wichtigste Grundlage für die Datensicherung in Ihrem Unternehmen. Wie aber können Sie an die Entwicklung des Konzepts herangehen? Wie werden Sie den gesetzlichen und Ihren individuellen Anforderungen zur Datensicherheit gerecht?

Ein Datensicherungskonzept entsteht Schritt für Schritt. Zuallererst sollten Sie Ihre Anforderungen klar definieren: Informieren Sie sich über die für Ihr Unternehmen geltenden gesetzlichen Anforderungen und legen Sie ggf. Ihre branchen- oder unternehmensspezifischen Ansprüche fest. Machen Sie eine Bestandsaufnahme Ihrer IT-Systeme: Als Basis für die Inhalte des Konzepts können bereits vorhandene Dokumentationen dienen, vor allem aber sollten die IT-Fachverantwortlichen im Unternehmen ausgiebig zu den IT-Systemen befragt werden. Sie kennen sich am besten mit den Anwendungen aus und kennen die spezifischen Voraussetzungen der Systeme.

Welche Inhalte aber sollten nun genau abgefragt und festgelegt werden? In der folgenden Auflistung geben wir Ihnen einen Überblick über die relevanten Punkte eines Datensicherungskonzepts zur Orientierung an die Hand.

Inhalte des Datensicherungskonzepts

In Ihrem Backup-Konzept sollten Sie folgende Aspekte berücksichtigen und schriftlich festhalten:

  • Personelle Zuständigkeiten
    • verantwortliche Personen für Konzept und Durchführung der Datensicherung und Wiederherstellung (inkl. Vertretungsregelung)
  • Gefährdungslage auf Basis einer Bedrohungsanalyse
    • Ermittlung der individuellen potenziellen Gefahren, z.B. Diebstahl, Cyber-Angriffe oder Umwelteinflüsse
  • Einflussfaktoren und Rahmenbedingungen der Datensicherung je IT-System
    • Datenspezifikation/-differenzierung (auch Differenzierung zwischen Datensicherung und Archivierung)
    • Datenvolumen
    • Änderungsvolumen
    • Änderungszeitpunkte
    • Fristen
    • Verfügbarkeitsanforderungen (u.a. Festlegung von RTO und RPO)

RTO und RPO

RTO: Recovery Time Objective bezeichnet die maximal tolerierbare Ausfallzeit eines IT-Systems, Netzwerk o.ä.

RPO: Recovery Point Objective beschreibt den maximal vertretbaren Datenverlust im Störungsfall.

  • Rechtliche Anforderungen
    • Integritätsbedarf
    • Vertraulichkeitsbedarf
  • Verfahrensweise der Datensicherung: Welche Daten je IT-System werden wie gesichert?
    • Festlegung je nach Datenart
    • Art der Datensicherung (mehr zu Datensicherungsarten)
    • Häufigkeit (Backup-Zyklen: stündlich, täglich, wöchentlich, jährlich) und Zeitpunkte der Sicherungen
    • Speichermedien
    • Aufbewahrung der Datenträger
    • Transportmodalitäten
  • Sicherung des Backups: Schutz vor Diebstahl, Umwelteinflüssen, Angriffen und Verlust
    • Räumliche Sicherung: Co-Location der Datenträger (Offsite-Backup), festgelegte Zutrittsberechtigungen, Zugangskontrollen, Klimatisierung der Räumlichkeiten
    • Monitoring des Zustands der verwendeten Hardware
  • Prozess zur Wiederherstellung der Daten (Disaster Recovery Plan)
  • Regelmäßige Tests zur Sicherstellung der Funktion der Datensicherung und Wiederherstellung

Minimaldatensicherungskonzept

Eine reduziertere Form des Datensicherungskonzepts ist das sogenannte Minimaldatensicherungskonzept. Darin müssen folgende ausgewählte Fragen beantwortet werden:

  • Welche IT-Systeme werden gesichert?
  • Welche Daten auf diesen IT-Systemen werden gesichert?
  • Welche Datensicherungsart wird genutzt?
  • Welche Speichermedien werden verwendet?
  • Wie werden die Datensicherungen erstellt?
  • Wie werden die gesicherten Daten bei Datenverlust zurückgespielt?

Alle Mitarbeiter*innen im Unternehmen, die in ihrer Tätigkeit vom Backup-Konzept betroffen sind, sollten entsprechend über die für sie relevanten Teile informiert werden.

Wiederherstellungstests

Um die definierten Prozesse zu testen und die Funktion der Backup-Medien sicherzustellen, sollten in regelmäßigen Abständen Testdurchläufe der Datenwiederherstellung durchgeführt werden. So können Sie überprüfen, ob die festgelegten Wiederherstellungszeiten eingehalten werden und ob Ihr Datensicherungskonzept noch Lücken aufweist.

Fazit: Kein Datensicherungskonzept ist keine Lösung

Jede*r Unternehmer*in ist für die Sicherheit der Daten im Unternehmen selbst verantwortlich. Bei Datenverlust oder -missbrauch haften die Unternehmer*innen für Versäumnisse bei der Datensicherung. Dieses Risiko wollen Sie sicherlich nicht eingehen. Ein sorgfältig abgestimmtes Datensicherungskonzept sollte daher auch in Ihrem Unternehmen die Grundlage zur Einhaltung Ihrer Pflichten im Bereich Datensicherheit bilden.

Kostenlose Checkliste zur Datensicherung

Wie sauber ist Ihr Datensicherungskonzept aufgesetzt? Haben Sie die volle Kontrolle über die Datensicherung in Ihrem Unternehmen? Prüfen Sie Ihre Backup-Strategie mit unserer exklusiven Checkliste:

  • über 40 Fragen zu allen Aspekten der Datensicherung
  • von Sicherungsmedien über Systeme bis zur Datenwiederherstellung
  • von IT-Security-Experten entwickelt
Jetzt Checkliste downloaden
Checkliste zur Datensicherung jetzt kostenlos downloaden!
Nur noch wenige Schritte bis zur exklusiven Checkliste…

Für den Versand unserer Newsletter nutzen wir rapidmail. Mit Ihrer Anmeldung stimmen Sie zu, dass die eingegebenen Daten an rapidmail übermittelt werden. Beachten Sie bitte auch die AGB und Datenschutzbestimmungen .

IT-Fachpersonal fehlt? BREKOM hilft!

Immer häufiger ist die Rede von Fachkräftemangel im IT-Bereich. Wenn auch Ihnen das nötige Fachpersonal für die Umsetzung eines sicheren Datensicherungskonzepts fehlt, unterstützen wir Sie gerne mit unserer Expertise im Bereich Datensicherung.

Ihr zuverlässiger IT-Experte für die Datensicherung

BREKOM unterstützt Sie bei der Planung, Implementierung und dem Betrieb Ihrer Backup-Lösung: Wir helfen bei der Erstellung und Umsetzung eines individuellen Datensicherungskonzepts. Wie das aussehen kann, erklären wir Ihnen in diesem Video am Beispiel eines Lösungskonzepts für die Datensicherung in einem Produktionsbetrieb:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

BREKOM Kontaktbild

Datensicherung mit BREKOM

Jedes Business ist individuell. Deshalb setzen wir auf persönliche Beratung und freuen uns darauf, Sie und Ihre individuellen Anforderungen kennenzulernen, die die Basis für Ihr ideales Backupkonzept darstellen.

Telefon: 0421 2400 1499

Kostenfreien Beratungstermin online buchen

Das könnte Sie auch interessieren:

Datensicherung Ratgeber BREKOM VorschaubildBildmaske oktagon

Alles zu Sicherungsarten, Speichermedien und der richtigen Backup-Strategie

Datensicherung - Warum Backups so wichtig sind, wie sie lückenlos funktionieren >>

Phishing Mails Ratgeber BREKOM VorschaubildBildmaske oktagon

Was es ist, wie Sie Phishing Mails erkennen und sich davor schützen.

Phishing Mails >>

Disaster Recovery Plan BREKOM TeaserbildBildmaske oktagon

Must-Have für Unternehmen zur Wiederherstellung von Daten & Systemen nach Katastrophen

Disaster Recovery Plan >>

Inhalt
Must-Have für jedes Unternehmen
Was ist ein Datensicherungskonzept? Definition
Warum brauchen Sie zwingend ein Backup-Konzept?
Gesetzliche Grundlage zum Datensicherungskonzept
Backup vs. Archivierung
Archivierte Daten als Beweismittel in Rechtsstreits
Aufgabe und Ziel des Backup-Konzepts
Wie Sie das passende Datensicherungskonzept für Ihr Unternehmen entwickeln
Wer ist im Unternehmen zuständig für das Datensicherungskonzept?
Wie können Sie die unternehmensspezifischen Anforderungen im Backup-Konzept umsetzen?
Inhalte des Datensicherungskonzepts
Minimaldatensicherungskonzept
Wiederherstellungstests
Fazit: Kein Datensicherungskonzept ist keine Lösung
Kostenlose Checkliste zur Datensicherung
IT-Fachpersonal fehlt? BREKOM hilft!
Datensicherung mit BREKOM