Back-to-School: Aus dem Klassenzimmer vom CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI Grundschutzhandbuch und die Teilnehmenden bereiten sich begleitend auf die CISSP Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP oder BSI Fachthema als Blogpost aufzubereiten:

Information Security: Datensicherung

Datensicherung ist ein elementarer Teil jeder Firma, egal ob Grosskonzern, KMU oder Kleinbetrieb. Dabei geht es nicht nur um Daten, die digital gespeichert werden. Es können damit auch Daten gemeint sein, die in Papierform oder aber auf Ton- und Videoaufnahmen sind. In diesem Blog geht es ausschliesslich um digitale Datensicherung. Wenn man von Datensicherung spricht, auch Backup genannt, ist das Kopieren der Daten gemeint, damit man bei einem möglichen Datenverlust auf die Kopie zugreifen kann. Das heisst konkret, dass man alle benötigten Daten zusätzlich auf einem anderen Medium oder einem anderen Ort speichert. Damit soll gewährleistet sein, dass bei einem möglichen Datenverlust die Daten wieder vollumfänglich verfügbar sind. Der letzte Zeitpunkt der Datensicherung spielt dabei auch eine wichtige Rolle. Falls die letzte Datensicherung sehr lange her ist, aber in der Zwischenzeit grosse Änderungen durchgeführt wurden, ist diese Datensicherung auch nicht wirklich wertvoll. Somit muss auch dieser Aspekt berücksichtigt werden. In einem Unternehmen Datensicherung durchzuführen hat verschiedene Gründe. Wichtig ist zu verstehen, dass ein Datenverlust die Existenz eines Unternehmens gefährden kann. Denn auch gesetzlich sind Firmen, die im Handelsregister eingetragen sind verpflichtet, Datensicherung für die gesamte Buchhaltung und Geschäftskorrespondenz nach Vorschrift durchzuführen. Diese Unternehmen müssen die Datensicherung der letzten zehn Jahre gewährleisten können. Doch auch im Interesse des Unternehmens müssen darüberhinaus andere relevante Daten und Informationen vor Verlust geschützt werden. Man stelle sich mal vor, ein Unternehmen würde die Daten der Kunden verlieren und wäre deswegen nicht mehr in der Lage, die Aufgabenerfüllung zu gewährleisten. Ein anderes Beispiel wäre, wenn ein Technologieunternehmen nicht mehr auf die eigens entwickelten und erforschten Produktionsdaten zugreifen könnte, die sie zur Ausübung ihres Kerngeschäfts benötigen. Noch ein letztes Beispiel wäre, wenn ein umfangreiches und kostspieliges Projekt kurz vor dem Abschluss steht und auf einmal die ganzen Projektdaten verloren, nicht mehr aktuell oder korrupt sind. Solche Ereignisse können ein Unternehmen in den Ruin treiben. Nach einer Studie von WKÖ (Wirtschaftskammer Österreich) hatten bereits ein Drittel aller österreichischen Unternehmen mit Datenverlusten zu kämpfen. 6.5 % der Unternehmen geben an, dass sie durch Datenverluste finanzielle Schäden von über 500’000 Euro beklagten. Wie geschrieben wurde, ist das Risiko des Datenverlustes durchaus real und bei Eintreten äusserst kostspielig. Die gute Nachricht ist, es gibt Massnahmen um diese Risiken zu minimieren. Die Kosten sind im Verhältnis zur Wichtigkeit der Daten auch nicht enorm hoch. Wichtig ist hierbei, dass eine detaillierte Planung erfolgt und diese ausführlich dokumentiert wird. Es muss festgelegt werden, welche Daten besonders schützenswert sind und welche Daten besonders viele Änderungen erfahren. Mit diesen und weiteren Informationen kann man dann einen Datensicherungsplanung erstellen. Es ist auch zu beachten, dass Datenverlust verschiedene Gründe haben kann. Dies kann sein durch unachtsame Mitarbeitende, Brand oder Wasserschaden, technischen Ausfall der Geräte oder auch durch böswillige Computerviren. Die Gründe für Datenverlust sind vielfältig, so dass man auch vielfältig planen muss. Das alleinige Kopieren der Daten auf einen anderen Datenträger reicht für die Datensicherung nicht aus. Die Daten müssen auch physisch voneinander getrennt gespeichert werden. Kopie der Daten im gleichen Raum oder sogar auf dem gleichen Medium zu speichern, kann fatale Folgen haben. Bei einem technischen Ausfall oder aber auch durch äussere Einwirkungen wie zum Beispiel Feuer, hätte man somit auch die eigentlich zur Sicherung gedachten Kopien verloren. Wie in diesem Bericht beschrieben, muss Datensicherheit eines der wichtigsten Aspekte sein, um die Informationssicherheit zu gewährleisten und muss auf jeden Fall mit richtiger Planung und mit einem verzweigten Denken geplant, angewendet und auch getestet werden. So wichtig wie Datensicherung ist, genauso wichtig ist es, die Datenwiederherstellung zu gewährleisten. Datensicherung bringt nur dann etwas, wenn man diese auch wie gewünscht wiederherstellen kann. Dazu gehört auch, dass die Daten aktuell und unverfälscht sind. Zu guter Letzt muss noch gesagt werden, dass schlussendlich die Geschäftsleitung in erster Linie für die Datensicherung verantwortlich ist und es auch in ihrem Interesse sein sollte, der Datensicherung hohe Priorität zuzuweisen und dafür genügend Ressourcen und finanzielle Mittel bereitzustellen. Quellen / Links https://www.datatrust.ch/gesetzesgrundlagen/ http://www.storage-insider.de/datenverluste-kosten-unternehmen-jaehrlich-336-milliarden-euro-a-470161/ https://de.wikipedia.org/wiki/Datensicherung http://diepresse.com/home/wirtschaft/economist/367104/WKOeStudie_Konkurs-durch-Datenverlust-ist-kein-Einzelfall

---

Blogpost wurde erstelle von Eniz Ada (ITEMA (Switzerland) Ltd) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.