Personenbezogene Daten sind vor Verlust und zufälliger Zerstörung zu schützen. Diese Aussage trifft den Kern der Verfügbarkeitskontrolle, um die es in unserem heutigen Teil der Reihe „TOM und der Datenschutz“ (Teil 1, 2, 3, 4, 5, 6) geht.

Eigentlich klingt das ganze banal. Wer möchte, dass Daten verloren gehen oder durch äußere Einflüsse beschädigt werden. Das für diese Banalität jedoch einiges getan werden muss und auch kann, soll im weiteren Verlauf aufzeigt werden.

Verfügbarkeit und Datenschutz – warum gehören sie zusammen?

Die Daten müssen da sein, wenn man sie braucht.

Das gilt für den Umgang mit firmeninternen Daten aber natürlich auch, wenn sie als Dienstleister für andere Kunden tätig sind bzw. Dienste von Externen in Anspruch nehmen. Interessant ist an dieser Stelle immer die Verfügbarkeitszusage des Dienstleisters. Ist diese in Prozent oder in Stunden angegeben? Auf welchen Zeitraum bezieht sich die Verfügbarkeitsangabe? Auf 24 Stunden an sieben Tagen die Woche, oder nur auf die Öffnungszeiten und wer legt diese fest?

Welche Schutzmaßnahmen kommen in Frage?

Um Daten ausreichend zu sichern sind folgende Dinge zu beachten:

  • Schutz vor Feuer, Wasser, Sabotage
  • Unterbrechungsfreie Stromversorgung und Überspannungsschutz
  • Sicherstellung einer funktionsfähigen Klimatisierung
  • Backupkonzept
  • Virenschutzkonzept
  • Diebstahlschutz
  • Notfallplan
  • Datenspiegelung (z.B. RAID)

Datenspeicherung/ Datensicherung/ Backup

Nun aber konkreter. Wie kann z.B. bei der Datenspeicherung die Verfügbarkeit gesichert werden? Zum einen kommen hier Redundanzen in Betracht. Das heißt, ganz wichtige Daten werden an verschiedenen Orten gespiegelt gespeichert. Etwa an verschiedenen Standorten (Brandabschnitten) einer Firma. Brennt es an einem Standort, sind die Daten immer noch am zweiten Standort erhalten. Natürlich sollten auch regelmäßig Datensicherungen sog. Backups durchgeführt werden. Hierbei ist auch darauf zu achten, dass von vornherein geregelt ist, wer verantwortlich ist und welche Daten bei der Wiederherstellung welche Priorität haben. Dazu ist eine Dokumentation unverzichtbar. Ebenso sollten Mitarbeiter geschult und getestet werden, ob aus einem Backup eine Wiederherstellung der Datensätze tatsächlich möglich ist. Denn ist der Datenträger schadhaft, hilft auch das beste Backup-Konzept nicht. Diese Aspekte sollten vertraglich genau definiert sein, wenn externe Dienstleister eingebunden sind.

Bei der Datensicherung wird zwischen drei Arten unterschieden, der

  • Volldatensicherung
    Bei der Volldatensicherung werden sämtliche zu sichernden Dateien zu einem bestimmten Zeitpunkt auf einen zusätzlichen Datenträger gespeichert. Dabei wird nicht beachtet, ob sich die Daten seit der letzten Sicherung verändert haben.
  • Differentielle Datensicherung
    Sicherung der Daten, die sich gegenüber der letzten Volldatensicherung geändert haben. Diese Sicherungsart erfordert mehr Speicherplatzbedarf als die inkrementelle Datensicherung, jedoch ist die Restaurierung auch einfacher und schneller.
  • Inkrementelle Datensicherung
    Sicherung der Daten, die sich gegenüber der letzten Datensicherung (Volldatensicherung oder inkrementelle Sicherung) geändert haben. Bei der Restaurierung dient die letzte Volldatensicherung als Grundlage, ergänzt um die in der Zwischenzeit geänderten Dateien aus den inkrementellen Sicherungen. Bei der Restaurierung müssen die Daten ggf. aus verschiedenen inkrementellen Sicherungen zusammengesucht werden.

Schadprogramme

Sind ausreichende Maßnahmen gegen die Gefahren aus Feuer, Wasser, Stromausfall etc. ergriffen worden, sollte ein Blick auf die Gefahr von Schadprogrammen gelegt werden. Schadprogramme nutzen Schwachstellen in Betriebssystemen oder Anwendungen wie z.B. Office-Programmpakete, Browser, Plug-Ins oder ähnliches aus. Das Ganze erfolgt immer unter Einbezug des Nutzers. Dieser installiert oder führt Schadprogramme aus. Abgesehen von Sabotagefällen geschieht dies allerdings unwissentlich! Unter den Schadprogrammen tauchen Viren, Würmer und Trojaner am häufigsten auf. Ein Virus ist ein Stück Computercode, das sich selbst an ein Programm oder eine Datei anhängt und so von Computer zu Computer verbreitet wird. Eigenständige Programme, die sich oft ohne das Zutun der Benutzer ausbreitet und vollständige Kopien von sich in Netzwerken verteilen, nennt man Würmer. Trojaner sind Computerprogramme, die wie eine nützliche Software aussehen, tatsächlich aber Schäden anrichten.

Doch wie gelangen diese Schadprogramme ins System? Wie oben bereits gesagt, ist der Nutzer unbeabsichtigt der Türöffner. Mögliche Infektionswege sind:

  • E-Mails
  • Webseiten
  • Wechselmedien
  • Programm-/App-Installation
  • Schadsoftware „ab Werk“

Was tun?

Nutzen Sie Virenscanner als Client und Server und sichern Sie Ihre Systeme mit einer Firewall ab. Halten Sie diese Schutzsysteme auf dem neuesten Stand: Updates einspielen! Aber auch Anwendungs-Programme wie Acrobat Reader, Flash etc. sollten automatisch auf den aktuellen Versionsstand geprüft und aktualisiert werden, um Fehler in der Programmierung zu beheben oder Schlupflöcher zu schließen.

Darüber hinaus sollten eingehende E-Mails auf kritische Inhalte, beispielsweise ausführbare Dateien (*.exe) geprüft und diese Dateien unter Quarantäne gestellt werden.