Dieses Modul beschreibt eine Möglichkeit, ein Konzept zur Datensicherung eines IT-Systems zu erstellen. Bei den zu sichernden Dateien durch ein Backup-Konzept wird folgende Gefahr für den IT-Grundschutz angenommen: Zum Einrichten einer effektiven Datensicherung müssen Sie eine ganze Serie von Vorgängen durchgehen. Sie sind in Aufgabe M 6.33 Erstellung eines Datensicherungskonzeptes dargestellt und werden durch die dort aufgelisteten Massnahmen erklärt.
Deshalb sollte mit der Durchführung der Massnahme M 6.33 gestartet werden. Im Folgenden wird das Maßnahmenpaket für den Themenbereich "Datensicherungskonzept" dargestellt, das sich insbesondere für grössere IT-Systeme oder IT-Systeme mit grossen Datenmengen eignet. Zur systematischen Entwicklung eines Datensicherungskonzeptes sollten die Massnahmen in der vorgegebenen Abfolge bearbeitet werden.
M 6 Massnahmenkatalog zur Gefahrenabwehr - BSI - IT-Grundschutz-Kataloge
Um Datenverlust zu vermeiden, müssen regelmässige Backups erstellt werden. Dabei ist zu regeln, welche Angaben wann von wem unterlegt werden. Wenigstens die nicht aus anderen Angaben ableitbaren Angaben müssen regelmässig abgesichert werden. Es wird empfohlen, ein Datensicherungskonzept zu erstellen. Je nach Umfang und Bedeutung der ständig neuen gesicherten Dateien und der eventuellen Beschädigung bei Datenverlust müssen folgende Angaben gemacht werden:
Die einfachste Möglichkeit besteht darin, Volumes oder Ordner anzugeben, die in der regulären Datensicherung enthalten sind. Das Einlesen der seit der letzen Datensicherung erzeugten Dateien ist nicht mehr möglich. Aus diesem Grund und zur Kostenreduzierung sollten zwischen den Vollsicherungen regelmässig differenzielle oder schrittweise Backups vorgenommen werden. Informationen zu den unterschiedlichen Typen von Sicherungskopien erhalten Sie in M6. 35 Festlegen der Vorgehensweise bei der Datensicherung.
Ein differentielles oder inkrementelles Backup kann öfter durchgeführt werden, z.B. unmittelbar nach der Erzeugung von wichtigen Files oder mehrfach am Tag. Bei eingesetzter Anwendungssoftware muss gesondert entschieden werden, ob sie durch die regelmäßige Datensicherung abgedeckt werden muss. Die Funktionstüchtigkeit der Datensicherung muss regelmässig überprüft werden, insbesondere, ob die gesicherten Werte wiederhergestellt werden können.
Jeder Anwender sollte über die Vorschriften zur Datensicherung aufgeklärt werden, um auf Mängel hinzuweisen (z.B. zu kurzes Zeitfenster für seine Anforderungen) oder einzelne Erweiterungen vorzunehmen (z.B. temporäre Spiegelungen von wichtigen Dateien auf seiner eigenen Festplatte). Es ist auch von Bedeutung, die Nutzer darüber zu informieren, wie lange die Dateien wieder importiert werden können.
Werden nur die Serverplatten auf Netzwerkrechnern gespeichert, muss sichergestellt sein, dass die zu sichernden Dateien regelmässig von oder automatisiert an die Benutzer übertragen werden. Vertrauenswürdige Informationen sollten so weit wie möglich vor der Datensicherung kodiert werden, wodurch sichergestellt sein muss, dass eine Dekodierung auch nach längerer Zeit möglich ist (siehe M6. 56 Datensicherung mit kryptographischen Methoden).
Das Drucken von Dateien auf Datenträger ist nicht geeignet, um diese zu sichern. Prüfungsfragen: Bei sensiblen Dateien, ggf. auch beim Outsourcing der Backups: Werden die zu sichernden Dateien in verschlüsselter Form abgelegt? Sind mindestens alle nicht aus anderen Angaben ableitbaren Angaben regelm? Haben Sie die organisatorische und technische Durchführung der Datensicherung spezifiziert?
Erfüllt das definierte Vorgehen bei der Datensicherung die Anforderungen an die Verfügbarkeit? Werden die Anwender über die Vorgaben zur Datensicherung unterrichtet? Testen Sie regelmässig, ob die abgesicherten Dateien wiederhergestellt werden können?