IT-GSHB 2000 - Festlegung der Verfahrensweise für die Datensicherung

M 6.35 Festlegung der Verfahrensweise für die Datensicherung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, IT-Verfahrensverantwortlicher

Die Verfahrensweise, wie die Datensicherung durchzuführen ist, wird von den in M 6.34 Erhebung der Einflußfaktoren der Datensicherung erhobenen Einflußfaktoren bestimmt. Für jedes IT-System und für jede Datenart muß die Verfahrensweise der Datensicherung festgelegt werden. Bei Bedarf ist sogar noch eine Unterscheidung für einzelne IT-Anwendungen des IT-Systems vorzunehmen, wenn sich hier differente Datensicherungsstrategien ergeben, was insbesondere im Großrechnerbereich sinnvoll sein kann.

Folgende Modalitäten einer Datensicherung sind für die Festlegung einer Verfahrensweise für die Datensicherung zu betrachten:

Art der Datensicherung,
Häufigkeit und Zeitpunkt der Datensicherung,
Anzahl der Generationen,
Vorgehensweise und Speichermedium,
Verantwortlichkeit für die Datensicherung,
Aufbewahrungsort,
Anforderungen an das Datensicherungsarchiv,
Transportmodalitäten,
Aufbewahrungsmodalität.

In der nachfolgenden Tabelle werden die Abhängigkeiten zwischen den Modalitäten einer Datensicherung und den Einflußfaktoren dargestellt und anschließend erläutert:

X bedeutet direkter Einfluß, (X) bedeutet indirekter Einfluß

Erläuterungen:

Art der Datensicherung

Folgende Datensicherungsarten lassen sich aufzeigen:

Datenspiegelung : bei der Datenspiegelung werden die Daten redundant und zeitgleich auf verschiedenen Datenträgern gespeichert. Da es sich meist um schnelle Datenträger handelt, entstehen durch die doppelte Auslegung der Datenträger und durch die notwendige Steuerungssoftware entsprechend hohe Kosten. Der wesentliche Vorteil der Datenspiegelung ist, daß der Ausfall eines dieser Speicher ohne Zeitverlust überbrückt werden kann.
Volldatensicherung : bei der Volldatensicherung werden sämtliche zu sichernden Dateien zu einem bestimmten Zeitpunkt auf einen zusätzlichen Datenträger gespeichert. Es wird dabei nicht berücksichtigt, ob die Dateien sich seit der letzten Datensicherung geändert haben oder nicht. Daher benötigt eine Volldatensicherung einen hohen Speicherbedarf. Der Vorteil ist, daß die Daten vollständig für den Sicherungszeitpunkt vorliegen und die Restaurierung von Dateien einfach und schnell möglich ist, da nur die betroffenen Dateien aus der letzten Volldatensicherung extrahiert werden müssen. Werden Volldatensicherungen selten durchgeführt, so kann sich durch umfangreiche nachträgliche Änderungen innerhalb einer Datei ein hoher Nacherfassungsaufwand ergeben.
Inkrementelle Datensicherung : bei der inkrementellen Datensicherung werden im Gegensatz zur Volldatensicherung nur die Dateien gesichert, die sich gegenüber der letzten Datensicherung (Volldatensicherung oder inkrementelle Sicherung) geändert haben. Dies spart Speicherplatz und verkürzt die erforderliche Zeit für die Datensicherung. Für die Restaurierung der Daten ergibt sich i. allg. ein höherer Zeitbedarf, da die Dateien aus Datensicherungen verschiedener Zeitpunkte extrahiert werden müssen. Die inkrementelle Datensicherung basiert immer auf einer Volldatensicherung. In periodischen Zeitabständen werden Volldatensicherungen erzeugt, in der Zeit dazwischen werden eine oder mehrere inkrementelle Datensicherungen vollzogen. Bei der Restaurierung wird die letzte Volldatensicherung als Grundlage genommen, die um die in der Zwischenzeit geänderten Dateien aus den inkrementellen Sicherungen ergänzt wird.
Differentielle Datensicherung : bei der differentiellen Datensicherung werden nur die Dateien gesichert, die sich gegenüber der letzten Volldatensicherung geändert haben. Eine differentielle Datensicherung benötigt mehr Speicherplatz als eine inkrementelle, Dateien lassen sich aber einfacher und schneller restaurieren. Für die Restaurierung der Daten reicht die letzte Volldatensicherung sowie die aktuellste differentielle, nicht wie bei der inkrementellen, wo u. U. mehrere Datensicherungen nacheinander eingelesen werden müssen.

Eine spezielle Form dieser genannten Datensicherungsstrategien ist die Image-Datensicherung. Bei der Image-Datensicherung werden nicht die einzelnen Dateien eines Festplattenstapels gesichert, sondern die physikalischen Sektoren der Festplatte. Es handelt sich dabei um eine Vollsicherung, die sehr schnell auf eine gleichartige Festplatte restauriert werden kann.

Eine weitere Form ist das Hierarchische Speicher-Management (HSM). Hierbei geht es in erster Linie um die wirtschaftliche Ausnutzung teurer Speicher. Dateien werden abhängig von der Häufigkeit, mit der auf sie zugegriffen wird, auf schnellen Online-Speichern (Festplatten) gehalten, auf Nearline-Speicher (automatische Datenträger-Wechselsysteme) ausgelagert oder auf Offline-Speichern (Magnetbänder) archiviert. Gleichzeitig bieten diese HSM-Systeme i. allg. auch automatische Datensicherungsroutinen kombiniert aus inkrementeller Datensicherung und Volldatensicherung.

Eine redundante Datenspeicherung bieten RAID-Systeme an (Redundant Array of Inexpensive Disks). Das RAID-Konzept beschreibt die Verbindung von mehreren Festplatten unter dem Kommando eines sogenannten Array-Controllers. Man unterscheidet verschiedene RAID-Level, wovon RAID-Level 1 die Datenspiegelung beschreibt.

RAID-Systeme ersetzen keine Datensicherung! RAID-Systeme helfen nicht bei Diebstahl oder Brand, daher müssen auch die auf RAID-Systemen gespeicherten Daten auf zusätzliche Medien gesichert werden und diese Medien auch in anderen Brandabschnitten untergebracht werden.

Für die Entscheidung, welche Datensicherungsstrategie angewendet werden soll, sind die folgenden Einflußfaktoren zu berücksichtigen, um eine für die Anforderungen geeignete und gleichzeitig wirtschaftliche Form zu finden:

Verfügbarkeitsanforderungen :

Sind die Verfügbarkeitsanforderungen sehr hoch, so ist eine Datenspiegelung in Erwägung zu ziehen, sind die Verfügbarkeitsanforderungen hoch, so sollte einer Volldatensicherung gegenüber der inkrementellen Datensicherung der Vorzug gegeben werden.

Datenvolumen und Änderungsvolumen :

Entspricht das Änderungsvolumen annähernd dem Datenvolumen (z. B. bei der Nutzung einer Datenbank), so verringert sich die Speicherplatzersparnis der inkrementellen Datensicherung so stark, daß eine Vollsicherung in Erwägung gezogen werden kann. Ist jedoch das Änderungsvolumen erheblich kleiner als das Datenvolumen, so spart die inkrementelle Datensicherung Speicherplatz und damit Kosten im großen Umfang.

Änderungszeitpunkte der Daten :

Einen geringen Einfluß auf die Datensicherungsstrategie können die Änderungszeitpunkte der Daten haben. Gibt es Zeitpunkte, an denen anwendungsbezogen der Komplettdatenbestand gesichert werden muß (z. B. nach buchhalterischen Tages-, Wochen-, Monats- oder Jahresabschlüsse), so kommt zu diesen Zeitpunkten nur eine Vollsicherung in Frage.

Kenntnisse der IT-Benutzer:

Die Implementierung einer Datenspiegelung setzt entsprechende Kenntnisse des Systemadministrators voraus, erfordert jedoch auf Seiten der IT-Benutzer keinerlei Kenntnisse. Eine Volldatensicherung läßt sich auch von einem IT-Benutzer mit geringen Systemkenntnissen durchführen. Demgegenüber erfordert eine inkrementelle Datensicherung schon mehr Systemkenntnisse und Erfahrungen im Umgang mit Datensicherungen.

Häufigkeit und Zeitpunkte der Datensicherung

Tritt ein Datenverlust ein (z. B. durch Headcrash auf der Festplatte), so müssen zur Restaurierung der Daten sämtliche Datenänderungen seit der letzten Datensicherung nochmals vollzogen werden. Je kürzer der zeitliche Abstand der Datensicherungen ist, um so geringer ist i. allg. auch der für eine Restaurierung und Nacherfassung erforderliche Zeitaufwand. Gleichzeitig muß beachtet werden, daß der Zeitpunkt der Datensicherung nicht nur periodisch (täglich, wöchentlich, werktags, ...) gewählt werden kann, sondern daß auch ereignisabhängige Datensicherungen (z. B. nach x Transaktionen, nach Ausführung eines bestimmten Programms, nach Systemänderungen) notwendig sein können.

Zur Auswahl der Häufigkeit und Zeitpunkte der Datensicherung sind folgende Einflußfaktoren zu beachten.

Verfügbarkeitsanforderungen, Rekonstruktionsaufwand ohne Datensicherung und Änderungsvolumen:

Der zeitliche Abstand der Datensicherungen ist so zu wählen, daß die Restaurierungs- und Nacherfassungszeit (Rekonstruktionsaufwand der geänderten Daten, für die keine Datensicherung vorhanden ist) der in diesem Zeitraum geänderten Daten (Änderungsvolumen) kleiner als die maximal tolerierbare Ausfallzeit ist.

Änderungszeitpunkte der Daten:

Gibt es Zeitpunkte, an denen sich die Daten in großem Umfang ändern (z. B. Programmlauf für Gehaltszahlung oder Versionswechsel der Software) oder an denen der Komplettdatenbestand vorliegen muß, so bietet es sich an, unmittelbar danach eine Volldatensicherung durchzuführen. Dazu sind neben den periodischen die ereignisabhängigen Datensicherungszeitpunkte festzulegen.

Anzahl der Generationen

Einerseits werden Datensicherungen in kurzen Zeitabständen wiederholt, um eine Kopie eines möglichst aktuellen Datenbestandes verfügbar zu haben, andererseits muß die Datensicherung gewährleisten, daß gesicherte Daten möglichst lange aufbewahrt werden. Bezeichnet man eine Volldatensicherung als Generation, so bedarf es einer Festlegung der Anzahl der aufzubewahrenden Generationen und des zeitlichen Abstandes, der zwischen den Generationen liegen muß. Diese Anforderungen lassen sich an folgenden Beispielen erläutern:

Wird eine Datei absichtlich oder unabsichtlich gelöscht, so ist diese Datei in allen späteren Datensicherungen nicht mehr verfügbar. Stellt sich heraus, daß diese gelöschte Datei dennoch benötigt wird, so muß zur Restaurierung auf eine ältere Datensicherung zurückgegriffen werden, die zeitlich vor dem Löschen erstellt wurde. Ist eine solche Generation nicht mehr vorhanden, so muß die Datei neu erfaßt werden.
Tritt ein Integritätsverlust in einer Datei auf (z. B. durch einen technischen Defekt, durch unbeabsichtigtes Ändern einer Datei oder durch einen Computer-Virus), so ist es wahrscheinlich, daß dies nicht direkt, sondern erst zeitlich versetzt bemerkt wird. Um die Integrität der Datei wiederherstellen zu können, muß dann auf eine Generation zurückgegriffen werden, die vor dem Integritätsverlust erstellt wurde.
Es kann nicht ausgeschlossen werden, daß die Erstellung einer Datensicherung fehlerhaft oder unvollständig durchgeführt wurde. In diesem Fall ist es oftmals hilfreich, wenn auf eine weitere Generation zurückgegriffen werden kann.

Um diese Vorteile des Generationenprinzips aufrechterhalten zu können, muß jedoch eine Randbedingung eingehalten werden: der zeitliche Abstand der Generationen darf ein Mindestmaß nicht unterschreiten. Beispiel: In einem automatisierten Datensicherungsverfahren kommt es zu wiederholten Abbrüchen des Datensicherungslaufs. Hierdurch würden nacheinander sämtliche Generationen überschrieben werden. Verhindert werden kann dies, indem vor Überschreiben einer Generation das Mindestalter überprüft und nur dann überschrieben wird, wenn dieses Alter überschritten ist.

Charakterisieren läßt sich ein Generationsprinzip durch zwei Größen: das Mindestalter der ältesten Generation und die Anzahl der verfügbaren Generationen. Dabei gilt:

je höher das Mindestalter der ältesten Generation ist, je größer ist die Wahrscheinlichkeit, daß zu einer Datei mit Integritätsverlust (eine gelöschte Datei, die im nachhinein als notwendig erkannt wird, ist ebenfalls darunter zu fassen) noch eine Vorläuferversion vorhanden ist,
je größer die Anzahl der verfügbaren Generationen ist, um so aktueller ist die angeforderte Vorläuferversion.

Die Anzahl der Generationen steht aber im direkten Zusammenhang mit den Kosten der Datensicherung, da Datenträger in ausreichender Zahl zur Verfügung stehen müssen. Dies folgt aus der Notwendigkeit, daß für jede Generation eigene Datenträger benutzt werden sollten. Aus Wirtschaftlichkeitsgründen muß daher die Anzahl der Generationen auf ein sinnvolles Maß beschränkt werden.

Für die Wahl der Parameter des Generationsprinzips ergeben sich folgende Einflüsse:

Verfügbarkeitsanforderungen und Integritätsbedarf der Daten :

Je höher die Verfügbarkeitsanforderungen oder der Integritätsbedarf der Daten sind, um so mehr Generationen müssen vorhanden sein, um im Fall des Integritätsverlustes die Restaurierungszeit zu minimieren. Wenn der Verlust einer Datei oder eine Integritätsverletzung möglicherweise erst sehr spät bemerkt werden kann, sind zusätzliche Quartals- oder Jahressicherungsdatenbestände empfehlenswert.

Rekonstruktionsaufwand ohne Datensicherung :

Sind die Daten zwar umfangreich, aber auch ohne Datensicherung rekonstruierbar, so kann dies als eine weitere "Pseudo-Generation" ins Kalkül gezogen werden.

Datenvolumen :

Je höher das Datenvolumen ist, desto höher sind auch die Kosten einer Generation aufgrund des benötigten Speicherplatzes. Ein hohes Datenvolumen kann deshalb die Anzahl der Generationen aus wirtschaftlichen Gründen beschränken.

Änderungsvolumen :

Je höher das Änderungsvolumen ist, um so kürzer sollten die Zeitabstände zwischen den Generationen sein, um eine möglichst zeitnahe Version der betreffenden Datei zu haben, um den Restaurierungsaufwand durch Nachbearbeitung gering zu halten.

Vorgehensweise und Speichermedium

Nach der Festlegung der Art der Datensicherung, der Häufigkeit und des Generationenprinzips gilt es nun, die Vorgehensweise einschließlich des erforderlichen und wirtschaftlich angemessenen Datenträgers auszuwählen. Zunächst sollen einige gängige Datensicherungsverfahren beispielhaft aufgezeigt werden:

Beispiel 1: Manuelle dezentrale Datensicherung am PC

Bei nichtvernetzten PCs wird die Datensicherung vom IT-Anwender meist manuell als Vollsicherung der Anwendungsdaten durchgeführt. Als Speichermedium werden Disketten verwendet.

Beispiel 2: Manuelle zentrale Datensicherung im Unix-System

Für Unix-Systeme mit angeschlossenen Terminals oder PCs mit Terminalemulation bietet sich aufgrund des zentralen Datenbestandes die zentrale Datensicherung an. Sie wird oft als Kombination von wöchentlichen Vollsicherungen und täglichen inkrementellen Datensicherungen mittels Streamer-Tapes vom Unix-Administrator manuell durchgeführt.

Beispiel 3: Manuelle zentrale Datensicherung im lokalen Netz

Im Bereich eines lokalen Netzes mit angeschlossenen PCs wird vielfach die Datensicherung dergestalt durchgeführt, daß der angeschlossene PC-Benutzer seine zu sichernden Anwendungsdaten auf einem zentralen Server im Netz ablegt und daß dann der Netzadministrator die Daten dieses Servers zentral sichert, wozu eine wöchentliche Vollsicherung und eine tägliche inkrementelle Sicherung durchgeführt werden.

Beispiel 4: Automatische zentrale Datensicherung im Großrechnerbereich

Vergleichbar dem Beispiel 2 werden im Großrechnerbereich zentrale Datensicherungen als Kombination von wöchentlichen Vollsicherungen und täglichen inkrementellen Datensicherungen durchgeführt. Vielfach wird dies automatisch mit Hilfe eines Tools (HSM) initiiert. Für einzelne IT-Anwendungen werden vielfach noch zusätzliche ereignisorientierte Volldatensicherungen vollzogen.

Beispiel 5: Automatische zentrale Datensicherung im verteilten System

Eine weitere Variante besteht aus der Kombination der Beispiele 3 und 4. Die lokalen Daten der verteilten Systeme werden auf einen zentralen Großrechner bzw. auf einen zentralen Server übertragen, auf dem die Datensicherung als Kombination von Vollsicherungen und inkrementellen Datensicherungen durchgeführt wird.

Beispiel 6: Vollautomatische zentrale Datensicherung dezentral gespeicherter Daten im verteilten System

Im Gegensatz zum vorangegangenen Beispiel erfolgt hier der Transfer vom dezentralen zum zentralen System automatisch. Mittlerweile werden Tools angeboten, die einen Zugriff von einem zentralen Datensicherungsserver auf die dezentralen Datenbestände erlauben. Eine Datensicherung kann somit transparent für den dezentralen Anwender zentral erfolgen.

Um das Datenvolumen auf dem Speichermedium zu minimieren, können zusätzlich Datenkompressionsalgorithmen angewandt werden. Teilweise kann das Datenvolumen damit um bis zu 80 % reduziert werden. Es ist bei Anwendung der Kompression sicherzustellen, daß die gewählten Parameter und Algorithmen im Rahmen der Datensicherung dokumentiert und für die Datenrestaurierung (Dekompression) vorgehalten werden.

Für die Vorgehensweise gibt es zwei Parameter, die festgelegt werden müssen: den Automatisierungsgrad und die Zentralisierung (Speicherort).

Beim Automatisierungsgrad ist zwischen manuell und automatisch zu unterscheiden:

Manuelle Datensicherung bedeutet, daß der Anstoß zur Datensicherung manuell gegeben wird. Vorteilhaft kann sein, daß der Ausführende individuell den Termin der Datensicherung dem Arbeitsablauf anpassen kann. Nachteilig ist, daß die Wirksamkeit und Güte der Datensicherung dann von der Motivation und Disziplin des Ausführenden abhängt. Durch Krankheit oder sonstige Abwesenheitsgründe können Datensicherungen ausfallen.
Automatische Datensicherungen werden programmgesteuert zu bestimmten Terminen angestoßen. Vorteilhaft ist, daß die Disziplin und Zuverlässigkeit der Ausführenden nachrangig ist, wenn der Terminplan vollständig und aktuell ist. Nachteilig kann sein, daß die Steuerungsprogramme Kosten verursachen, der Terminplan aktuellen Änderungen angepaßt werden muß oder wichtige Änderungen nicht unmittelbar gesichert werden.

Bezüglich der Zentralisierung sind zentral und dezentral durchgeführte Datensicherungen zu unterscheiden:

Zentrale Datensicherungen zeichnen sich dadurch aus, daß der Speicherort und die Durchführung der Datensicherung am zentralen IT-System von einem Ausführenden durchgeführt werden. Diese Verfahrensweise hat den Vorteil, daß nur ein Mitarbeiter intensiv geschult werden muß und die IT-Anwender des IT-Systems von dieser Arbeit entlastet werden. Vorteilhaft ist weiterhin, daß durch das höhere zentrale Datenaufkommen kostengünstigere Speichermedien verwendet werden können. Nachteilig ist, daß evtl. vertrauliche Daten übertragen und von nicht Befugten eingesehen werden könnten.
Dezentrale Datensicherungen werden von den IT-Anwendern selbst durchgeführt, ohne daß die Daten auf ein zentrales IT-System übertragen werden müssen. Vorteilhaft ist, daß der IT-Anwender die Kontrolle über die Daten und die Backup-Datenträger behält, insbesondere wenn es sich um vertrauliche Daten handelt. Nachteilig ist, daß die konsequente Datensicherung damit von der Zuverlässigkeit der IT-Anwender abhängt und daß dezentrale Lösungen den IT-Anwendern Zeitaufwand abfordern.

Nach der Entscheidung, ob die Datensicherung manuell oder automatisch, zentral oder dezentral durchgeführt wird, muß nun der geeignete Datenträger für die Datensicherung gefunden werden. Dazu können folgende Parameter betrachtet werden:

Datenträger-Anforderungszeit : der Zeitaufwand für die Vorbereitung der Daten-Restaurierung ist bestimmt durch die Zeit, die benötigt wird, den erforderlichen Datensicherungs-Datenträger zu identifizieren und im System verfügbar zu machen. Kassetten in einem Roboter-System können innerhalb von Minuten zur Restaurierung bereit stehen, ausgelagerte Bänder müssen unter Umständen erst aufwendig transportiert und aufgelegt werden.
Zugriffszeit, Transferrate : der Zeitaufwand für die Erstellung und Restaurierung der Daten selbst hängt von der mittleren Zugriffszeit auf die Daten des Datenträgers und von der Datentransferrate ab. Festplatten erlauben einen Zugriff auf bestimmte Dateien im Millisekunden-Bereich, ein Magnetband muß erst zur entsprechenden Stelle gespult werden. Bei der Auswahl des Datenträgers ist zu berücksichtigen, daß bei entsprechend hohen Transferraten es nicht zu einer Überlastung der Übertragungskanäle kommen darf.
Praktikabilität/Speicherkapazität : je umständlicher die Datensicherung ist, um so größer ist die Gefahr, daß sie fehlerhaft vollzogen oder von den Verantwortlichen überhaupt nicht durchgeführt wird. Datenträger mit zu kleiner Speicherkapazität verhindern eine effektive Datensicherung, da der ständige Wechsel zeitaufwendig und fehleranfällig ist.
Kosten : die Kosten für die Datensicherung, also Beschaffungskosten für Lese-/Schreibgeräte und Datenträger, erforderliche Rechen- und Arbeitszeit müssen in einem angemessenen Verhältnis zum Sicherungszweck stehen. Hierbei ist auch die Lebensdauer der Datenträger und der Zuverlässigkeit zu berücksichtigen. Auf keinen Fall dürfen die laufenden Datensicherungskosten die Summe der Restaurierungskosten ohne Datensicherung und der Folgeschäden übersteigen.

Um bei der Auswahl der Verfahrensweise und des Speichermediums Anhaltspunkte für die Beschaffungskosten, die Zugriffszeiten und Transferzeiten zu haben, sind in der nachfolgenden Tabelle mit Stand von 1995 einige Eckdaten dargestellt:


Speichermedium       Kapazitä Kosten DM   Kosten     Mittlere  Datentransfer 

                     t                    pro MB     Zugriffsz  in KB/Sek. 

  

                      MB                             eit in            

      

                                                     Sek.              

      

DIN-A4-Papier           0,002        0,03      15,00         -       - 

      

IDE Festplatte HDD       1000      400,00      0,400      0,01     3000 

     

1 GB                                                                   

      

SCSI Festplatte 4        4000     2000,00      0,500      0,08     6000 

     

GB                                                                     

      

3.5 " HD Floppy          1,44        1,00      0,700      0,10    

  60       

WORM 5.25"                800      700,00      0,870      0,02    

 6000      

Mikrofilm                 0,6        0,50      0,830     10,00      40 

      

MO/ROD 3,5"               230       40,00      0,170      0,03  lesen 

3000   

                         1300      120,00      0,090             schreiben 

  

5,25"                                                             

 1000      

CD-WORM                   680       15,00      0,022      0,15    300-600 

   

CD-ROM                    680        2,00      0,003      0,15   600-1200 

   

Data Cartridge           2500       60,00      0,020     10,00  200 ... 

800  

QIC DAT                  4000       30,00      0,008                   

      

Magn.                     270      100,00      0,370     0,015     2000 

     

Wechselplatten

Aufgrund des Preisverfalls im Bereich der Speichermedien und der technologischen Fortschritte können diese Zahlen nur als grobe Näherungswerte betrachtet werden. Aktuelle Zahlen sind bei der Speichermedien-Auswahl zu eruieren.

Die folgenden Einflußgrößen müssen dabei beachtet werden:

Verfügbarkeitsanforderungen :

Je höher die Verfügbarkeitsanforderungen sind, desto schneller muß auf die Datenträger als Speichermedium der Datensicherung zugegriffen werden können und desto schneller müssen die benötigten Daten vom Datenträger wieder einspielbar sein. Aus Verfügbarkeitsgründen muß sichergestellt sein, daß die Speichermedien auch bei Ausfall eines Lesegerätes zur Restaurierung genutzt werden können. Die Kompatibilität und Funktion eines Ersatzgerätes ist zu gewährleisten.

Daten- und Änderungsvolumen :

Mit zunehmenden Datenvolumen werden i. allg. preisgünstige Bandspeichermedien wie Magnetbänder oder Bandkassetten (Data Cartridge) benutzt.

Fristen :

Müssen Löschfristen eingehalten werden (z. B. bei personenbezogenen Daten), so muß das ausgewählte Speichermedium die Löschung ermöglichen. Speichermedien, die nicht oder nur mit großem Aufwand löschbar sind (z. B. WORM), sollten in diesem Fall vermieden werden.

Vertraulichkeitsbedarf und Integritätsbedarf der Daten :

Ist der Vertraulichkeits- oder Integritätsbedarf der zu sichernden Daten hoch, so überträgt sich dieser Schutzbedarf auch auf die zur Datensicherung eingesetzten Datenträger. Ist eine Verschlüsselung der Datensicherung nicht möglich, kann über die Auswahl von Datenträgern nachgedacht werden, die aufgrund ihrer kompakten Bauart und Transportabilität in Datensicherungsschränken oder Tresoren untergebracht werden können.

Kenntnisse der IT-Benutzer :

Die Kenntnisse und datenverarbeitungsspezifische Fähigkeiten der IT-Benutzer entscheiden darüber, ob eine Verfahrensweise gewählt werden kann, in der der IT-Benutzer selbst manuell für die Datensicherung tätig wird, ob andere ausgebildete Personen die Datensicherung dezentral durchführen oder ob eine automatisierte Datensicherung praktikabler ist.

Verantwortlichkeit für die Datensicherung

Für die Entscheidung, wer für die Durchführung der Datensicherung verantwortlich ist, kommen drei Personengruppen in Frage. Zunächst kann es der IT-Benutzer selbst sein (typischerweise bei dezentralen und nichtvernetzen IT-Systemen), der Systemverwalter oder ein für die Datensicherung speziell ausgebildeter Administrator. Wird die Datensicherung nicht vom Benutzer selbst durchgeführt, sind die Verantwortlichen auf Verschwiegenheit bezüglich der Dateninhalte zu verpflichten und ggf. eine Verschlüsselung in Betracht zu ziehen.

Darüber hinaus sind die Entscheidungsträger zu benennen, die eine Daten-Restaurierung veranlassen können. Zu klären ist weiterhin, wer berechtigt ist, auf Datensicherungsträger zuzugreifen, insbesondere wenn sie in Datensicherungsarchiven ausgelagert sind. Es muß sichergestellt sein, daß nur Berechtigte Zutritt erhalten. Abschließend ist zu definieren, wer berechtigt ist, eine Daten-Restaurierung des Gesamtdatenbestandes oder ausgewählter, einzelner Dateien operativ durchzuführen.

Bei der Festlegung der Verantwortlichkeit ist insbesondere der Vertraulichkeits-, Integritätsbedarf der Daten und die Vertrauenswürdigkeit der zuständigen Mitarbeiter zu betrachten. Es muß sichergestellt werden, daß der Verantwortliche erreichbar ist und ein Vertreter benannt und eingearbeitet wird.

Als Einflußfaktor ist zu beachten:

Kenntnisse der IT-Anwender :

Die Kenntnisse und datenverarbeitungsspezifischen Fähigkeiten der IT-Benutzer entscheiden darüber, ob die Datensicherung eigenverantwortlich je IT-Benutzer durchgeführt werden sollte. Sind die Kenntnisse der IT-Benutzer nicht ausreichend, ist die Verantwortung dem Systemadministrator oder einer speziell ausgebildeten Person zu übertragen.

Aufbewahrungsort

Grundsätzlich sollten Datensicherungsmedien und Originaldatenträger in unterschiedlichen Brandabschnitten aufbewahrt werden. Werden Datensicherungsmedien in einem anderen Gebäude oder außerhalb des Betriebsgeländes aufbewahrt, so sinkt die Wahrscheinlichkeit, daß in einem Katastrophenfall die Datensicherungen in Mitleidenschaft gezogen werden. Je weiter jedoch die Datenträger von der zur Restaurierung notwendigen IT-Peripherie (z. B. Bandstation) entfernt ist, desto länger können die Transportwege und Transportzeiten sein, und desto länger ist die Gesamtrestaurierungszeit. Als Einflußfaktor ist daher zu betrachten:

Verfügbarkeitsanforderungen :

Je höher die Verfügbarkeitsanforderungen sind, um so schneller müssen die Datenträger der Datensicherung verfügbar sein. Werden aus Sicherheitsgründen die Datenträger extern ausgelagert, so ist bei sehr hohen Verfügbarkeitsanforderungen zu erwägen, Kopien der Datensicherung zusätzlich in unmittelbarer Nähe des IT-Systems vorzuhalten.

Vertraulichkeitsbedarf und Integritätsbedarf der Daten :

Je höher dieser Bedarf ist, um so besser muß verhindert werden, daß an den Datenträgern manipuliert werden kann. Die notwendige Zutrittskontrolle läßt sich i. allg. nur durch entsprechende infrastrukturelle und organisatorische Maßnahmen erreichen, vgl. Kapitel 4.3.3.

Datenvolumen:

Mit steigendem Datenenvolumen gewinnt die Sicherheit des Aufbewahrungsortes an Bedeutung.

Anforderungen an das Datensicherungsarchiv

Aufgrund der Konzentration von Daten auf Datensicherungsmedien besitzen diese einen mindestens ebenso hohen Schutzbedarf bezüglich Vertraulichkeit und Integrität wie die gesicherten Daten selbst. Bei der Aufbewahrung in einem zentralen Datensicherungsarchiv sind daher entsprechend wirksame IT-Sicherheitsmaßnahmen wie z. B. Zutrittskontrolle notwendig.

Zusätzlich muß durch organisatorische und personelle Maßnahmen (Datenträgerverwaltung) sichergestellt werden, daß der schnelle und gezielte Zugriff auf benötigte Datenträger möglich ist. Hierzu sind die Maßnahme M 2.3 Datenträgerverwaltung und Kapitel 4.3.3 Datenträgerarchiv zu beachten.

Folgende Einflußfaktoren müssen beachtet werden:

Verfügbarkeitsanforderungen :

Je höher die Verfügbarkeitsanforderungen sind, um so schneller muß der gezielte Zugriff auf benötigte Datenträger möglich sein. Wenn eine manuelle Bestandsführung den Verfügbarkeitsanforderungen nicht genügt, können automatisierte Zugriffsverfahren (z. B. Roboter-Kassettenarchiv) zum Einsatz kommen.

Datenvolumen :

Das Datenvolumen bestimmt letztendlich die Anzahl der aufzubewahrenden Datenträger. Für entsprechend große Datenvolumen ist eine ausreichende Aufbewahrungskapazität im Datenträgerarchiv vorzusehen.

Fristen :

Sind Löschungsfristen einzuhalten, muß die Organisation des Datensicherungsarchivs dem angepaßt sein und ggf. müssen auch die erforderlichen Löscheinrichtungen vorhanden sein. Zu den vorgegebenen Löschungszeitpunkten ist im Datensicherungsarchiv die Löschung zu initiieren bzw. durchzuführen und zu dokumentieren. Ist eine Löschung technisch nicht möglich, so ist durch organisatorische Maßnahmen eine Wiederverwendung zu löschender Daten zu verhindern.

Vertraulichkeits- und Integritätsbedarf der Daten :

Transportmodalitäten

Bei der Durchführung einer Datensicherung werden Daten transportiert. Sei es, daß sie über ein Netz oder eine Leitung übertragen werden, sei es, daß Datenträger zum Datenträgerarchiv transportiert werden. Dabei gilt es folgendes zu beachten:

Verfügbarkeitsanforderungen :

Je höher die Verfügbarkeitsanforderungen sind, desto schneller müssen die Daten zur Restaurierung bereitstellbar sein. Dies ist bei der Auswahl des Datenübertragungsmediums bzw. bei Auswahl des Datenträger-Transportweges zu berücksichtigen.

Datenvolumen :

Wenn zur Datenrestaurierung die Daten über ein Netz übertragen werden, so muß bei der Auswahl der Übertragungskapazität des Netzes das Datenvolumen beachtet werden. Es muß gewährleistet sein, daß das Datenvolumen innerhalb der erforderlichen Zeit (Verfügbarkeitsanforderung) übertragen werden kann.

Änderungszeitpunkte der Daten:

Werden Datensicherungen über ein Netz durchgeführt (insbesondere zu ausgewählten Terminen), kann aufgrund des zu übertragenen Datenvolumens ein Kapazitätsengpaß entstehen. Daher ist zum Zeitpunkt der Datensicherung eine ausreichende Datenübertragungskapazität sicherzustellen.

Vertraulichkeits- und Integritätsbedarf der Daten :

Je höher dieser Bedarf ist, um so besser muß verhindert werden, daß die Daten auf dem Transport abgehört, unbefugt kopiert oder manipuliert werden. Bei Datenübertragungen ist schließlich eine Verschlüsselung oder ein kryptographischer Manipulationsschutz zu überdenken, beim physikalischen Transport sind sichere Behältnisse und Wege zu benutzen und ggf. auch der Nutzen und Aufwand einer Verschlüsselung abzuwägen.

Aufbewahrungsmodalität

Im Rahmen des Datensicherungskonzeptes sollte mitbetrachtet werden, ob für bestimmte Daten Aufbewahrungs- oder Löschfristen einzuhalten sind.

Fristen:

Falls Aufbewahrungsfristen einzuhalten sind, kann dem durch die Archivierung einer Datensicherungsgeneration nachgekommen werden. Sind die Aufbewahrungsfristen lang, so ist zusätzlich sicherzustellen, daß die erforderlichen Lesegeräte bevorratet werden und daß unter Umständen ein Refresh (erneutes Aufspielen der magnetisch gespeicherten Daten) bei magnetischen Datenträgern erforderlich werden kann, da diese mit der Zeit ihre Magnetisierung und damit den Dateninhalt verlieren.

Falls Löschfristen einzuhalten sind, muß der organisatorische Ablauf festgelegt werden und ggf. müssen auch die erforderlichen Löscheinrichtungen vorhanden sein. Zu den vorgegebenen Löschungszeitpunkten ist die Löschung zu initiieren bzw. durchzuführen.

Ergänzende Kontrollfragen:

Wird die Vorgehensweise zur Datensicherung bei veränderter IT-Ausstattung aktualisiert?
Werden sporadisch Übungen zur Daten-Restaurierung durchgeführt?
Werden Kontrollen durchgeführt, ob die im Datensicherungskonzept festgelegten Modalitäten eingehalten werden?
Werden die Verantwortlichen für ihre Aufgaben bei der Datensicherung ausreichend geschult?