Verfügbarkeitskontrolle, Teil 1: Wer Firmen zur Verfügbarkeitskontrolle verpflichtet

Neben Vertraulichkeit und Integrität gehört die Verfügbarkeit zu den elementaren Forderungen der Datensicherheit. In allzu vielen Unternehmen glauben die Verantwortlichen, dass zuverlässige Backups dafür ausreichen. Doch das ist zu kurz gedacht: Verfügbarkeitskontrolle ist weitaus vielfältiger.

Ausgerechnet jetzt, wenn ich sie brauche!

Von Oliver Schonschek

„Wie sind die Kundenbesuche in den letzten zwei Wochen verlaufen?“, will der Vertriebsleiter vom Außendienstmitarbeiter wissen. „Insgesamt recht gut, ich stelle Ihnen gleich eine ausführliche Übersicht zum Status der Kundenprojekte zusammen“, lautet die zuversichtliche Antwort. Doch die Zuversicht schwindet bald. Die Termine sind zwar allesamt wirklich gut gelaufen, doch der Mitarbeiter muss feststellen, dass seine Besuchsberichte auf dem Notebook verschwunden sind. Die Dateien sind weg, nicht mehr zu finden. Anders gesagt: Die Dateien sind nicht mehr verfügbar.

Wie konnte das passieren? Da kann vieles schiefgelaufen sein. Vielleicht hatte der Vertriebler die Dateien auf dem Desktop gespeichert und wollte „aufräumen“, um bei der nächsten Kundenpräsentation einen sauberen Eindruck zu hinterlassen. In jedem Fall hat er offenbar das Backup vergessen, was bei vielen mobilen Endgeräten der Fall ist, da sie immer nur zeitweise mit dem Firmennetzwerk verbunden sind. Aber lückenhafte Backup-Prozesse sind nicht das Einzige, das die Verfügbarkeit von Daten gefährdet.

Verseuchte Backups und defekte Klimaanlagen

Das Rätsel um die vermissten Besuchsberichte lässt sich noch fortspinnen: Der Außendienstler ist sich nämlich sicher, dass die Unterlagen nicht nur auf dem Notebook waren. Er hat erst kürzlich ein Backup für sein Notebook gestartet. Also fragt er bei der Systemadministration nach. Dort sucht man das entsprechende Backup, aber – o Schreck! – es hat wohl nicht richtig funktioniert: Die Sicherungsdatei ist defekt. Die Lehre daraus lautet: Trotz Backup kann die Verfügbarkeit in Gefahr sein, wenn z.B. das Verfahren nicht rund läuft und das Ergebnis der Gegensicherung nicht überprüft wird.

Serie: Verfügbarkeitskontrolle
Teil 1 erklärt, wie weit die gesetzlich vorgeschriebene Verfügbarkeitskontrolle reicht. Teil 2 prüft, auf welche Weise sich eine Cloud gegensichern und garantieren lässt. Teil 3 spielt schließlich die Abläufe für die besonders gefährdeten Mobilgeräte durch.

Dass die Datensicherungsdatei fehlt oder defekt ist, kann daran liegen, dass sich z.B. der Backup-Server oder das Notebook eine Schadsoftware eingefangen hat, die Dateien verändert oder löscht. Oder aber der Backup-Server ist ausgefallen, während der Vertriebsmitarbeiter gerade sein Notebook sichern wollte. Dafür wiederum gibt es ganz banale Gründe: So könnte die Klimatisierung im Serverraum ausgefallen sein; dann werden die Server wegen Überhitzungsgefahr heruntergefahren.

Serie: IT-Sicherheit im Mittelstand
Teil 1 erklärt, was zum Grundschutz gehört, welche Türen abgesperrt bleiben müssen und wie das Firmennetzwerk optimale Datenverfügbarkeit gewährleistet. Teil 2 nimmt die häufigste Ausfallursache unter die Lupe: den Anwender. Hier erfahren Sie, was eine gute Nutzerverwaltung leisten soll und warum ein Notfallplan parat liegen muss.

Fazit: Eine Forderung des Datenschutzes

In der Anlage zu § 9 BDSG fordert das Bundesdatenschutzgesetz, dass personenbezogene Daten mit technisch-organisatorischen Maßnahmen so geschützt werden, dass sie u.a. „gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)“ (Nr. 7). Zu den erforderlichen Maßnahmen zählen nicht nur regelmäßige Backups, sondern auch Maßnahmen gegen den Ausfall der IT-Systeme: Brandschutzmaßnahmen, Überspannungsschutz, eine unterbrechungsfreie Stromversorgung (USV), eine Klimaanlage im Serverraum, die Schulung der Mitarbeiterinnen und Mitarbeiter zum Backup-Konzept, Sicherheitsfunktionen gegen zerstörerische Schadsoftware sowie eine Zutritts– und eine Zugriffskontrolle, um die Backup-Medien gegen Missbrauch und Zerstörung zu schützen. Diese Anforderungen im Rahmen der Verfügbarkeitskontrolle müssen für alle Orte und Varianten der Datenhaltung getroffen werden, auch für Smartphones und Tablets, auch für Cloud-Dienste!

Um Besonderheiten bei Mobilgeräten und die Verfügbarkeitskontrolle für die Cloud geht es in den nächsten Teilen dieser Serie. Zunächst interessiert sich Teil 2 dafür, wie es um die Verfügbarkeit von Daten in der Wolke bestellt ist.
News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links