Zum Inhalt springen Zur Navigation springen
Mindestanforderung an ein Backup-Konzept als TOM laut HBDI

Mindestanforderung an ein Backup-Konzept als TOM laut HBDI

Artikel von Ellen Werner·5. Februar 2024

Die Gewährleistung der raschen Wiederherstellbarkeit von Daten wird vor dem Hintergrund von Ransomware-Angriffen immer brisanter. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Prof. Dr. Alexander Roßnagel, hat sich in seinen 51. Tätigkeitsbericht darüber geäußert, wo aus seiner Sicht in diesem Bereich die häufigsten Fehlerquellen liegen und Mindestanforderungen an ein Backup-Konzept definiert (Tätigkeitsbericht HBDI, S. 281-287). Diese Erkenntnisse können sowohl bei der Überprüfung des eigenen Backup-Konzepts als auch bei der Dienstleisterkontrolle in diesem Punkt nutzbar gemacht werden.

Wiederherstellung der Verfügbarkeit personenbezogener Daten

In der DSGVO wird festgelegt, dass personenbezogene Daten vor Verlust, Zerstörung oder Beschädigung geschützt werden müssen, Art. 5 Abs. 1 lit. f) DSGVO. Auch in der Informationssicherheit ist die Verfügbarkeit eins der drei wesentlichen Schutzziele, auch genannt CIA-Triade (Confidentiality, Integrity und Availability). Dort wird unter dem Stichwort Verfügbarkeit die Garantie verstanden, dass Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzte oder auch Informationen von den Anwendern stets wie vorgesehen genutzt werden können. In der DSGVO wird der Begriff der Verfügbarkeit nicht ganz so weit verstanden, hier geht es im Wesentlichen um den Schutz der natürlichen Person, auf ihre Daten zugreifen zu können. Auffällig am Wortlaut von Art. 32 Abs. 1 lit.c DSGVO ist auch, dass ein Schwerpunkt auf die Wiederherstellbarkeit gelegt wird. Dadurch wird den Unternehmen entgegengekommen, denn die Gewährleistung einer 100%igen Verfügbarkeit rund um die Uhr wäre mit sehr hohen Kosten verbunden. Für genauere Anhaltspunkte zur Dienstleister Auswahl im IT-Bereich und den Begriff der Hochverfügbarkeit lesen Sie unseren Fachbeitrag zu dem IT-Schutzziel der Verfügbarkeit.

HBDI: Praktische Mindestanforderungen an ein Backup-Konzept

Im Art. 32 Abs. 1 lit. c und d DSGVO wird festgelegt, dass die Daten rasch wiederherstellbar sein müssen und dass technische und organisatorische Maßnahmen (wie ein Backup) regelmäßig auf ihre Wirksamkeit hin überprüft werden müssen. Doch welche datenschutzrechtlichen Anforderungen ergeben sich aus Sicht einer Behörde noch an ein Backup-Konzept, dass die Verfügbarkeit gewährleisten soll? Der HBDI hat sich hierzu in seinem 51. Tätigkeitsbericht geäußert (Tätigkeitsbericht HBDI, S. 284). Er spricht von Anforderungen an Backup-Konzepte, die „in jedem Fall zu berücksichtigen“ sind (Tätigkeitsbericht HBDI, S. 281).

Unter der Überschrift „Praktische Mindestanforderungen an ein Backup-Konzept“ wird auf den BSI-IT-Grundschutzbaustein „CON.3 Datensicherungskonzept“ aus dem IT-Grundschutzkompendium des BSI eingegangen. Auf insgesamt 8 Seiten werden hier konkrete Umsetzungshinweise gegeben. Es wird auf die Datensicherung (Backup) und die Datenwiederherstellung (Restore) eingegangen.

Unter Punkt 3.1. des Bausteinteils Basis-Anforderungen werden folgende Punkte genannt:

  1. Abstimmung über die konkreten Rahmenbedingungen der Datensicherung,
  2. Festgelegte Verfahrensweisen für die Datensicherung,
  3. Datensicherungspläne auf Basis der festgelegten Verfahrensweisen,
  4. Erstellung regelmäßiger Datensicherungen,
  5. Sichere Aufbewahrung der Speichermedien,
  6. Schutz der Datensicherungen vor unbefugtem Zugriff und
  7. Regelmäßiges Testen der Datensicherungen.

Erforderlich ist regelmäßiges Testen der Datensicherungen

Betont wird dabei vom HBDI, dass man den rechtlichen Anforderungen nur dann genügen kann, wenn auch in der praktischen Anwendung sichergestellt wird, dass Backups erfolgreich durchgeführt werden und dass die Daten aus Backups so schnell wie erforderlich wieder hergestellt werden können. Er legt damit besonderen Wert auf den 7. Punkt der Basis-Anforderungen, das regelmäßige Testen der Datensicherungen (Tätigkeitsbericht HBDI, S. 285). Eine Checkliste, derer Maßnahmen, an die im Bereich Verfügbarkeit regelmäßig zu denken sein wird, bietet auch der BayLDA auf seiner Homepage (Good Practice bei technischen und organisatorischen Maßnahmen, Abschnitt 14).

Diese Fehler sind bei Backups zu vermeiden

Angelehnt an die ihm bekannten Fehler aus der Praxis geht der HBDI darauf ein, was unbedingt zu vermeiden ist (Tätigkeitsbericht HBDI, S. 282-283).

Abhängigkeit von einem zentralen Server

In seiner aufsichtsbehördlichen Praxis begegnete der HBDI einem kleinen Unternehmen, dass seine Datenverarbeitungen und auch das Backup der Daten vollständig auf einem zentralen Server durchgeführt hat. Durch einen Ransomware-Angriff wurden sämtliche Daten verschlüsselt und unbrauchbar gemacht. Bei der Wiederherstellung musste auf Papierdokumente zurückgegriffen werden. Weil nicht alle Daten analog vorhanden waren, ging dabei ein Teil der Daten verloren.

Die Einbindung des Backup-Systems in die normale IT-Infrastruktur ist angreifbar

Der Fall eines größeren IT-Unternehmens, bei dem im Rahmen eines Ransomware-Angriffs die Exfiltration von Unternehmensdaten von dem Backup-System selbst erfolgte, wird ebenfalls aufgegriffen. Hier war das Problem, dass das Backup-System in die normale IT-Infrastruktur eingebunden wurde. Da die Angreifer Zugang zu dem Online-Backup-System erlangten, hatten diese Zugriff auf die an einem Punkt konzentrierten relevanten Daten des Unternehmens. In diesem Fall konnte aber für die Wiederherstellung auf ein Offline-Backup in Form von Magnetbändern zurückgegriffen werden. Der HBDI kritisiert hier die Verbindung des Backup-Systems mit der angreifbaren IT-Infrastruktur. Besser wäre eine Datensicherung auf externen, nicht mit der IT-Infrastruktur verbundenen Datenträgern.

Fehlende Überprüfung/Anpassung der ausgelagerten E-Mail-Infrastruktur

In einem dritten Fall wurde die E-Mail-Infrastruktur an einen Auftragsverarbeiter ausgelagert. Ursprünglich war die Erstellung von Backups der E-Mail-Konten Teil der vertraglich geschuldeten Leistung von dem genutzten Dienstleister. Allerdings wurde nachträglich die Backup-Erstellung aus dem Leistungsumfang entfernt, worauf der Verantwortliche nicht reagiert hat. Während einem Hackerangriff wurden E-Mails aus einem relevanten E-Mail-Account gezielt gelöscht und konnten dann auch nicht wiederhergestellt werden. Der Verantwortliche hätte an diese Stelle die ausgelagerte E-Mail-Infrastruktur regelmäßig überprüfen müssen und auf die Nachricht hin, dass keine Backups mehr durchgeführt werden, Anpassungen vornehmen müssen.

Durchführung der 3-2-1 Regel

Der HBDI empfiehlt, auf die 3-2-1 Regel zu achten. Diese kann davor schützen, dass Daten versehentlich gelöscht werden, dass Speichermedien versagen oder das katastrophale Schäden wie Hochwasser das gesamte IT-Netzwerk zerstören.

Die Strategie sieht wie folgt aus: Von den Unternehmensdaten soll es drei Versionen geben, diese sollen auf zwei verschiedenen Speichermedien gespeichert werden, wovon sich eines nicht am Unternehmenssitz befindet. Die drei Versionen bestehen aus einer Originalversion der Daten und zwei Kopien. Die erste Version bzw. die Originalversion enthält dabei die produktiv genutzten Daten, mit denen das Unternehmen täglich arbeitet. Die zweite Version bzw. die erste Kopie muss sich auf einem separaten Speichermedium befinden. Die dritte Version/die zweite Kopie dient als dezentrale Datensicherung. Durch diese Strategie lässt sich das Ausfallrisiko enorm reduzieren. Ein Umsetzungsbeispiel wäre eine Version auf dem internen Festplattenlaufwerk und eine zweite Version auf einer externen Festplatte. Die dritte Version würde dann örtlich getrennt, z.B. in der Cloud liegen.

Diese Rückschlüsse ergeben sich für eine Dienstleisterkontrolle

Gem. Art. 28 Abs. 1 DSGVO müssen Auftragsverarbeiter dafür sorgen, dass geeignete TOM durchgeführt werden. Das heißt, dass die TOM von Dienstleistern auch die Verfügbarkeit und Belastbarkeit der Systeme sowie deren Wiederherstellbarkeit am Maßstab von Art. 32 Abs. 1 lit. c und d DSGVO gewährleisten müssen. Die Maßnahmen für die Datenverfügbarkeit sind damit ein nicht unwesentlicher Teil der TOM.

Gerade wegen der immer höher werdenden Bedrohung durch Sicherheitsvorfällen wie Ransomware-Attacken ist es essentiell, nur solche Dienstleister einzusetzen, die im Fall der Fälle die Daten rasch wiederherstellen können. Es kommt auch darauf an, dass die Backup-Systeme nicht bei Sicherheitsvorfällen unbrauchbar gemacht werden. Sie sind also explizit auch gegen einen unberechtigten Zugriff aus der eigenen IT-Umgebung heraus zu schützen (Tätigkeitsbericht HBDI, S. 285). Wenn ein Dienstleister hier nicht plausibel genug darstellt, dass er genug Maßnahmen für ein angemessenes Schutzniveau trifft, muss man insgesamt kritisch hinterfragen, ob dieser Dienstleister dann überhaupt noch für den geplanten Einsatz genutzt werden sollte. Insofern muss auch im Rahmen der Dienstleisterkontrolle ein besonderes Augenmerk auf eine ausreichende Backup-Strategie gelegt werden. Der HBDI geht auch darauf ein, was ein Backup-Konzept aus seiner Sicht gewährleisten soll (Tätigkeitsbericht HBDI, S. 284-286). Darauf aufbauend wird auf die konkreten Maßnahmen eingegangen, die ein Dienstleister aufführen sollte, damit ihm ein angemessener Umgang mit den personenbezogenen Daten attestiert werden kann.

Backup und regelmäßige Sicherung der auf den Servern laufenden Systeme

Der Backup-Plan eines Dienstleisters muss die Annahme rechtfertigen, dass es plausibel erscheint, dass ein entsprechend ausgereiftes Backup-System beim Dienstleister vorhanden ist.

Dazu gehört folgendes:

  • Der Dienstleister sollte Angaben dazu machen, dass die Backups nicht nur durchgeführt werden, sondern auch überprüft werden. Es muss nämlich sichergestellt werden, dass die Backups tatsächlich geeignet sind, im Fall der Fälle die Daten rasch wiederherzustellen (sog. Wiederherstellungstest).
  • Der Dienstleister sollte gut dokumentierte Notfall- oder Wiederherstellungsprozesse haben, die regelmäßig geprüft und intern geübt werden.
  • Beim Dienstleister werden die Tests nicht nur von einem zuständigen Mitarbeiter durchgeführt, sondern innerhalb des Kreises der zuständigen Mitarbeiter sollte eine Rotation stattfinden. Es kommt auf entsprechende Vertretungsregeln an, dass auch bei Mitarbeiterausfall schnell eine Wiederherstellbarkeit der Systeme gewährleistet ist.
  • Die Integrität und Vertraulichkeit der gesicherten Daten müssen beim Dienstleister gewährleistet werden, z.B. durch Verschlüsselung. Falls eine Backup-Lösung keine automatische Verschlüsselung anbietet, muss diese durch Mitarbeitende nachträglich gewährleistet werden.

In der praktischen Umsetzung kommt es auf Kontinuität an

Der HBDI weist darauf hin, dass das Thema Datenverfügbarkeit gerade im Hinblick auf Bedrohungen und Angriffe einen aktiven und kontinuierlichen Umgang erforderlich macht (Tätigkeitsbericht HBDI, S. 287). Diese Notwendigkeit sollte auch von den Dienstleistern, die ein Verantwortlicher einsetzt, erfüllt werden. Bei der Kontrolle von den TOM der Dienstleister muss darauf geachtet werden, dass entsprechende Maßnahmen eingesetzt werden, die die Gewährleistung der Verfügbarkeit nach den dargestellten Maßstäben nachvollziehbar machen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.