5. November 2019

Alle elektronischen Kunden- und Unternehmensdaten müssen regelmäßig vor Verlust auf einem Datenträger gesichert werden

Die zunehmende Digitalisierung führt in den Unternehmen jeder Größenklasse zu Veränderungen in den Produktions- und Arbeitsprozessen. So findet ein Großteil der Kommunikation mit Kunden und anderen Unternehmen sowie auch mit den eigenen Mitarbeitern zunehmend digital statt. Die Einrichtung und Nutzung der dafür erforderlichen Systeme bedingt oft spezielles Fachwissen über Informationstechniken (IT), die aber oft in kleinen und mittleren Unternehmen nicht gegeben ist. Das birgt das Risiko, dass manche Sicherheitsgefahren nicht oder nur unzureichend erkannt werden. Dieser und weitere Artikel geben Auskunft über Grundanforderungen an die Basissicherheit in Unternehmen.

Die unternehmensspezifische Ausgestaltung der firmeneigenen Informationssicherheit ist von zahlreichen individuellen Gegebenheiten abhängig und kann nicht pauschal beantwortet werden. In Abhängigkeit von der Branche, Größe und Ausrichtung müssen gegebenenfalls weiterführende Schutzmaßnahmen umgesetzt werden. Die Aspekte der Basissicherheit müssen in jedem Fall Berücksichtigung finden, um ein Mindestmaß an Sicherheit zu gewährleisten.

Datensicherung
Daten, etwa Kunden-, Auftrags- oder Lieferantendaten, zählen heute zu den wichtigsten Gütern im Unternehmen. Sie ausreichend zu schützen, ist eine Überlebensfrage. Es gibt zahlreiche Studien, die deutlich machen, dass ein Verlust von Daten in der Wirtschaft zum Alltag gehört. Der Prozentsatz betroffener Unternehmen innerhalb eines Jahres liegt bei etwa 50 %. In schwerwiegenden Fällen kann dies zu einer Bedrohung der Existenz führen. Bedrohungen entstehen dabei u. a. durch Viren, Würmer und andere Schadsoftware, die unternehmensrelevante Daten vernichten können.
Mindestens genauso hoch ist das Risiko des Datenverlustes durch Ausfälle von Hard- und Software. Weitere Ursachen sind auch Cyber-Attacken und Naturkatastrophen. Wenn beispielsweise Daten zu Kunden, Aufträgen, Buchhaltung und Personal vernichtet werden, können kleine Unternehmen praktisch schon vor dem Aus stehen.
Auch das versehentliche Löschen eines elektronischen Dokuments kann die Arbeit von Tagen oder Wochen zerstören. Beispiele für empfindliche Datenverluste durch unabsichtliches Löschen einer zentralen Adressdatenbank, Vernichtung oder Verschlüsselung von bestimmten Dateien durch Schadsoftware, Verlust aller Daten durch einen Festplattenausfall oder gar ein Diebstahl eines Notebooks gibt es viele.
Der Lösungsansatz besteht schlichtweg in einer Sicherung der Daten. Mit einer gut funktionierenden Datensicherung, die auf Basis einer Analyse und Kategorisierung des Datenbestandes aufgebaut werden sollte, ist man für die genannten Bedrohungen bzw. Schadensfälle gut aufgestellt.
Die Notwendigkeit einer hinreichenden Datensicherung leitet sich aber nicht nur davon ab, dass die Daten für die Unternehmensprozesse und damit im Unternehmensalltag zur Verfügung stehen müssen. Dazu kommen zahlreiche rechtliche Rahmenbedingungen. Allein nach dem Handelsgesetzbuch (HGB) ist ein Unternehmer dazu verpflichtet, sein Unternehmen zu schützen bzw. abzusichern. Erfolgt also keine ausreichende Datensicherung, handelt der Unternehmer grob fahrlässig und kann persönlich haftbar gemacht werden.
Weiterhin gelten die gesetzlichen Aufbewahrungspflichten auch für digitale Dokumente. So müssen z. B. steuerlich relevante Daten (§ 147 AO) und geschäftliche E-Mails (§ 257 HGB) teilweise 6 bis 10 Jahre im Original aufbewahrt werden.

Was sollten Sie sichern?
Sie sollten auf jeden Fall die Daten sichern, die Sie selbst erzeugt haben. Dazu zählen die Daten, die Sie durch Anwendungsprogramme (z. B. Textverarbeitung, Tabellenkalkulation, Präsentation, E-Mail, Rechnungswesen, Konstruktion, Lager und Finanzen) erstellt oder die Sie im Rahmen Ihrer Geschäftsbeziehungen mit Ihren Kunden, z. B. Artikeldaten, Preisangaben, Informationen zu den Angeboten und zum Auftrag, erhalten haben.

Tipp: Datenbestand strukturieren
Organisieren Sie die zu sichernden Daten auf Ihren Rechnern in möglichst wenigen Ordnern in einer klaren Struktur. Sichern Sie diese Ordner komplett und definieren Sie die Zugriffsrechte. Schaffen Sie auch für die relevanten Daten aus dem Produktionsbereich eine transparente Struktur für eine effektive Datensicherung.

Wann sollten Sie sichern?
Wie oft Sie Ihre Daten sichern, hängt davon ab, welche Risiken Sie in Kauf nehmen wollen. Generell ist jedoch eine tägliche Sicherung empfehlenswert.

Tipp: Sicherungsintervalle festlegen
Bestimmen Sie in Ihrem Unternehmen einen Verantwortlichen für die Datensicherung. Wenn Sie täglich sichern wollen, legen Sie möglichst einen Zeitpunkt nach Feierabend fest.

Wie sollten Sie sichern?
Eine manuelle Sicherung ist immer mit einem gewissen Risiko verbunden: Die Sicherung wird vergessen, die Sicherung wird mit fehlerhaften oder wechselnden Einstellungen vorgenommen u. a. m. Daher sollte der Sicherungsvorgang idealerweise automatisiert werden. Für die Datensicherung gibt es professionelle Programme, die teilweise auch als freie Software zur Verfügung stehen.

Tipp: Sicherung automatisieren
Schon die vom Betriebssystem bereitgestellten Systemprogramme zur Datensicherung (Backup) genügen den Grundanforderungen in Bezug auf eine automatisierte Sicherung der Daten in kleinen und mittleren Unternehmen. Manche am Markt erhältliche Lösungen übernimmt die Sicherung automatisch.

Wohin sollten Sie die Daten sichern?
Grundsätzlich sind alle Medien geeignet, auf die sich Daten speichern lassen, z. B. CD/DVD, Magnetband, externe Festplatte, USB-Stick. Die Praxis hat jedoch gezeigt, dass aufgrund der Fehleranfälligkeit und der Kapazität einige Medien nur eingeschränkt zu empfehlen sind. Dazu zählen beispielsweise die CD/DVD oder der USB-Stick.
Mit Sicht auf die begrenzte Haltbarkeit von Datenträgern sollten diese regelmäßig getestet und vor Ablauf der zugesicherten Haltbarkeit ausgetauscht werden. Für die tägliche, automatische Sicherung sind insbesondere Magnetbänder oder Festplatten geeignet, welche z. B. auch in einem NAS-System (Network Attached Storage, Festplatte in einem Netzwerk) Verwendung finden.

Tipp: Das richtige Medium auswählen
Bei der Auswahl des Datenträgers sollte auch auf die Kapazität geachtet werden. Sie sollte so groß sein, dass mindestens eine Sicherung darauf Platz findet.

Tipp: Angebote von Onlinediensten prüfen
Die Datensicherung kann auch über verschiedene Anbieter im Internet online durchgeführt werden. Lassen Sie sich hierbei ausführlich von Experten beraten.

Wo sollten Sie die Sicherungsmedien aufbewahren?
Je nach Vertraulichkeit (z. B. personenbezogene Daten) und Wichtigkeit (z. B. für Betriebsprüfungen, Produktionsplanung und -steuerung) sollten Sie die Medien in einem verschließbaren Schrank oder Safe aufbewahren. Für einen zusätzlichen Schutz vor Feuer- oder Wasserschäden achten Sie bei der Auswahl auf eine entsprechende Schutzklasse.

Tipp: Den Aufbewahrungsort richtig wählen
Bewahren Sie zusätzlich eine Sicherungskopie an einem anderen sicheren Ort auf, z. B. in einem Bankschließfach.

Worauf sollten Sie besonders achten?
Bei automatisierter Sicherung sollten Sie prüfen, ob die Datensicherung auch tatsächlich erfolgt ist und ob sie vollständig war. Ihre IT-Infrastruktur kann sich im Lauf der Zeit verändern (neue Software, neue Hardware), daher sollten Sie die Datensicherung entsprechend anpassen.

Tipp: Sicherungsprotokolle einsehen
Sicherungsprogramme erstellen in der Regel ein Protokoll, aus dem Sie ersehen können, was und wann gesichert wurde. Achten Sie hier insbesondere auf Fehlerhinweise.

Tipp: Daten prüfen und wieder herstellen
Prüfen Sie, ob sich Ihre Daten auch zurücksichern lassen. Schulen Sie hier entsprechend das Personal.

Tipp: Konzept der Datensicherung fortschreiben
Prüfen Sie bei Neuanschaffungen oder Änderungen in der IT-Infrastruktur, ob die Datensicherung angepasst werden muss. Beziehen Sie die im Produktionsbereich vorhandenen Daten immer mit ein.

Was ist keine Datensicherung?
Die Daten sind nicht ausreichend gesichert, wenn Sie diese einfach nur auf dieselbe Festplatte in ein anderes Verzeichnis kopieren oder auf eine andere interne Festplatte. Ebenso wenig reicht das Speichern von Daten auf einem Server oder der Einsatz von gespiegelten Festplatten (z. B. RAID-Systeme).

Tipp: Speichermedium nach Sicherung vom IT-System trennen
Das Speichermedium, auf das die Daten gesichert werden, sollten Sie nach einer erfolgten Datensicherung physikalisch von der vorhandenen IT-Infrastruktur trennen, z. B. Speicherband herausnehmen, USB-Stick sicher trennen und abziehen, Verbindung zur externen Festplatte trennen.

Autoren: Roland Hallau (Projektleiter), Andreas Neuenfels, Mike Wäsche vom Mittelstand 4.0 – Kompetenzzentrum Chemnitz, c/o tti Technologietransfer und Innovationsförderung Magdeburg GmbH

Checkliste Datensicherung

• Etablieren Sie einen verantwortlichen Mitarbeiter für die Durchführung der Sicherung.
• Benennen Sie eine Vertreterregelung, um sicherzustellen, dass dieser Prozess unterbrechungsfrei durchgeführt wird.
• Erstellen Sie eine Liste der wichtigsten Daten und Datenbanken und ermitteln Sie deren Speicherorte bzw. Strukturen.
• Überprüfen Sie die Liste in regelmäßigen Abständen auf Aktualität.
• Legen Sie hierfür einen Prozess fest und schulen Sie entsprechend das Personal.
• Die geheimen und/oder sensiblen Daten unbedingt verschlüsseln.
• Überprüfen Sie die Datensicherungen regelmäßig auf Funktion und Rückspielbarkeit.
• Testen Sie stichprobenartig die Datenrücksicherung.
• Dokumentieren Sie den Prozess der Datensicherung.
• Beim Arbeiten mit mobilen Datenträgern (Laptops) treffen Sie eine Regelung, wie deren Daten gesichert werden.
• Gewährleisten Sie eine sichere Aufbewahrung der Speichermedien, insbesondere als Schutz vor Diebstahl, unberechtigtem Zugriff und Schäden durch Feuer und Wasser.
• Im Störfall sollte eine automatisierte Warnmeldung an den verantwortlichen Mitarbeiter versendet werden.