Der Anstieg an Sicherheitsvorfällen aufgrund fehlender IT Sicherheit führte dazu, dass etwa ein Drittel der 2016 betroffenen Unternehmen einen Umsatzverlust von teilweise mehr als 20 Prozent verzeichneten. Darüber hinaus müssen die betroffenen Unternehmen mit einem Imageverlust rechnen. Dies geht aus dem Cyber-Security Report 2017 von Cisco hervor. Deshalb habe ich mich mit dem Thema Datensicherung als Präventionsmaßnahme beschäftigt und möchte Ihnen im Folgenden einige Tipps an die Hand geben, wie Sie Datensicherungskonzepte erstellen können. Die zentrale Rolle des Geschäftsführers in diesem Prozess möchte ich anhand eines Praxisbeispiels erläutern.
Warum ist ein Datensicherungskonzept notwendig?
Durch Manipulation (z.B. Hackerangriffe), technisches Versagen oder aber versehentliches Löschen können gespeicherte Daten unbrauchbar werden bzw. verloren gehen. Mit Hilfe einer Datensicherung wird der Datenbestand nicht nur gesichert, sondern es wird auch gewährleistet, dass der IT-Betrieb durch einen redundanten Datenbestand kurzfristig wiederaufgenommen werden kann. Das hat einen klaren Vorteil für Sie: je schneller Sie Ihren Betrieb wieder zum Laufen bringen können, desto weniger Umsatzverluste haben Sie.
Die Konzeption einer funktionstüchtigen und angemessenen Datensicherung ist allerdings sehr komplex und bedarf daher einer geordneten Vorgehensweise. Deshalb gebe ich Ihnen heute einige Tipps, wie Sie für Ihr IT System ein Datensicherungskonzept erstellen können und worauf Sie achten müssen.
Entwicklung eines Datensicherungskonzeptes
Grundsätzlich gibt es viele technische Möglichkeiten, eine Datensicherung durchzuführen. Dies ist unter anderem abhängig von folgenden Einflussfaktoren:
- IT System
- Datenvolumen
- Änderungsfrequenz der Daten
- Verfügbarkeitsanforderungen
Beim Datensicherungskonzept geht es nun darum, eine Lösung für einen einwandfreien organisatorischen und technischen Ablauf der Datensicherung unter Berücksichtigung aller relevanten Parameter zu finden. Gleichzeitig sollte die Lösung unter Kostengesichtspunkten wirtschaftlich vertretbar sein.
Bei der Entwicklung eines Datensicherungskonzeptes gilt es zunächst, die Einflussgrößen der IT Systeme und der damit realisierten IT-Anwendung zu bestimmen und nachvollziehbar zu dokumentieren. Im Anschluss wird die geeignete Verfahrensweise entwickelt und dokumentiert. Dabei ist zu beachten, dass unterschiedliche Daten auch unterschiedliche Datensicherungsfrequenzen benötigen. Pauschalaussagen wie „einmal täglich“ treffen damit nicht auf alle Arten von Daten zu. Zum Abschluss muss die Durchführung durch die Unternehmensleitung oder die Behörde angeordnet werden.
Wichtig: Die Rekonstruktion von Daten mit Hilfe von Datensicherungsbeständen muss regelmäßig, mindestens aber nach jeder Änderung des Datensicherungsverfahren, getestet werden. Dabei muss zumindest einmal nachgewiesen werden, dass eine vollständige Wiederherstellung der Daten (z.B. der Gesamtdatenbestand eines Servers) möglich ist.
Überprüfen Sie die Qualität Ihrer Datensicherung mit Hilfe dieses kostenfreien Ratgebers:
Praxisbeispiel: Geschäftsführer aufgepasst
Der BRANDMAUER IT Sicherheitscheck überprüft die Qualität Ihrer IT innerhalb von 48 Stunden. Unter anderem wird Ihr Unternehmen auch im Bereich Datensicherung unter die Lupe genommen. Eine Prüffrage ist z.B.:
„Werden alle unternehmensrelevanten Daten regelmäßig gesichert?“
Ich vermute, Sie würden diese Frage mit einem Ja beantworten. Aber woher wissen Sie, ob wirklich solche Daten gesichert wurden, die für Ihr Unternehmen relevant sind? Vermutlich hat Ihr Administrator oder IT-Dienstleister diese Frage nach dem „was soll gesichert werden und wie oft“ nach bestem Wissen selbst beantwortet und umgesetzt. Aber ist Ihr Administrator oder IT-Dienstleister tatsächlich in Ihre Geschäftsprozesse und ggf. auch Verträge involviert? Weiß er z.B., dass Ihr ERP System jede Stunde gesichert werden muss anstatt nur einmal am Tag? Hintergrund könnte sein, dass ein Datenverlust von acht Stunden nicht nachholbar ist und Sie dadurch mehrere 10.000€ verlieren. Oder aber es ergeben sich Vertragsstrafen, weil Sie die Ware nicht rechtzeitig ausliefern können.
Sie sehen: Es ist Ihre Aufgabe als Geschäftsführer, die Rahmenbedingungen für eine Datensicherung klar zu formulieren und an die entsprechenden IT-Verantwortlichen weiterzuleiten. Schließlich wissen Sie am besten, welche Daten wichtig sind, wie schnell die Daten rekonstruierbar sein müssen und vor allem was es Sie kostet, wenn das Unternehmen Daten verliert.
Fazit
Es gibt verschiedene Vorschriften und Gesetzesanforderungen an die IT. Unter anderem stehen Sie als Geschäftsführer in der persönlichen Haftung, wenn Sie Ihrer Pflicht eines ordentlichen Geschäftsmannes laut § 43 GmbHG nicht nachgekommen sind und daraus ein Schaden entstanden ist. Um diesem Schadensrisiko vorzubeugen, müssen Vorgaben für ein stimmiges Datensicherungskonzept aus der Geschäftsführung bzw. der Fachabteilung kommen. Denn: Ihr Administrator kann nur grob einschätzen, welche Daten in welchen Rhythmus gesichert werden müssen. Dabei liegt er im besten Fall goldrichtig mit seinem Konzept, aber im schlimmsten Fall müssen Sie mit hohen Umsatzverlusten rechnen, für die Sie evtl. sogar noch persönlich haften müssen.