Alle Daten so zu sichern, dass sie im Notfall verfügbar sind und zudem gesetzliche Vorgaben erfüllen, stellt Unternehmen vor einige Hürden: Denn bevor sich Sicherheitskopien von allen Clients erstellen lassen, müssen diese im Netzwerk erst einmal gefunden werden. Auch lokale Daten auf mobilen Geräten, die sich nicht durchgehend im Netzwerk befinden, sind einzubeziehen.

Ein Feuer im Rechenzentrum, eine Überschwemmung, ein Erdbeben oder ein Sicherheitsvorfall: Das sind Gefahren, vor denen Unternehmen ihre Daten – und damit ihre Geschäftsgrundlage – mit Hilfe von Backups schützen wollen. Diese Sicherheitskopien sollten zugleich die Mindestanforderungen von Wirtschaftsprüfern erfüllen und zur Europäischen Datenschutzgrundverordnung (DSGVO) konform sein. Mithilfe eines gut durchdachten Konzeptes finden Unternehmen eine passende Backup-Lösung. Was einfach klingt, hält in der Umsetzung oft einige Herausforderungen für Unternehmen bereit.

Damit Sicherheitskopien DSGVO-konform sind, müssen sie zudem nach personenbezogenen Daten durchsuchbar sein. Und schließlich reicht es nicht, die Sicherungen nur zu erstellen, die IT-Administratoren müssen auch prüfen, ob sie vollständig sind und sich problemlos einspielen lassen.

Mit einem ausführlichen Backup-Konzept können Unternehmen solche Hürden ausmachen und spielend nehmen. IT-Dienstleister übernehmen die Konzepterstellung und beziehen Datenschutzbeauftragte und Juristen der Unternehmen ein, so dass interne Vorgaben und rechtliche Anforderungen mit einfließen. Darüber hinaus empfehlen sie passende Software-Lösungen, mit denen sich die Datensicherung automatisieren lässt, und beraten Unternehmen bei zentralen Fragen zu Backup-Frequenz, -Speicherort und -Dauer.

Mit der richtigen Software finden Unternehmen in ihrem Netzwerk alle Clients, von denen sie Sicherungen erstellen sollten. Geeignete Policies sorgen dafür, dass lokale Daten mobiler Endgeräte bei Bedarf auch asynchron gesichert werden. Dazu verteilen die Verantwortlichen eine Softwarelösung auf alle Geräte. Diese erstellt entsprechend der Policies zu vorgegebenen Zeitpunkten Sicherheitskopien auf den Geräten und lädt diese automatisch in die Cloud oder in ein Backup-Rechenzentrum, sobald sich die Rechner im Netzwerk befinden.

Auch um sich zu vergewissern, dass alle Backups wie vorgesehen abgelaufen und die Daten wiederherstellbar sind, sollten Unternehmen entsprechende Softwarelösungen einsetzen. Ist ein Backup nicht wie geplant erstellt worden, suchen diese Werkzeuge den dafür verantwortlichen Fehler. Geprüfte Sicherheitskopien bekommen einen Zeitstempel, so wird sichergestellt, dass sie die internen Compliance-Anforderungen erfüllen.

Daneben sollten Unternehmen externe Vorgaben gleich mit berücksichtigen. Laut der DSGVO müssen sie lückenlos belegen können, was mit personenbezogenen Daten passiert ist, und wo diese liegen – das gilt auch für Backups. Mittels Software lassen sich solche Daten in den Sicherheitskopien schnell aufspüren und anzeigen.

Mit solchen internen Prüfmechanismen sind Unternehmen gleichzeitig auf Kontrollen durch Wirtschaftsprüfer vorbereitet, die häufig stichprobenweise Berichte des Backups eines bestimmten Datums prüfen. Denn liegen die Sicherungen nicht unverändert und in der nötigen Form vor, bedeutet das für Unternehmen ein Risiko, da sie diese in einem Rechtsstreit nicht einsetzen können.

Frequenz hängt von verschiedenen Faktoren ab

Im Backup-Konzept schreiben Unternehmen auch fest, welche Daten und Systeme mit welcher Häufigkeit zu sichern sind. Daten aus Quellen wie mobilen Systemen oder aus Cloud-Diensten wie zum Beispiel Office 365 sind hier einzubeziehen. Die Frequenz hängt stark vom Kerngeschäft einer Organisation ab sowie von der Art der Daten.

Gemeinsam bestimmen IT-Dienstleister und Verantwortliche im Unternehmen die Häufigkeit mit der verschiedene Geschäftsdaten zu sichern sind. Dabei geht es in erster Linie um die Frage: Welchen Datenverlust kann ich mir leisten? Wie groß darf die Lücke maximal sein, damit der Geschäftsbetrieb möglichst nahtlos weiterlaufen kann? Die Antwort schwankt meist zwischen einer Stunde und einer Woche. SAP-Daten sichern Unternehmen dann mindestens täglich, oft sogar häufiger, während die Frequenz für E-Mail-Systeme der Mitarbeiter bei einer Woche liegen kann. Darüber hinaus sind die Kosten und die verfügbare Infrastruktur, also Speichersysteme und Bandbreiten, ausschlaggebend für die Backup-Frequenz.

Schließlich sollte das Konzept die Anzahl der gespeicherten Kopien jedes einzelnen Backups festlegen und klären, wo diese liegen und welche Datenmengen das erzeugt. Auch die Aufbewahrungsdauer der Sicherungen spielt eine zentrale Rolle. All die Rahmendaten und Regelungen aus dem Konzept sollten Unternehmen sauber in einem Handbuch dokumentieren, das betroffenen Mitarbeitern im Notfall als Hilfestellung dient.

On-Premises oder Cloud?

Bei der Auswahl möglicher Speicherorte bieten sich neben einem eigenen Backup-Rechenzentrum aktuell vor allem Cloud-Lösungen an. Damit den Sicherheitskopien im Fall einer Katastrophe nichts passiert, sollten sie georedundant abliegen, also an einem anderen Ort als die Produktivsysteme. Unternehmen können dazu ein zweites, sogenanntes Notfallrechenzentrum betreiben. Dort sind nicht nur die Backups gespeichert, es verfügt zusätzlich über eine Infrastruktur, auf der im Katastrophenfall auch die Produktivsysteme laufen können. Steigende Compliance-Anforderungen, etwa durch die DSGVO, machen solche georedundanten Lösungen sogar notwendig. Die Kosten und der Personalbedarf für ein Notfallrechenzentrum übersteigen jedoch oft die Möglichkeiten vieler Unternehmen.

Insbesondere dann können Backups in einer Public Cloud eine Option sein. Denn statt ständig ein zweites Rechenzentrum vorzuhalten, buchen Unternehmen dort die notwendige Cloud-Infrastruktur, auf der im Katastrophenfall der Betrieb weiterlaufen kann. Unternehmen müssen dann jedoch in Kauf nehmen, dass ihre Daten das eigene Rechenzentrum verlassen.

Welche Infrastruktur sich am besten eignet, hängt von den Anforderungen im Unternehmen ab. Da häufig mehr als eine Version einer Sicherung gespeichert wird, bietet sich unter Umständen eine hybride Lösung an, bei der Unternehmen sowohl Backups On-Premises als auch in der Cloud vorhalten.

Mit Backup-Konzept gut gewappnet

Wer bei seinen Daten kein Risiko eingehen möchte, braucht ein umfassendes Backup-Konzept, das optimal auf das eigene Unternehmen zugeschnitten ist. Es sollte alle Verantwortlichen im Unternehmen mit einbeziehen, gesetzliche Vorgaben und andere Richtlinien berücksichtigen und so angelegt sein, dass der Betrieb mittels Sicherheitskopien reibungslos weiterlaufen kann. Nur so stellen Organisationen sicher, dass im Katastrophenfall oder bei einem Sicherheitsvorfall ihre Geschäftsgrundlage uneingeschränkt erhalten bleibt.

Michael Münzer ist Business Leader Data Center Software und Teamleiter IBM Software bei Axians IT Solutions ().