Mit dem Aufkommen immer neuer Malware oder Ransomware, wie zuletzt der Erpresser-Software "WannaCry", geraten auch kleine und mittelständische Betriebe zunehmend in die Situation, sich mit dem Thema "Schutz unternehmenswichtiger Daten" auseinandersetzen zu müssen.
Peter Pirner
Allein das Gedankenspiel, was es für das Weiterbestehen des Betriebes bedeuten würde, wenn jetzt und hier die gespeicherten Daten nicht mehr verfügbar wären, macht klar, dass ein besonderes Augenmerk auf die Sicherung der betriebsrelevanten Daten gerichtet werden muss.
Oft ist bereits ein Backup der unternehmenswichtigen Dateien vorhanden. Die Datensicherung wird dabei auf einer an den Rechner oder Server angeschlossenen USB-Festplatte gespeichert. Dies bietet bereits einen sehr guten Schutz bei einem Hardwaredefekt, ist aber keinesfalls als ausreichend gegen die Bedrohungen durch Diebstahl, Wasser, Überspannung oder eben Schadsoftware anzusehen.
Welche einfach umzusetzenden Lösungsansätze gibt es?
Ein praktikabler Ansatz, der ohne große Umbauarbeiten an der eigenen IT umsetzbar ist, liegt in der 3-2-1 Strategie .
Hierbei sind unternehmensrelevante Daten in 3-facher Ausfertigung vorhanden, wobei sie auf mindestens 2 verschiedenen Datenmedien und 1 mal räumlich getrennt von den anderen Kopien gespeichert werden.
- Die 1. Ausfertigung dient als Arbeitsdatei für die laufenden Geschäftsprozesse.
- Die 2. Ausfertigung wird als Backup auf einer externen Festplatte in den eigenen Räumlichkeiten gespeichert. Dieses Backup verbleibt wie gewohnt im Unternehmen.
- Eine 3. Ausfertigung wird nun verschlüsselt und räumlich getrennt vom Unternehmen gespeichert und bietet auf diese Weise ein deutliches Mehr an Sicherheit vor Datenverlust.
Wichtig ist hierbei, dass die Daten schon während des Backupvorgangs in Echtzeit innerhalb des eigenen Betriebes verschlüsselt werden und niemals unverschlüsselt das eigene Netzwerk verlassen. Außerdem sollten die Sicherungen in zeitlich engen Intervallen erstellt werden, damit im Falle eines Datenverlustes die Menge der neu hinzugekommenen, aber noch nicht gesicherten Daten minimiert wird.
Zur Verdeutlichung bietet sich für die 3. Ausfertigung der Daten als Vergleich aus einem Alltagsbereich der Airbag an, der im besten Fall nie gebraucht wird, aber, so er denn vorhanden ist, die Folgen eines Unfalls in erheblichem Maße reduziert.
Was muss bei externer Speicherung beachtet werden?
Die Wahl eines deutschen Dienstleisters mit einem Rechenzentrum in Deutschland stellt sicher, dass auch das deutsche Bundesdatenschutzgesetz (BDSG) zur Anwendung kommt.
Mit der Speicherung der Daten bei einem externen Anbieter gibt man schützenswerte Daten aus dem Haus. Daher muss sichergestellt sein, dass die "Hoheit" über die eigenen Daten nicht aufgegeben wird. Dies kann z.B. dadurch erreicht werden, dass der Schlüssel für die Ver- und Entschlüsselung vom Kunden selbst generiert wird und auch nie von ihm aus den Händen gegeben werden muss.
Idealerweise werden auch mehrere zurückliegende Versionen der gesicherten Daten vom Anbieter vorgehalten, damit ein früherer Sicherungszustand wie beispielsweise der Stand von vor 6 Tagen ebenfalls zur Verfügung gestellt werden kann. Nicht immer wird ein Datenverlust oder Befall durch Schadsoftware sofort bemerkt. Dann ist es extrem hilfreich, auch auf frühere Datenstände zurückgreifen zu können.
Fazit
Durch die immer weiter steigende Bedeutung der IT auch in kleinen und mittelständischen Unternehmen müssen sich deren Inhaber und Geschäftsführer zwangsläufig auch mit den Folgen eines Datenverlustes bzw. der Nichtverfügbarkeit von unternehmenswichtigen Daten auseinandersetzen.
Der Markt bietet zur Absicherung gegen einen Datenverlust und zur Wiederherstellung verlorener Daten unterschiedlichste Lösungen an, die aber in den meisten Fällen nicht an den Ansprüche von kleinen und mittelständischen Betrieben ausgerichtet sind. Die Auswahl einer für diese Betriebsgrößen am besten passenden Lösung unter Berücksichtigung der oben beschriebenen Punkte schränkt die Anzahl der in Frage kommenden Anbieter bereits beträchtlich ein.
Wenn die Sicherungslösung dann noch mit einem geringen Installationsaufwand in die eigene IT-Umgebung integriert werden kann und sich die monatliche Belastung für das Unternehmen im Rahmen hält, bietet sich auch für kleine Firmen die Chance, mit der Umsetzung der 3-2-1 Strategie die Auswirkungen eines Datenverlustes auf den eigenen Betrieb zu minimieren.
Über den Autor: IT-Experte Peter Pirner ist für das Business Development bei CTT Computertechnik in München zuständig.