Backup & Disaster Recovery: mehr Datensicherheit in der Cloud
12
.
09
.
2023
16
min Lesezeit
Ob Ausfälle in der Geschäftskontinuität, finanzielle Verluste oder abwandernde Kunden – die Folgen von Cyberangriffen oder anderweitig verursachten Datenverlusten können für Unternehmen verheerend sein. Eine zentrale Rolle im Schutz vor solchen Datenverlusten nehmen deshalb Backup und Disaster Recovery ein: Wie können Daten zuverlässig gesichert werden und wie können diese Daten und die Systeme des Unternehmens im Ernstfall zeitnah wiederhergestellt werden? Dieser Artikel gibt Antworten auf grundlegende Fragen rund um die Planung und Durchführung von Backups sowie die Disaster Recovery Planung.
Grundlagen rund um das Thema Datensicherung
Während die beiden Begriffe Backup und Datensicherung synonym verwendet werden können, gibt es zur häufig im gleichen Zug genannten Archivierung einen zentralen Unterschied. Bei der Archivierung handelt es sich um die langfristige Datenaufbewahrung, die die Einhaltung der Compliance und Datenspeicherungsanforderungen absichern soll. Bei einem Backup hingegen handelt es sich um eine Datenkopie, die im Falle eines Datenverlusts zur Wiederherstellung verwendet werden kann. Dabei sind Backups zur Erfüllung der DSGVO zwingend erforderlich, da die DSGVO technische und organisatorische Maßnahmen erfordert, die den Schutz personenbezogener Daten garantieren, ebenso wie die Verfügbarkeit dieser Daten, was wiederum die Wiederherstellungsfähigkeit der Daten beinhaltet.
Dabei gibt es drei unterschiedliche Typen von Backups:
- Bei einem vollständigen Backup wird eine Sicherheitskopie aller Daten in der Cloud, auf einem externen Server oder einem alternativen externen Speichermedium wie NAS, Bandlaufwerken oder Festplatten angelegt. Wichtig sind dabei immer entsprechende Redundanzen.
- In einem inkrementellen Backup werden lediglich die Daten gespeichert, die sich seit dem letzten Backup (ob vollständig, inkrementell oder differenziell) geändert haben. Dadurch benötigt es deutlich weniger Speicherkapazität und Zeit.
- Differenzielle Backups speichern die Daten, die sich seit dem letzten vollständigen Backup geändert haben.
Die Wahl der passenden Backup Strategie und Lösung: so funktioniert‘s
Zuverlässige Backups gehen mit einem durchdachten Konzept einher, das auf den individuellen Anforderungen und Zielen eines Unternehmens basiert und Teil der IT-Sicherheitsstrategie ist. Diese Strategie setzt statt auf lokale On-Site Backups immer häufiger auf Backups in der Cloud. Dafür gibt es mehrere Gründe:
- Cloud Lösungen sind besonders skalierbar. Steigen die Datenmengen, die gesichert werden müssen, können die Cloud Spaces flexibel erweitert werden.
- Durch die Sicherung in der Cloud wird die DSGVO-Anforderung an die Aufbewahrung und Sicherung der Daten außerhalb der Geschäftsräume automatisch erfüllt.
- Unternehmen benötigen keine eigene Hardware oder Speichermedien zur Speicherung der Backups, was wiederum Kosten spart.
- Da Cloud Backups in der Regel in großen Rechenzentren gespeichert werden, gibt es dort entsprechend hohe physische Sicherheitsstandards, etwa bezüglich Brandschutz oder Zugangskontrollen.
- Cloudbasierte Backup Lösungen ermöglichen eine unkomplizierte Automatisierung und Validierung der Datensicherungen.
- Ein Cloud Backup ermöglicht Disaster Recovery nach dem modernsten Standard, um potenzielle Ausfallzeiten noch weiter zu reduzieren und die Geschäftskontinuität zu erhöhen. Unternehmen wie Acronis fokussieren sich inzwischen auf die Entwicklung cloudbasierter Lösungen.
Auswahl der richtigen Backup Software
Wie finden Unternehmen jetzt aber die Backup Lösung, die zu ihren Anforderungen passt – ob cloudbasiert oder lokal? Es gibt einige Faktoren, die die Entscheidung erleichtern können.
- Kompatibilität: In einer Backup Lösung müssen die individuell benötigten Workloads Ihres Unternehmens gesichert werden können. Das können beispielsweise Betriebssysteme, virtuelle Maschinen, Datenbanken oder Cloud Applikationen sein. Zu Beginn steht also die Frage: Welche Workloads gibt es, welche müssen gesichert werden und welche Lösung bietet das?
- Funktionen: Welche technischen Anforderungen haben Sie an eine Backup Lösung? Teils gibt es unterschiedliche Funktionen in Bezug auf Automatisierung, Konfiguration der Backups, Wahl des Speicherorts und Verschlüsselung.
- Optionen zur Automatisierung: Damit Backups nicht vergessen werden können, setzen immer mehr Unternehmen auf ihre Automatisierung. Welche Wünsche haben Sie an Möglichkeiten zur Zeitplanung und Frequenz der Backups? Auch die Validierung der durchgeführten Backups kann in vielen Lösungen inzwischen automatisiert werden. Das sorgt für Sicherheit bei diesem wichtigen Schritt.
- Sicherheit: Welche Sicherheitsfeatures wünschen Sie sich von der Backup Lösung? Verschlüsselung der gesicherten Daten und Zwei-Faktor-Authentifizierung für die Anmeldung zum Backup Dienst gelten als wichtige Standards.
- Performance: Je größer die gesicherten Datenmengen sind, desto besser sollte die Performance der Backup Lösung sein. Hier gibt es bei unterschiedlichen Anbietern sowohl in Hinblick auf Up- und Downloadgeschwindigkeit als auch auf die CPU-Auslastung einige Unterschiede. Zusätzlich zur häufig angegebenen Performance der Anwendung selbst sollten natürlich auch die Rechenzentren selbst über eine schnelle Internetanbindung verfügen – diese ist aber meist durch Glasfaser automatisch gegeben.
- Support: Arbeiten Sie bereits mit einem IT-Dienstleister zusammen oder kann es vorkommen, dass Sie Support durch den Anbieter der Software benötigen? Schauen Sie sich gegebenenfalls den Hilfebereich der Anbieter an. Weiter spielt auch die Kompetenz in der Wiederherstellung eine Rolle: Während die granulare Recovery eigenständig durchgeführt werden kann, sollte besonders die Disaster Recovery immer von qualifiziertem Personal durchgeführt werden.
Disaster Recovery: Systeme sichern und wiederherstellen
Während es sich bei einem Backup um die Sicherung der Unternehmensdaten handelt, fokussiert das Thema Disaster Recovery sich auf ganze Systeme, die gesichert und im Ernstfall schnell verfügbar gemacht werden können. Ob durch einen Cyberangriff, einen technischen Ausfall, höhere Gewalt oder menschliches Fehlverhalten – Disaster Recovery ist dazu da, Systeme in einem möglichst kurzen Zeitraum wieder einsatzbereit zu machen. Statt wie in der einfachen Backup Recovery ausschließlich die Daten wiederherzustellen, werden Systeme wie Unternehmensserver beispielsweise als Notfallsystem in der Cloud des Disaster Recovery Dienstleisters mit dem letzten Backup-Stand gestartet. So können Mitarbeiter oft innerhalb weniger Minuten wieder mit den kritischen Systemen arbeiten, während das beschädigte System repariert wird. Ziel von Disaster Recovery ist es, die Geschäftskontinuität zu gewährleisten und die Ausfallzeit im Unternehmen so gering wie möglich zu halten.
Dabei bildet diese Vorgehensweise eine effektive, aber kostengünstigere Alternative zu Hochverfügbarkeitslösungen, bei denen es sich um eine dauerhafte Sicherung der Systeme beispielsweise auf einem zweiten, identischen Server handelt. Setzen Unternehmen statt auf Hochverfügbarkeitslösungen auf Disaster Recovery in der Cloud, können diese redundanten Systeme virtuell abgebildet werden. Das ist sowohl für kleine und mittlere Unternehmen als auch für Konzerne oft finanziell rentabler.
Grundsätzlich haben Unternehmen auch beim Thema Disaster Recovery die Wahl zwischen cloudbasierten und lokalen Lösungen. Ob es sich bei den betreffenden IT-Systemen um Cloud oder On-Premise Infrastrukturen handelt – cloudbasiertes Disaster Recovery, beispielsweise mit Acronis Cyber Protect Cloud, bringt für Unternehmen mehrere Vorteile mit sich:
- Bei cloudbasierter Disaster Recovery werden alle nötigen Ressourcen direkt durch den Anbieter verwaltet, gemanagt und gewartet – sämtliche Technik wird also ausgelagert und befindet sich außerhalb der Verantwortung des Unternehmens.
- Unternehmen müssen keine teure Hardware beschaffen und warten, sie benötigen nur minimales Personal für das Disaster Recovery Management. Dadurch sparen sie Kosten und profitieren zeitgleich von der Skalierbarkeit der Cloud Lösung.
- Die Sicherheitsstandards sowohl durch die Software selbst als auch durch physische Sicherheitsaspekte wie Brandschutz und Einbruchsschutz sind besonders hoch.
- Die virtuellen Maschinen des DR-Anbieters verfügen jederzeit über das letzte aktuelle Backup und sind für den Notfall vorkonfiguriert. Das sorgt für eine schnelle Startfähigkeit der Systeme.
- Da die Systeme in der Cloud Recovery Site gesichert werden, sind sie völlig unabhängig vom On-Premise-Standort des Unternehmens und damit bei Notfällen wie Hochwasser, Brand oder Einbruch nicht betroffen.
Erstellung eines Disaster Recovery Plans: was passiert im Ernstfall?
Bei einem Disaster Recovery Plan handelt es sich um ein formales Dokument, das das Vorgehen bei Ausfällen der IT-Systeme festlegt. In diesem Plan finden sich Strategien zur Minimierung der Auswirkungen, sodass die Geschäftskontinuität gewährleistet werden kann. Dieses Notfallmanagement ist der Guide für den Ernstfall. In dem Moment, in dem ein Ausfall besteht, beantwortet dieser Guide zentrale Fragen zum Vorgehen:
- Wie ist der Ablauf bei einem Ausfall?
Was sind die kritischen IT-Systeme, an welcher Stelle soll der Aktionsplan ansetzen? Hierzu zählt eine detaillierte Beschreibung aller nötigen Handlungsschritte inklusive der Software oder Systeme, die dafür eingesetzt werden.
- Wie können Systeme und Daten wiederhergestellt werden?
Wichtige Basis bilden an dieser Stelle natürlich validierte Backups. Alternativ oder zusätzlich dazu gibt es jedoch noch weitere Strategien für die Wiederherstellung, wie etwa die Verlagerung des Computing eines Unternehmens in die Cloud Infrastruktur des Disaster Recovery Dienstleisters mittels virtueller Maschinen. Im Zuge eines Disaster-Recovery-as-a-Service-Plans können Unternehmen ihren Geschäftsbetrieb so nahtlos fortsetzen.
- Wer ist für welchen Bereich verantwortlich?
Hier benötigt es eine detaillierte Kontaktliste mit Verantwortlichen bzw. einem Notfallteam, um die reibungslose Kommunikation im Ernstfall sicherzustellen. Durch die klaren Kommunikationsschnittstellen und Verantwortlichkeiten agiert das Unternehmen nicht kopflos. Bei diesem Team kann es sich sowohl um interne Mitarbeiter als auch externe Dienstleister handeln.
Wie hoch dürfen die Ausfallzeiten sein?
Es gilt, drei wichtige Kennzahlen zu definieren:
- Die Recovery Time Objective beschreibt den Zeitraum, in dem das System nach einer Störung wiederhergestellt sein muss.
- Der Recovery Point Objective beschreibt den Zeitraum zwischen dem letzten zugreifbaren Stand der Daten und dem Schadenseintritt. Hieran orientieren sich die Intervalle zwischen Backups.
- Bei der Recovery Time Actual handelt es sich nicht um eine Soll-Kennzahl, sondern um die Ist-Zeit bei einem tatsächlichen Vorfall. Wie lange hat es gedauert, bis tatsächlich die Daten wiederhergestellt waren und das System wieder zugänglich war?
Best Practices für Datensicherung und Disaster Recovery
Damit Backups erfolgreich in die IT-Sicherheitsstrategie eines Unternehmens eingeführt und Systeme im Ernstfall zeitnah wiederhergestellt werden können, gilt es, einige Punkte zu beachten. Diese Best Practices helfen bei der Umsetzung.
Klassifizierung nach kritischen Daten
Je höher die Datenmengen sind, die gesichert werden sollen, desto höher ist auch der spätere Zeitaufwand für die Wiederherstellung im Ernstfall. Um die Geschäftskontinuität zu gewährleisten und so schnell wie möglich wieder arbeiten zu können, ist eine Klassifizierung der Daten bereits vor dem ersten Backup sinnvoll: Welche Daten sind kritisch für den Geschäftsalltag? Welche Daten sind besonders sensibel, sodass ein Verlust oder das Stehlen dieser Daten geschäftsschädigende Folgen haben kann? Diese Daten gilt es, besonders zu sichern und als entsprechend relevant im DR-Plan zu vermerken.
Sicherung von Microsoft 365 Workloads
Arbeiten Unternehmen mit Microsoft 365, verlassen sie sich häufig auf die Backups von Microsoft selbst. Wichtig ist jedoch: Microsoft verspricht in seinen Nutzungsbedingungen zwar die Sicherung der bezogenen Dienste, jedoch nicht der zugehörigen Daten. Im Klartext: Microsoft sichert keine Benutzerdaten. Das bedeutet, dass Workloads aus OneDrive, SharePoint, Exchange Online und Teams gesondert vom Unternehmen selbst gesichert werden müssen. Ohne Backup ist für diese Workloads andernfalls keine Recovery möglich.
Validierung der Backups
Ein Backup schützt nur dann vor Datenverlusten und geschäftsschädigenden Folgen, wenn es funktionsfähig und vollständig wieder aufgespielt werden kann. Nach durchgeführtem Backup steht also noch ein zentraler Schritt an: die Validierung. Jedes Backup sollte auf seine Startfähigkeit getestet werden, um sicherzustellen, dass es im Ernstfall tatsächlich verwendet werden kann, um alle Daten wiederherzustellen. Auch der Notfallplan in der DR-Strategie sollte regelmäßig simuliert werden, um eine schnelle Zugänglichkeit der Notfallsysteme abzusichern.
Regelmäßige Überprüfung und Überwachung
Sowohl die Backup als auch die Disaster Recovery Strategie sollte regelmäßig überprüft werden. Entsprechen die Ziele noch den aktuellen Anforderungen im Unternehmen? Ist der aktuelle Plan überhaupt umsetzbar? Vor allem der DR-Plan sollte in der Praxis getestet und bei Bedarf aktualisiert werden.
Zusammenarbeit mit Experten
Geht es um die Wiederherstellung und Sicherung von Daten und Systemen, sind Fehler noch verheerender als in anderen Bereichen. Fehlt es an Kapazitäten oder Fachkenntnissen für diesen Bereich, bietet sich immer die Partnerschaft mit IT-Dienstleistern an. Ob als Dienstleister für Managed Backups, Provider des Disaster-Recovery-as-a-Service-Plans oder einfach nur als Ansprechpartner und Notfallkontakt für den Ernstfall – mit Experten an der Seite fühlen sich viele Unternehmen sicherer.
Fazit: Backup und Disaster Recovery als zentraler Bestandteil der IT Sicherheitsstrategie
Backup und Disaster Recovery greifen sowohl organisatorisch als auch technisch eng ineinander. Für erfolgreiches Disaster Recovery sind zuverlässige und validierte Backups der Systeme eine unumgängliche Grundlage. Weiter werden Backups zwar auch für die klassische Backup Recovery der Daten benötigt – ergänzend empfiehlt sich jedoch eine Disaster Recovery Strategie, mit der Systeme nach kurzer Zeit beispielsweise über virtuelle Maschinen des DR-Anbieters wieder verfügbar gemacht werden können. So können Mitarbeiter auf dem Notfallsystem weiterarbeiten, sodass die Geschäftskontinuität gesichert ist. Für den besten Schutz sollten sowohl Backup als auch Disaster Recovery in eine Cyber Protect Lösung integriert sein. So können Prozesse ineinandergreifen: Backups werden beispielsweise in Lösungen wie Acronis Cyber Protect Cloud vor ihrer Wiederherstellung auf Malware geprüft, während die Verschlüsselung von Daten zu einer automatischen Recovery führt. So entsteht ein ganzheitlicher Schutz für die IT in Unternehmen.