Die Datensicherung in ein Rechenzentrum ist für auch für KMU zu vernünftigen Kosten realisierbar. Darauf basierend lässt sich auch ein Ersatzsystem realisieren, falls die IT komplett ausfällt.
Was sichern?
Server
Daten und Dokumente
Alle geschäftlich relevanten Daten und Dokumente sollten zumindest einmal täglich gesichert werden. Besser noch ist die Sicherung mehrmals täglich, den bei einem Server-Totalschaden sind damit weniger Daten verloren.
Wenn Sie Daten und Dokumente von mehreren Firmen (Mandanten) verwalten, dann sollten Sie separate Sicherungen für die Mandanten erstellen. Damit können Sie das Backup für an einen Mandaten weitergeben bzw. auch löschen (DSGVO), ohne vorher die Daten aufwändig trennen zu müssen.
Anwendungen, Komplettsicherung
Sichern Sie auch ihre Anwendungen bzw. die kompletten Server einmal in Woche.
Server und Anwendungen lassen sich mit guter Dokumentation wiederherstellen. In der Praxis ist jedoch nicht alles ordentlich dokumentiert und der Zeitaufwand für die Neuinstallation kann beträchtlich sein.
PCs, Notebooks
Denken Sie an die Möglichkeit von Verlust, Diebstahl und technischen Defekt dieser Geräte.
Wenn auf den PCs/Notebooks Daten/Dokumente liegen, welche nicht auch auf einem Server gespeichert sind, dann müssen Sie diese regelmäßig sichern.
Die Wiederherstellung eines PCs/Notebooks ist einfach möglich, wenn es eine Standard-Installation ist. Ist das Gerät aber eine „besondere Installation“, sollten Sie dafür Komplettsicherungen durchführen.
Smartphones, Tablets
Bedenken Sie auch hier die Möglichkeit von Verlust, Diebstahl und technischen Defekt dieser Geräte.
Smartphones und Tablets sind bereits auf die Verbindung zu Cloud-Servern ausgelegt. Auch alle geschäftlich genutzten Apps sollten damit die Daten auf einem Server speichern (was Sie prüfen sollten).
Damit haben Sie normalerweise auf diesen Geräten keine geschäftlichen Daten, welche Sie sichern müssen.
Cloud-Services
Sie sollten evaluieren, ob die von Ihnen genutzten Cloud-Services auch ein Backup beinhalten. Die Verantwortung für die Durchführung der Sicherung und ggf. Rücksicherungen muss dabei klar geregelt sein (Kunde oder Anbieter).
Falls Sie sich dazu nicht auf den Cloud Service Anbieter verlassen können, sollten Sie alle dort gespeicherten Daten und Dokumente mit einer Backup-Lösung sichern.
Anforderungen an die IT-Lösung
Cloud Backup
Wichtige Anforderungen sind:
- Anzahl der Sicherungen und Aufbewahrungsdauer können konfiguriert werden
- Mehrere Versionen der Daten/Dokumente sollten aufbewahrt werden können
- Sicherungen sollten über einen frei definierbaren Zeitraum aufbewahrt werden können
- Verschlüsselung
- Daten müssen auf dem Weg durch das Internet verschlüsselt sein
- Die Daten müssen am Backup-Server verschlüsselt gespeichert werden
- Sichere Verschlüsselungsmethode (Stand der Technik ist AES-256)
- Der Key für die Verschlüsselung kann sicher aufbewahrt werden und ist nur für Sie als Kunde zugreifbar
- Sicheres Rechenzentrum und vertrauenswürdiger Anbieter
- Siehe Cloud Computing für KMU
- Sicherung kann im geplanten Zeitfenster abgeschlossen werden
- Die Daten können innerhalb eines Backup-Zyklus (z.B. 12 Stunden) auf den Backup-Server transferiert werden
- Es reicht diese Anforderung auf inkrementelle Sicherung auszulegen, da initiale Sicherungen mit sehr großen Datenmengen nur selten notwendig sind
- Dafür ist eine entsprechend dimensionierte Internet-Anbindung (Uplink Geschwindigkeit) erforderlich
- Technische Lösungen wie De-Duplication und Kompression helfen die transferierte Datenmenge und damit die Sicherungsdauer zu reduzieren
- Die Daten können innerhalb eines Backup-Zyklus (z.B. 12 Stunden) auf den Backup-Server transferiert werden
- Rücksicherung der Daten
- Einfache Möglichkeit der Rücksicherung von Daten/Dateien zu einem bestimmten Sicherungsdatum
- Versand von Medien mit den Backup-Daten für die Rücksicherung von sehr große Datenmengen
Die DSGVO erlaubt prinzipiell den Transfer von personenbezogenen Daten an Dritte außerhalb des EU-Raumes. Es muss jedoch sichergestellt sein, dass die Bestimmungen der DSGVO eingehalten werden. Diese Anforderung ist im Wesentlichen durch die Verschlüsselung der Daten abgedeckt.
Disaster Recovery
Wichtige Anforderungen sind:
- Auf dem Ersatzsystem stehen alle betriebskritischen Anwendungen/IT-Services zu Verfügung
- Die benötigten IT-Services müssen von Ihnen spezifiziert werden
- Das Ersatzsystem ist in einem definierten Zeitfenster einsatzbereit
- Das definierte Zeitfenster orientiert sich an der max. Ausfalldauer, welche für einen Betrieb verkraftbar ist
- Die Anwendungen, IT-Services, Daten und Dokumente müssen (möglichst) ident mit dem Stand auf dem Produktivsystem sein. Alternativ kann eine Wiederherstellung von einem Backup binnen des definierten Zeitfensters passieren
- Das Netzwerk-Routing muss umgeleitet werden, sodass das Ersatzsystem innerhalb des Zeitfensters erreichbar ist
- Sicheres Rechenzentrum, vertrauenswürdiger Anbieter
- Siehe Cloud Computing für KMU
- Die Kommunikation ist verschlüsselt
- Administrationszugang zum Ersatzsystem
- Daten-Synchronisation zw. Produktivsystem und Ersatzsystem
- Anwendungszugriff
Lösungen am Markt
Kleine IT-Umgebung, wenige PCs
Mit wenigen PCs und nur einem Server ist es verkraftbar, wenn die Sicherung auf jedem System einzeln eingerichtet und kontrolliert werden muss.
Damit reichen oft sogenannte „Personal Backup“ Lösungen. Business-Lösungen sind teurer, bieten aber auch mehr.
Es gibt viele Lösungen am Markt, welche Sie mit folgenden Suchbegriffen finden können:
- Cloud Backup
- Online Backup
- Personal Backup
Für ein Backup unpassende Lösungen sind sog. Cloud-Storage-Produkte (z.B. Dropbox, Google Drive, OneDrive). Diese Lösungen synchronisieren nur die aktuelle Version einer Datei auf den Cloud-Server, womit eine Rücksicherung einer älteren Version der Datei nicht möglich ist.
Denken Sie dabei an Crypto-Trojaner, welche alle Daten auf dem PC verschlüsseln. Durch die automatische Synchronisation werden die Daten auch auf der Cloud-Storage unbrauchbar gemacht.
Mittlere und großen IT-Umgebungen
Die Backup-Lösung sollte zentral verwaltbar sein. Damit kann Konfiguration und Überwachung des Backups an einer zentralen Stelle erfolgen.
Zur Reduktion des Aufwands und der Komplexität ist es sinnvoll, alle Backup-Aufgaben im Unternehmen mit einer Backup-Lösung abzudecken.
Die Implementierung eines lokalen Backup-Servers ist sinnvoll, da Sicherungen und Rücksicherungen damit schneller durchgeführt werden können. Der lokale Backup-Server sollte auch ein Cloud Backup ermöglichen (Replikation der Backups auf einen Server im Rechenzentrum). Am einfachsten nutzen Sie eine Backup-Appliance als lokalen Backup-Server.
Auch dazu gibt viele Lösungen am Markt, welche Sie mit diesen Suchbegriffen finden können:
- Cloud Backup
- Online Backup
- Business Backup
- Backup Appliance
Tipps zu Lösungen am Markt:
Commvault | Backup, Daten-Synchronisation auf Ersatzsystem für Desaster Recovery Wird z.B. von Amazon AWS verwendet, Metallic ist ein SaaS Angebot von Commvault |
Barracuda | Appliance und Software-Lösung |
Veeam Cloud Connect | Lokal wird eine Veeam Appliance installiert, welche alle Daten sammelt und dann über das Internet zum Backup-Server transferiert. Ein Anbieter mit Datenspeicherung in Österreich dazu ist Timewarp |
Server im Rechenzentrum
Wenn Sie ihre Server in einem Rechenzentrum haben, dann sollten Sie das Backup ihrem Cloud Service Anbieter klären. Die Anbieter haben typischerweise bereits Lösungen, welche Sie einfach (gegen zusätzliches Entgelt) mitnutzen können.
Wollen Sie die Sicherung in ein anderes Rechenzentrum transferieren wollen, dann müssen Sie das ebenfalls erst mit dem Cloud Service Anbieter klären.
Disaster Recovery
Für Disaster Recovery bietet sich die Nutzung von Cloud Computing Services an. Ihr Produktivsysteme können auf virtuelle Server in einer Private-Cloud kopiert und Änderungen laufend synchronisiert werden.
Es ist sinnvoll für Cloud Backup und Disaster Recovery denselben Anbieter/dasselbe Rechenzentrum zu nutzen, da das Ersatzsystem durch die Datenverfügbarkeit am selben Ort schneller einsatzbereit ist.
Kontrolle ist wichtig!
Die regelmäßige Kontrolle der Backups und der Funktion eines Ersatzsystems ist wichtig.
Wegen technischer Fehler könnte ein Backup nicht durchlaufen oder ein Konfigurationsfehler dazu führen, dass wichtige Daten nicht gesichert werden. Backup SW kann meistens automatisch Berichte per E-Mail für diese Kontrolle versenden.
Falls ein Ersatzsystem für Disaster Recovery implementiert ist, sollte einmal im Jahr testweise auf dieses System umgeschaltet werden. Planen Sie diesen Test:
- Abstimmung der Termine mit den relevanten IT-Dienstleistern
- Ankündigung des Tests bei den Benutzern (das Produktivsystem ist in dieser Zeit nicht verfügbar)
- Planung der Tests, welche zur Überprüfung es Ersatzsystems verwendet werden
- Versichern Sie sich, dass es mit dem Test zu keiner Beeinträchtigung des Produktivsystem oder gar Datenverlust kommt