Rechtliche Grundlagen für Business Continuity und Disaster Recovery

ParagraphNeben dem recht neuen IT-Sicherheitsgesetz (IT SiG) gibt es diverse andere nationale wie internationale Gesetze, die die Verfügbarkeit und die Wiederherstellung von Daten regeln. Das Nichteinhalten dieser Gesetze kann zum Teil empfindliche Strafen nach sich ziehen, die nicht nur das IT-Personal, sondern auch das Unternehmensmanagement betreffen können.

Die IT-Sicherheit vieler Unternehmen und Organisationen benötigt vielerorts noch dringende Anpassungen der IT hinsichtlich Datenverfügbarkeit und Datensicherheit, um geltendem Recht zu entsprechen. Welche Gesetze gibt es, welche Strafen drohen und welche technischen Lösungen sind notwendig, um auf der sicheren Seite zu sein und volle Sicherheit in einer virtualisierten Welt zu garantieren? Ein detaillierter Überblick.

Anzeige
Das neue IT Sicherheitsgesetz – Was steckt dahinter?

Das IT SiG ist seit dem Sommer 2015 in Kraft und soll dazu dienen, die allgemeine Sicherheit von IT-Systemen zu erhöhen. Es ist für bestimmte Branchen gültig und beinhaltet vielfältige Verpflichtungen hinsichtlich der Sicherheit von Systemen und Daten. So sind beispielsweise Anbieter von Telemediendiensten jetzt zur Umsetzung von Sicherheitsmaßnahmen nach dem jeweils aktuellen Stand der Technik verpflichtet. Zu dieser Gruppe gehören fast alle nicht dem rein privaten Bereich zuzuordnenden Internet-Angebote, wie Webshops, Online-Auktionshäuser, Suchmaschinen, E-Mail-Dienste, Informationsdienste, Podcasts, Chatrooms, Social Communities, Webportale und Blogs. Zu den wichtigsten Regelungen gehören die „technischen Sicherungspflichten für Telemediendiensteanbieter im reformierten Telemediengesetz (TMG) und die technischen Mindestanforderungen und Meldepflichten zu IT-Sicherheitsvorfällen für die Betreiber kritischer Infrastruktureinrichtungen (KRITIS) im neuen Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz /BSIG).“ Es ist also zuerst einmal wichtig zu wissen, wer denn eigentlich ein Betreiber einer kritischen Infrastruktur, kurz KRITIS, ist.

Betreibern kritischer Infrastrukturen drohen bei Verschulden hohe Strafen

Betreiber kritischer Infrastrukturen sind generell Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Es geht also um Infrastrukturen, die von großer Bedeutung für das Gemeinwesen sind, weil Störungen oder deren Ausfall zu gravierenden Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würden. KRITIS-Betreiber sind verpflichtet, entsprechende Maßnahmen zu ergreifen, die ihre IT inklusive der zugehörigen Prozesse vor Störungen schützt oder die Störung mit Mitteln zu beseitigen, die dem „Stand der Technik“ gerecht werden. Dazu kommen bei Sicherheitsvorfällen noch gewisse Meldepflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Bei Verstößen gegen die Vorschriften können Bußgelder bis zu 100.000 Euro verhängt werden.

Um nicht mit einem Schlag die meisten Betreiber kritischer Systeme in eine legale Grauzone zu bringen, bekommen diese vom Tag des Inkrafttretens der neuen Gesetzgebung zwei Jahre Zeit passende Lösungen einzuführen, um den Verpflichtungen des Gesetzes nachzukommen. Anschließend müssen alle betroffenen Organisationen gegenüber dem BSI mindestens alle zwei Jahre nachweisen, dass Ihre IT den Bestimmungen gerecht wird. Da die Maßnahmen kein eigenständiges Gesetz als solches, sondern eher die Erweiterungen bereits bestehender Gesetzgebung sind, gilt die Neuregelung für Telekommunikations- und Telemedienanbieter bereits heute. 

Gesetze, Gesetze, Gesetze: Weitere rechtliche Grundlagen außerhalb des IT SiG

Rechtliche Grundlagen für Unternehmen und Organisationen, die nicht unter das IT SiG fallen, sind ebenfalls vorhanden und vielfältig. So gibt es zur Datensicherheit im Disaster-Fall das Bundesdatenschutzgesetz (BDSG), das im BDSG § 9 regelt, dass alle Organisationen, die mit personenbezogenen Daten zu tun haben, entsprechende technische und organisatorische Maßnahmen treffen müssen, die den Anforderungen des BDSG gerecht werden. Dazu zählt auch ein geeignetes Disaster-Recovery-Konzept vorweisen zu können. Dieses muss sicherstellen, dass Daten auch dann nicht verloren gehen, wenn diese versehentlich zerstört oder gelöscht werden, zum Beispiel durch menschliches Versagen.

Wichtige Systeme, wie etwa ERP, müssen nach einem Disaster umgehend wieder mit aktuellen Daten laufen. Nur bei weniger wichtigen Daten und Applikationen wird mehr Zeit eingeräumt. Ein zeitgemäßes BC/DR-Konzept muss dokumentiert sein und auch regelmäßig überprüft werden.

Zum neuen IT SiG und dem BDSG § 9 kommen noch weitere rechtliche Grundlagen für die Sicherung und Aufbewahrung von Daten hinzu, die es ebenfalls zu berücksichtigen gilt. Dazu gehören das Handelsgesetzbuch (§§ 257, 239 Abs. 4 HGB) und die Abgabenordnung (§§ 146 Abs. 5, 147 AO) in Verbindung mit den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD von 2014), die für alle Buchführungspflichtige gültig sind.

Für diejenigen, die unter keine branchenspezifischen Vorschriften fallen, gelten die handels- und steuerrechtlichen Regularien für die Verfügbarkeit, Sicherheit, Integrität und Auffindbarkeit der Daten. Die IT-Systeme müssen gegen Datenverlust und unberechtigten Zugriff oder Veränderungen geschützt sein. Darüber hinaus gibt es sogar noch internationale Regelungen auf europäischer Ebene, die es zu beachten gilt.

Outsourcing schützt nicht vor Haftung. Wie sieht die derzeitige Rechtsprechung aus?

Die IT-Sicherheit hinsichtlich der Unternehmensdaten gehört aus Sicht der Rechtsprechung zu den „…unternehmerischen Selbstverständlichkeiten im Zeitalter digitaler Datenverarbeitung… Die Arbeitsgerichtsbarkeit wertet das betriebliche Interesse an Datensicherheit als Rechtsgut, das höher zu werten ist als das der unternehmerischen Mitbestimmung. Nicht zuletzt das höchste deutsche Zivilgericht, der Bundesgerichtshof, sieht die Sicherheit der Kommunikation als Compliance-relevante Verpflichtung an. Unternehmenskritische – und insbesondere auch beweiserhebliche – Dokumente müssen aus Gründen der Rechtssicherheit und Beweisführung vorgehalten werden. Wird dies nicht ermöglicht, kann ein Prozess bereits unter bloßen Beweislastgesichtspunkten wegen „Beweisfälligkeit“ verloren gehen.“ („Das neue IT-Sicherheitsgesetz: Erweiterte Rechtspflichten und potenzielle Haftungsfallen des modernen IT-Sicherheitsmanagements“, Whitepaper, Dr. Jens Bücking, Seite 12).

Wichtig ist in diesem Zusammenhang, dass durch Outsourcing, zum Beispiel an Cloud Provider, die haftungsrechtliche Verantwortung hinsichtlich der IT-Sicherheit nicht oder nicht komplett abgegeben werden kann. Je nach Fall kann die beauftragende Organisation zu 100 Prozent in der Haftung bleiben, obwohl der Fehler beim Outsourcer geschehen ist.

Sanktionen gegen die entsprechenden Gesetzesgrundlagen können je nach Vorfall, Auswirkung und Schweregrad sehr teuer werden und auch das Management kann persönlich haftbar gemacht werden. Versäumnisse beim IT-Risikomanagement können zudem zum Verlust des Versicherungsschutzes führen. Mangelnde IT-Compliance ist als Erhöhung der versicherten Gefahr z. B. in der IT-Coverage und in der Director’s and Officer’s-Versicherung anzeigepflichtig.

Synchrone Spiegelung bietet alleine keine Rechtsicherheit

Business Continuity Management wird heutzutage in der Praxis sehr häufig in Form synchroner Spiegel für den unterbrechungsfreien Betrieb der geschäftskritischen Systeme und Applikationen realisiert. Im Hinblick auf das neue IT SiG und andere gesetzliche Regelungen ist dies alleine aber nicht ausreichend, da mit dieser Methode nur physische Fehler abgedeckt werden können. Unter dem Aspekt der Ausfallsicherheit ist der aktuelle Stand der Technik nicht mehr nur in der Synchronisation zu sehen, sondern in einer Kombination von redundanten Rechenzentren und einer Softwaretechnologie, die von logischen Fehlern betroffene Systeme in Sekunden wieder produktiv werden lässt.

Logische Fehler sind laut Studien in 50 bis 70 Prozent der Fälle verantwortlich für Datenverlust (Quellen: NTZ, Forrester, Ponemon). Bei synchroner Spiegelung bedeutet dies, dass der Fehler wie jede andere Änderung repliziert wird, so dass ein Ausweichen auf die Kopie natürlich keinen Sinn ergibt. Eine Wiederherstellung des nicht-korrupten Datenbestandes, beziehungsweise der lauffähigen Applikation, bedeutet mit konventionellen Methoden einen hohen Aufwand und unter Umständen auch Datenverlust, da hierzu meist noch auf veraltete Snapshot- und Backuptechnologien zurückgegriffen werden muss. Diese Lösungen sind außerdem sehr komplex und aufwändig in der Verwaltung, da gleich mehrere Systeme und Anwendungen bedient werden müssen. Sie gehen fast immer mit Datenverlust und/oder einer sehr langen Wiederanlaufzeit einher. Unternehmen, die nur auf Hardware-basierte Replikation mit synchronen Spiegeln setzen, betreiben höchstwahrscheinlich ein System, das den gesetzlichen Anforderungen nicht gerecht wird und benötigen eine neue Lösung um ihr System nicht nur sicher sondern auch rechtskonform zu machen.

Ein ganzheitlicher Ansatz mit Hypervisor-basierter Replikation bietet volle Rechtsicherheit

Ein moderner, ganzheitlicher Ansatz für BC/DR, der die Nachteile des veralteten synchronen Spiegels ausgleicht und Systeme, die den rechtlichen Anforderungen nicht genügen, aus der juristischen Grauzone holt, kann in Hypervisor-basierter Replikation bestehen. Da dabei Replikation im Hypervisor geschieht, ist dieser Ansatz Applikations-übergreifend und komplett unabhängig von der darunter liegenden Hardware. Durch die Unabhängigkeit von der Hardware können an den IT-Standorten sogar unterschiedliche Systeme eingesetzt werden und die Lösung schützt Applikationen in VMware- oder Hyper-V-Umgebungen trotzdem. Asynchrone Replikation bietet hier den Vorteil, dass es keine Beeinträchtigung der produktiven Umgebung gibt und keine Einschränkung der Entfernung zwischen den Standorten, wie es bei synchronen Spiegeln eigentlich notwendig ist. Besonders wichtig in einer virtuellen Umgebung ist die Möglichkeit, die Replikation Applikations-konsistent zu gestalten, was beispielsweise mittels CDP, Continuous Data Protection, möglich ist.

Bei diesem neuen Ansatz werden die Daten ohne Snapshots kontinuierlich mit nur einem kleinen Zeitversatz im Sekundenbereich repliziert was RPOs (Recovery Point Objectives) im Sekundenbereich ermöglicht sowie RTOs (Recovery Time Objectives) im Minutenbereich. Ähnlich wie bei anderen Lösungen können die Daten komprimiert werden oder es kann ein Throtteling eingeschaltet werden, um eventuelle Bandbreitenrestriktionen abfedern zu können.

Beispiel SAP: So schützt Hypervisor-basierte Replikation in der Praxis

Mit Hypervisor-basierter Replikation kann ein Unternehmen im Falle eines Disasters in Sekundenschritten zu dem Zeitpunkt in der Vergangenheit zurück gehen, an dem die Daten noch konsistent waren. Zudem wird die gesamte Applikation mit einbezogen, was am Beispiel von SAP bedeutet, dass der gesamte SAP-Applikationsstack von einem konsistenten Checkpoint für die Anwendung und von jedem Zeitpunkt in Sekundenschritten, bis zu 30 Tagen rückwirkend, wiederhergestellt werden kann. Dies wird ermöglicht, indem Virtual Protection Groups (VPGs) gebildet werden, die konsistenten Schutz und Recovery des gesamten Applikationsstacks und aller SAP-Module mit hypervisor-basierter Replikation realisieren. Dadurch wird gewährleistet, dass der Applikationsstack und ähnliche Systeme außerhalb von SAP auch nach der Wiederherstellung weiterhin synchron sind. Dies garantiert eine konsistente und funktionstüchtige Wiederherstellung mit RPOs in Sekundenschritten ohne manuelle Nachkonfiguration der Applikation.

Pflichterfüllung mit einfachen Mitteln

Zwischen Theorie und Praxis klaffen mitunter große Unterschiede. Ob ein Wiederherstellungsprozess funktioniert, und damit rechtskonform ist, kann man nur mittels eines Distaster-Recovery-Tests (DR-Test) herausfinden. Konventionelle DR-Tests sind häufig ein sehr schwieriges Unterfangen und oft mit Wochenendeinsätzen und “Offline-gehen” verbunden. Eine moderne Lösung macht das Testen der Notfallwiederherstellung im laufenden Betrieb möglich und das inklusive eines Reports, der anschließend für die Dokumentation und Audits verwendet werden kann.

Die rechtlichen Bestimmungen für die Sicherheit der IT wurden mit der Einführung des IT SiG noch weiter verschärft. Nicht nur Betreiber offiziell „kritischer Infrastrukturen“ müssen darauf achten, dass ihre Systeme hinsichtlich der Geschäftskontinuität und der Notfallwiederherstellung legal sind. Sind sie das nicht, drohen empfindliche Strafen, auch für das Management. Aktuelle, Hardware-basierte Lösungen, greifen zu kurz und werden den neuen Bestimmungen nicht gerecht. Ein Ansatz, der volle Rechtssicherheit bietet, besteht aus einer ganzheitlichen BC/DR-Lösung aufbauend auf hypervisor-basierter Replikation. Eine solche Lösung bietet auch einfaches DR-Testing, mit dessen Hilfe die rechtskonforme Einsatzbereitschaft der Systeme dokumentiert und gegenüber Kunden, Partnern und den Behörden nachgewiesen werden kann. 

Andreas Mayer, Marketing Manager bei Zerto

www.zerto.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.