Logo der activeMind AG

ISO 27002Kapitel 8.13 Sicherung von Informationen

Kapitel 8.13 der ISO 27002 behandelt einen der wichtigsten Prozesse eines Informationssicherheits-Managementsystems (ISMS): Die Anfertigung von Backups bzw. Sicherungskopien.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Worum geht es?

Auch die beste Vorsorge kann nicht verhindern, dass irgendwann doch mal etwas vorfällt und dann Umgebungen oder einzelne Bestandteile davon auf einen früheren Stand zurückgesetzt oder aber mit möglichst aktuellem Stand wiederhergestellt werden müssen. Unverzichtbar hierbei sind Sicherungskopien der relevanten Informationen, Software und Systeme bzw. Systemeinstellungen.

Ohne Backup kann ein System zwar wieder betriebsfähig gemacht werden – allerdings nur mit den Werkseinstellungen. Alle Änderungen und Produktivdaten wären gegebenenfalls verloren.

Was empfiehlt die ISO 27002?

Wie üblich ist zuerst einmal Nachdenken gefragt. Organisationen müssen insbesondere die folgenden Fragen beantworten:

  • Was muss gesichert werden?
  • Verändert sich der Stand dessen, was gesichert werden muss?
  • Falls ja, wann und wie häufig sind solche Änderungen?
  • Welchen Einfluss haben die Veränderungen auf den notwendigen Speicherplatz?
  • Wie lange darf die Sicherung dauern; wie lange ein Restore?

Die gewonnenen Erkenntnisse sollten in einer Richtlinie zur Datensicherung dokumentiert werden. Auf Basis der Erkenntnisse wäre dann ein Datensicherungsplan zu erstellen. Die in dessen Rahmen schlägt die ISO 27002 in Kapitel 8.13 vor, folgende Gesichtspunkte zu berücksichtigen:

  • Alle Datensicherungskopien müssen genau und vollständig aufgezeichnet werden. Ein Inventar muss notwendig und die Anzahl und der Aufbewahrungsort von Sicherungen muss jederzeit bekannt sein.
  • Die Prozesse zur Datensicherung müssen die geschäftlichen Anforderungen der Organisation widerspiegeln. Der Fokus muss auf der Absicherung der für die Organisation kritischen Prozesse liegen, ohne die unterstützenden Prozesse aus dem Auge zu verlieren. Diese Überlegungen haben insbesondere auch Auswirkungen auf die Häufigkeit und die Art von Datensicherungen.
    • So werden Datenbanken, in denen tagtäglich sehr viele produktive Änderungen erfolgen, gegebenenfalls auch (mindestens) täglich und möglicherweise sogar bei laufendem Betrieb wenigstens inkrementell bzw. differenziell gesichert werden müssen,
    • wogegen von der eher statischen Konfiguration einer Appliance ein Backup nach Arbeiten an der Konfiguration genügt.
    • Wie viele Generationen vorhanden sein sollten, also wie viele Schritte in die Vergangenheit möglich sind (Tage, Wochen, Monate oder gar Jahre), hängt ebenfalls von diesen Überlegungen ab.
  • Die Notwendigkeit, bestimmte Informationen nicht nur gemessen am eigenen Bedarf aufzubewahren, sondern aus rechtlichen Gründen für bestimmte Zeiten aufbewahren zu müssen, sollte ebenfalls berücksichtigt werden.
  • Gerade, wenn bestehende ältere Sicherungen durch eine neuere überschrieben werden sollen, ist es empfehlenswert, den zu sichernden Datenbestand vorher daraufhin zu überprüfen, dass er keine unbeabsichtigten Änderungen aufweist. Es wäre sehr schade, wenn eine vollständige bzw. korrekte Sicherung durch eine lückenhafte oder fehlerhafte überspielt würde.
  • Wichtig ist, dass die Sicherungsdaten angemessen geschützt sind und dies in zweierlei Hinsicht.
    • Erstens dürfen Datensicherungen nicht den gleichen Umweltgefahren ausgesetzt sein, wie die Originale. Es wäre fatal, wenn Server und Datensicherung gleichzeitig verbrennen. Gesicherte Daten sollten daher in ausreichender Entfernung, mindestens in einem anderen Brandabschnitt aufbewahrt werden. Allerdings darf die Entfernung bzw. Auslagerung auch nicht dazu führen, dass die Informationen nicht jederzeit zugänglich sind. Ein Datensicherungsträger im Bankschließfach ist sicherlich gut verwahrt, aber eben erst am nächsten Werktag wieder zu erreichen.
    • Zum anderen darf der Zugriff auf die gesicherten Informationen nicht dazu führen, dass auf diesem Umweg Zugriffsbeschränkungen umgangen werden und Personen plötzlich Einsicht in Vorgänge erhalten, die sie nicht sehen dürften. Vorgesehene Berechtigungsbeschränkungen müssen auch im Rahmen der Datensicherung gewahrt bleiben. Die angemessene Verschlüsselung der gesicherten Daten ist meist eine unverzichtbare Sicherheitsmaßnahme.
    • Im Zusammenhang mit diesem Stichwort sollte auch überlegt werden, ob neben einer Online-Sicherung nicht auch eine Offline-Sicherung sinnvoll ist. Offline-Sicherungen überstehen nämlich einen Verschlüsselungsangriff problemlos.
  • Jeder einzelne Datensicherungsvorgang sollte überwacht werden. Sollte er nicht wie vorgesehen und erfolgreich ablaufen, müssen dringend die Ursachen ermittelt und beseitigt werden.
  • Abschließend muss nicht nur darauf geachtet werden, dass alle Datensicherungsmedien noch vollzählig vorhanden sind. Es ist absolut essenziell, dass diese im Bedarfsfall auch noch funktionsfähig und lesbar sind. Neben der Beachtung von Haltbarkeitsangaben der Hersteller sind auch Wiederherstellungsübungen in angemessener Häufigkeit unverzichtbar. Solche Tests beugen auch anderen Überraschungen vor. Schwierigkeiten bei der exakten Reproduktion eines produktiv genutzten Systems sind leider nicht selten.
  • Ergänzend noch der Hinweis darauf, dass sämtliche geschilderten Überlegungen selbstverständlich auch bei der Nutzung von Cloud-Diensten anfallen. Soweit der Cloud Anbieter die Datensicherung gleich mit übernimmt, muss sichergestellt und überwacht werden, dass diese den Anforderungen der Organisation entspricht.

Fazit

Was für viele erst einmal einfach klingt, stellt bei genauerer Betrachtung doch häufiger eine größere Herausforderung dar. Die Etablierung eines dann auch im Detail richtigen Prozesses zur Datensicherung ist schwierig.

Auch bestehen in der Praxis häufig diverse Fehlvorstellungen. Nicht gerade selten wird auf Datensicherungen sogar bewusst verzichtet, etwa weil Verantwortliche der Meinung sind, dass es ausreichend wäre, Datenbestände während des Betriebs laufend zu spiegeln.

Daneben sind vielfach die durchaus vorhandenen Ansätze eines Datensicherungskonzepts bei näherem Hinsehen nicht ansatzweise zu Ende gedacht und dass Organisationen tatsächlich auch Übungen zur Wiederherstellung von Systemen unter realistischen Bedingungen durchführen, ist eher selten.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Bei einer durch die activeMind AG begleiteten Zertifizierung nach ISO 27001 erstellen unsere Experten eine Richtlinie zur Datensicherung und leiten daraus einen konkreten Datensicherungsplan ab. Zudem unterstützen wir mit Erfahrung und Tipps bei der praktischen Umsetzung.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.