In der aktuellen Diskussion um Datenschutz und IT-Sicherheit geht es fast immer nur um die Vertraulichkeit von Daten. Fast ganz hinten in § 9 BDSG bei den technisch-organisatorischen Maßnahmen wird aber auch erwähnt, dass zudem die Verfügbarkeit der erhobenen Daten sichergestellt sein muss. In der Praxis sind genau an dieser Stelle bei Prüfungen oft die eklatantesten Fehler festzustellen. Was kann alles schiefgehen?
Daten überall – Verlustrisiko überall
Spätestens seit Armbanduhren und Brillen zu Datenspeichern werden, ist jedem bewusst, dass die Informationstechnik vor keinem Lebensbereich mehr halt macht: Überall werden Daten gespeichert und können in der Konsequenz auch überall verloren gehen oder beschädigt werden.
Was kann konkret passieren?
Eine „urban legend“ mit wahrscheinlich mehr als nur einem Körnchen Wahrheit ist die Geschichte des Steuerberaters, der sich jeden Morgen an der E-Mail „Ihr Backup wurde erfolgreich durchgeführt“ erfreute – dann aber beim Crash seiner Festplatte feststellen musste, dass auf seiner USB-Sicherungsplatte nur die Inhalte der CD in Laufwerk D mit den aktuellen Gesetzestexten zu finden waren, nicht aber die wichtigen Mandatsdaten auf Laufwerk C.
Ein Beispiel am anderen Ende des Größenspektrums ist das DAX-Unternehmen, das wichtige, kundenbezogene Abrechnungsdaten über eine ganze Kette von komplexen IT-System schleust. Ein Datenverlust auf nur einem dieser nicht gesicherten Systeme führt dann dazu, dass Kundenforderungen im zweistelligen Millionenbereich unrekonstruierbar verloren gehen. Das wäre den „betroffenen“ Kunden aus Datenschutzsicht wahrscheinlich herzlich egal, dem Unternehmen selbst aber sicherlich nicht.
Wie sieht eine angemessene „Verfügbarkeitskontrolle“ aus?
Der Kern der Vorgehensweise ist der aus dem Feld der IT-Sicherheit grundsätzlich bekannte systematische „Dreiklang“ aus Risikoanalyse, Sicherheitskonzept und Test:
Risikoanalyse (hier bezüglich Datenverlust)
Das Sicherheitskonzept ist dabei nur so gut, wie die Risikoanalyse vollständig ist: Welche Daten werden wo gespeichert und welche Katastrophe kann mit welcher Wahrscheinlichkeit eintreten? Beispielsweise kann man mit großer Wahrscheinlichkeit davon ausgehen, dass eine Festplatte innerhalb von 5 Jahren tatsächlich kaputt geht. Dass eine Festplatte aus einem Server gestohlen wird, hat eine sehr viel geringere Eintrittswahrscheinlichkeit. Dass ein Notebook verloren geht oder gestohlen wird, ist eher wieder wahrscheinlich. Und so weiter … Hier helfen die Listen mit typischen Risiken, die beispielsweise das BSI als Teil des Grundschutzkatalogs pflegt und aktualisiert.
Sicherheitskonzept (hier bezüglich Datensicherung)
Auf Basis der festgestellten Risiken werden dann Maßnahmen definiert, um den Datenverlust beim Eintreten des entsprechenden Risikos zu verhindern bzw. zu minimieren. Der Teufel steckt hier – wie immer – im technischen Detail: Eine Datensicherung kann dafür sorgen, dass Sie „nur“ die Daten des aktuellen Monats verlieren oder aber nur der letzten drei Minuten. Manche Arten von Datensicherung können nur die jeweils aktuellste Version einer konkreten Datei rekonstruieren, andere können in der Zeit zurückgehen und alte, überschriebene oder gelöschte Versionen einer Datei wieder hervorzaubern. Es gibt Konzepte, die sogar datenverlustfrei mit dem Risiko umgehen können, dass Ihre Stadt durch eine Naturkatastrophe oder einen Krieg vollkommen zerstört wird. Es gibt für jedes Risiko das passende technisch-organisatorische Konzept
Test des Konzepts im Rahmen von Notfallübungen
Papier ist geduldig. Ein konkretes Sicherheitskonzept muss aber auch getestet werden, ansonsten kann man fast mit Sicherheit davon ausgehen, dass irgendein entscheidendes Detail im Ernstfall nicht funktioniert; Beispiele aus der Praxis:
- Zwar wurde eine verschlüsselte Datensicherung außerhalb des abgebrannten Gebäudes aufbewahrt, der elektronische Schlüssel ist aber mit dem Gebäude verbrannt. Dieser Aspekt wäre bei einem Test in dem Moment aufgefallen, in dem man in das „brennende“ Haus zurücklaufen muss, um den Schlüssel zu holen.
- Der Server wird zwar immer täglich gesichert – es stellt sich aber heraus, dass die Recovery-Software keine einzelnen Dateien aus der Sicherung extrahieren kann. Eine Komplettrücksicherung würde wiederum zum Verlust der tagesaktuellen Daten führen.
- Durch falsche Einstellungen bei der E-Mail-Benachrichtigung wird nicht bemerkt, dass die Sicherung schon seit Monaten fehlschlägt. Die gesicherten Daten haben alle einen alten Stand und sind quasi wertlos.
Eine nichtfunktionierende Datensicherung / Recovery ist für ein Unternehmen zumeist ein existentielles Risiko.
Fazit
Angemessene Datensicherung ist ein Thema, bei dem der Teufel in den technischen und organisatorischen Details steckt. Oft werden relevante Datenspeicher oder Risiken übersehen und daher überhaupt nicht abgesichert. Auch existieren viele Sicherheitskonzepte nur auf dem Papier. Ohne einen Test kann man im Ernstfall davon ausgehen, dass irgendein wichtiges Detail bei der Wiederherstellung der Daten nicht funktioniert – mit gravierenden Konsequenzen.