Mindestanforderungen Backup

Die Gewähr­leistung der raschen Wieder­her­stell­barkeit von Daten hat in der heutigen digitalen Landschaft, die von Ransomware-​​Angriffen geprägt ist, eine nie dagewesene Wichtigkeit erreicht. Der Hessische Beauf­tragte für Daten­schutz und Infor­ma­ti­ons­freiheit, Prof. Dr. Alexander Roßnagel, nutzte seinen 51. Tätig­keits­be­richt, um auf die häufigsten Fehler­quellen hinzu­weisen und Mindest­an­for­de­rungen an ein Backup-​​Konzept zu definieren. Seine Erkennt­nisse sind wertvoll für Unter­nehmen, die ihr eigenes Backup-​​Konzept überprüfen oder ihre Dienst­leister in diesem Bereich kontrol­lieren möchten. 

Gemäß der DSGVO müssen perso­nen­be­zogene Daten vor Verlust, Zerstörung oder Beschä­digung geschützt werden. Die Infor­ma­ti­ons­si­cherheit hebt die Verfüg­barkeit als eines der drei wesent­lichen Schutz­ziele hervor. Hierbei geht es vor allem um den Schutz der natür­lichen Person, die auf ihre Daten zugreifen können muss. Der Fokus des Art. 32 Abs. 1 lit. c DSGVO liegt auf der Wieder­her­stell­barkeit, wobei eine 100%ige Verfüg­barkeit rund um die Uhr unver­hält­nis­mäßig hohe Kosten verur­sachen würde. Der Hessische Daten­schutz­be­auf­tragte hat praktische Mindest­an­for­de­rungen an ein Backup-​​Konzept gestellt, die auf dem BSI-​​IT-​​Grundschutzbaustein basieren und von der Abstimmung über Rahmen­be­din­gungen der Daten­si­cherung bis zum regel­mä­ßigen Testen der Daten­si­che­rungen reichen. Er betont, dass eine erfolg­reiche Durch­führung und die Fähigkeit zur schnellen Wieder­her­stellung von Daten aus Backups essen­tiell sind. Er gibt auch Einblicke in Fehler­quellen, die es zu vermeiden gilt, wie die Abhän­gigkeit von einem zentralen Server oder die Einbindung des Backup-​​Systems in die IT-​​Infrastruktur. Besonders hervor­ge­hoben wird die 3 – 2-​​1-​​Regel, die das Risiko eines Daten­ver­lusts minimieren kann, indem sie die Speicherung von drei Daten­kopien auf zwei unter­schied­lichen Medien und einem externen Standort vorsieht.

Fazit:

Eine durch­dachte Backup-​​Strategie ist entscheidend für den Schutz perso­nen­be­zo­gener Daten und die Einhaltung der DSGVO. Unter­nehmen sollten die Empfeh­lungen des Hessi­schen Daten­schutz­be­auf­tragten ernst nehmen und in ihre IT-​​Sicherheitskonzepte integrieren.

Unsere Empfehlung:

• Überprüfen Sie Ihr aktuelles Backup-​​Konzept anhand der genannten Mindest­an­for­de­rungen.
• Imple­men­tieren Sie die 3 – 2-​​1 Backup-​​Regel als Grundlage Ihrer Daten­si­che­rungs­stra­tegie.
• Führen Sie regel­mäßige Tests Ihrer Backups durch, um deren Effek­ti­vität zu gewähr­leisten.
• Achten Sie auf eine sichere und getrennte Aufbe­wahrung Ihrer Backup-​​Daten.
• Stellen Sie sicher, dass Ihre Dienst­leister angemessene Maßnahmen zur Daten­ver­füg­barkeit und Daten­si­cherheit treffen.