a11r - rant machine?

Ich kassiere mal wieder einen ganzen Schwung an einschlägigen Suchanfragen. Prinzipiell freut mich das ja :-) Nun denn, schreiben wir etwas zur Thematik "Datensicherungskonzepte"...

"Unter einer Datensicherung versteht man sowohl den Vorgang des Kopierens der in einem Computersystem vorhandenen Daten auf ein Speichermedium (das im allgemeinen transportabel ist) mit dem Ziel, diese dauerhaft (aber nicht unbegrenzt) aufzubewahren, als auch das Ergebnis - die auf dem Speichermedium gesicherten Daten." (http://de.wikipedia.org/wiki/Datensicherung)

Ich sehe ein Datensicherungskonzept als schriftlich dokumentierte Form der Datensicherungsstrategie, in welcher ich darlege, was ich sichern möchte und weshalb, nach welchem Verfahren vorgegangen werden soll und wie lang die Aufbewahrungsfristen sein sollen. Natürlich sind auch Ansprechpartner und Verantwortliche zu nennen, sowie ein sicherer Lagerort für die Sicherungsmedien zu definieren.

Dies ist...

...meiner Auffassung nach der absolute Kern.

Jener existiert auch in so ziemlich allen Firmen, die mir bis dato begegnet sind, wenngleich oftmals auch nur in Form mündlicher Absprachen und eingeschliffener Prozeduren. Dies einmal schriftlich niederzulegen kostet kaum Zeit, wird aber leider bei kleinen Firmen trotzdem kaum gemacht. Wieso eigentlich muss man sich fragen... denn das oben genannte bekommt man i.A. auf zwei DIN A4-Seiten untergebracht und wird wohl kaum mehr als eine Stunde dauern.

Auf diesem Kernkonzept aufbauend hat man nun bespielte Sicherungsmedien geeigneter Fassungsgröße (DVDs, Magnetbänder,...), sollte nun aber auch klären, wie im eher gleich als irgendwann auftretenden Fall des Falles auf die Daten wieder zugegriffen werden kann. Schließlich macht Wegsichern ohne Wiederherstellungsfähigkeit keinen Sinn.

Daher sollte nun definiert werden, in welchem abständen Tests und Übungen zur Wiederherstellungsfähigkeit zu erfolgen haben. Dabei ist sowohl auf die Funktionsfähigkeit des Mediums zu achten (monatelanges sichern auf ein kaputtes Band und Konkurs nach Totaldatenverlust ist nicht als Urban Legend zu betrachten), als auch die gezielte Wiederherstellung von einzelnen Dateien wie die Totalrekonstruktion eines Gesamtsystems zu üben.

Es empfiehlt sich übrigens sehr, diese Schritte ausführlich zu dokumentieren, damit im stressigen Notfall nicht ein Unbedarfter sich mühselig und fehlerträchtig durch ihm unbekannte Dialoge hangeln muss. Bei so was geht dann nämlich schnell auch mal die Datensicherung hopps. Die so resultierende Arbeitsanweisung gehört regelmäßig (bspw. jährlich, aber auch bei Wechseln der Datensicherungssoftware [Produktmigration, Versionsupdate]) auf Änderungen in den Arbeitsschritten geprüft und ein Ausdruck gehört mit zu den Medien in die Ablage, sollte aber auch an weiteren Stellen im Unternehmen verfügbar sein.

Stichwort Lagerung von Sicherungsmedien: gleich bleibende Umgebungsverhältnisse, physische Zugriffssicherung und externe Lokation sind Muss. Das klassische Bankschließfach ist hierbei ungeschlagen. Im Gegensatz zum feuerfesten Lampertz-Safe im eigenen Gebäudekeller kommt man hier auch noch nach einem Gebäudebrand zügig heran – der Zutritt zum Haus wird einem nahezu garantiert durch die Feuerwehr für eine ganze Weile verwehrt. (Einsturzgefahr, Brandursacheermittlung, etc.)

Vergleichbares erhält man auch, wenn man sich an der Maßnahme "M 6.33 Entwicklung eines Datensicherungskonzepts" aus dem IT-Grundschutzhandbuch des BSI orientiert.


Sobald man mit diesem Grundkonzept durch ist, wird man mit Garantie über den Fragenkomplex des „Welche Daten muss ich sichern, weshalb – und für wie lange?“ gestolpert sein. HGB § 257 „Aufbewahrung von Unterlagen, Aufbewahrungsfristen“ ist da ziemlich eindeutig:

(1) Jeder Kaufmann ist verpflichtet, die folgenden Unterlagen geordnet aufzubewahren:
1. Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse nach § 325 Abs. 2a, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen,
2. die empfangenen Handelsbriefe,
3. Wiedergaben der abgesandten Handelsbriefe,
4. Belege für Buchungen in den von ihm nach § 238 Abs. 1 zu führenden Büchern (Buchungsbelege).

(2) Handelsbriefe sind nur Schriftstücke, die ein Handelsgeschäft betreffen.

Abgesehen von Bilanzen und Abschlüssen, welche in Papierform existieren müssen, können die verbleibenden Dokumente "auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten (...) mit den empfangenen Handelsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden" (§ 325 Abs. 3).

Interessant ist hierbei folgender Textabschnitt:

(4) Die in Absatz 1 Nr. 1 und 4 aufgeführten Unterlagen sind zehn Jahre, die sonstigen in Absatz 1 aufgeführten Unterlagen sechs Jahre aufzubewahren.

Ergo sollte man davon ausgehen, dass man nahezu seine gesamte Dateiarchivierung auf entsprechende Fristen auszulegen hat (da Handelsbriefe an sich nichts anderes als schriftlich geführte Geschäftskommunikation sind, hat man hiermit auch Emails am Hals...).

Und somit zum nächsten Problemfall – die Zeiträume. Jeff Rothenberg schrieb bereits 1995 (mit Update 1999) in seinem Paper "Ensuring the Longevity of Digital Information" über die Probleme, die man mit alternden Medien, neuen Datenformaten und inkompatiblen Softwarewechseln erleben kann.

Man wird also spätestens an dieser Stelle notwendigerweise vom einfachen Datensicherungskonzept zu einem richtigen Prozess und entsprechendem Management gelangen müssen, in welchem auf regelmäßiger Basis die aktuellen Kapazitäten überprüft, entsprechende Anschaffungen geplant sowie Migrationen von Daten auf neue Medien und ggf. in neue Formate durchgeführt werden.

Dies ist auch die Grenze zum ausgewachsenen "Business Continuity Management"... an dieser Stelle fallen dann auch die weiteren Buzzword-Bingo-Begriffe wie "Notfallvorsorge", "Disaster Recovery", "Kontinuitäts- und Notfallmanagement", etc.
Ziel ist es, ein angemessenes Management der Geschäftskapazitäten in Hinblick auf mögliche Risiken für Wertobjekte, Aus-/Vorfälle und schnellstmögliche Wiederherstellung des normalen Geschäftsbetriebes zu etablieren und permanent effektiv zu betreiben.

Erfreulicherweise ist hier mit dem BS 25999 (dem ehemaligen PAS 56) ein Standard in Entwicklung, der einem an dieser Stelle hilfreich zur Seite steht, und das resultierende "Business Continuity Management System (BCMS)" sogar hin zur Zertifizierungsfähigkeit führt. Zu diesem habe ich vor einiger Zeit schon mal diverses geschrieben.

Falls dieser Text jemandem half – freue ich mich sehr über einen Kommentar.
Sollte jemand der Auffassung sein, ich hätte etwas vergessen oder totalen Bockmist verzapft – erst recht einen Hinweis ;-)
Und sollte jemand Beratungsbedarf bei sich sehen – ich wir helfen Ihnen gerne.