|
Backup und DatenschutzBackupEs wurde schon erwähnt, daß effektives Backup von Daten und Software das A und O zur Erreichung hoher Sicherheit im Netz ist. Backup ist die einzige Methode, sich vor Datenverlusten als Folge von Betriebsstörungen, Benutzerfehlern, Virusangriffen etc. zu schützen. Wenn das Unglück geschehen ist, gehen nur die Daten verloren, die sich seit dem letzten Backup geändert haben. Zweckmäßige Backup-Prinzipien und -Routinen sind entscheidend dafür, in welchem Maß das Unternehmen seine Daten wiederfinden kann. Unter den grundlegenden Richtlinien sollten folgende hervorgehoben werden:- Konsequente Backup-Politik
- Zentralisierte Datenspeicherung und Backup
- Wahl der Backup-Strategie
- Sichere Aufbewahrung
- Einübung und Überprüfung von Restore-Routinen
Für das Backup-Medium im Zusammenhang mit professionellen LANs gibt es derzeit keine Alternative zu Magnetbändern, denn diese erlauben zuverlässiges, automatisches Kopieren großer Datenmengen. Lokale Backups könne auch auf andere Medien erfolgen, z. B. CD-ROM, CD-RW, MO-Platte, etc.Auf Führungsebene muß dazu Stellung genommen werden, wie lange in die Vergangenheit der Bestand an Backupdaten reichen soll. Eine oftmals angewandte, effektive und in den meisten Fällen ausreichende Vorgangsweise ist, jeden Tag nach Ende der allgemeinen Arbeitszeit Backups von den Änderungen der Benutzerdaten vorzunehmen, und jede Woche ein komplettes Backup. Die täglichen Backups werden eine Woche
aufbewahrt, wöchentliche Backups einen Monat, und die monatlichen Backups werden
ein Jahr aufbewahrt. In diesem Zusammenhang ist auch an den Befall mit Computerviren zu
denken, die nicht unbedingt sofort in Erscheinung treten. In solchen Fällen ist
mitunter nur ein sehr "altes" Backup noch nicht verseucht.
Besonders kritische Dateien können auf ein alternatives Medium kopiert werden.
Kritisch sind Dateien, die nicht von Originaldisketten rekonstruiert werden können.
Zur Sicherheit vor versagenden Bandstationen werden diese auf eine lokale Festplatte,
einen anderen Fileserver oder eine andere Bandstation kopiert. Führen Sie ein
"Meilenstein-Backup" vor und nach kritischen und wichtigen Begebenheiten durch, wie z. B.
Abschluß der Jahresbilanz, Update des Betriebssystems oder Verlagerung von
Geräten. Auch frisch installierte Server oder Arbeitsplätze sollten so einem
Meilenstein-Backup unterzogen werden.
Bewahren Sie die Backup-Bänder in sicherer Umgebung auf: kühl und fern von
direkter Sonneneinstrahlung, Wärme und kräftigen Magnetfeldern. Als Sicherung
gegen Diebstahl oder Brand sollten Bänder isoliert von dem System, das sie
repräsentieren, aufbewahrt werden.
Falls die Backup-Bänder im Serverraum oder in demselben Gebäude wie der Server
aufbewahrt werden, hat das Backup im Falle von Brand, Wasserschaden, Verwüstung,
Diebstahl u. a. geringe Wirkung. Stellen Sie deshalb zwei Sätze von Sicherheitskopien
her, der eine Satz wird in einem feuerfesten Schrank aufbewahrt, während der zweite
Satz extern aufbewahrt wird, z. B. beim Systemverwalter privat (mit dem Vorgesetzten
absprechen). Seien Sie sorgfältig bei der Kennzeichnung von Sicherheitskopien, d.
h. Quelle, Datum und Inhalt.
Das Backup ist nur die eine Seite der Backuparbeit. Wenn die Bänder unlesbar sind,
z. B. aufgrund verschmutzter Schreib- oder Leseköpfe in der Bandstation oder
unsachgemäßer Aufbewahrung, ist das Backup natürlich verschwendete Zeit.
Kontrollieren Sie, ob das angelegte Backup wiederhergestellt werden kann. Wenn Dateien
von den Bändern wiederhergestellt werden können, ist das System
grundsätzlich in Ordnung.
Datenschutz beim Backup
Bekanntermaßen sind personenbezogene Daten zu löschen,
wenn sie nicht mehr benötigt werden.
"Löschen" im Sinne der Datenschutzgesetze ist das Unkenntlichmachen
gespeicherter Daten. Aus einer Kommentierung zum LDSG Schleswig-Holstein:
"Gelöscht sind Daten, ungeachtet der dabei angewendeten Verfahren, wenn
sie unkenntlich gemacht sind, d.h. nicht mehr verarbeitet, insbesondere
gelesen werden können (Par. 2 Abs. 2 Nr. 8 LDSG). Das kann in verschiedener
Form geschehen. Am sichersten ist die Vernichtung der Akte oder des
sonstigen Datenträgers. Auf Papier können aber auch Schriftzeichen
durch Ausstreichen, Überschreiben oder Schwärzen unkenntlich gemacht
werden.
Können Daten nur unter Zuhilfenahme technischer Mittel zur Kenntnis
genommen werden (z.B. durch Lesen mittels Datenverarbeitungsanlagen),
dann sind sie "unkenntlich", wenn durch technische Maßnahmen
sichergestellt ist, daß niemand von ihrem Inhalt Kenntnis nehmen kann.
Das kann in der Regel nur durch Neuformierung der Magnetschichten
(Überschreiben) geschehen, wodurch die Daten physisch vernichtet werden.
Ein Datenbestand ist allerdings erst dann vollständig gelöscht, wenn
auch die Datenträger, die der Datensicherung dienen (Duplikate,
Archivbänder) gelöscht wurden."
Bei Backups gibt es häfig Konflikte, denn auf der einen Seite gehört
ein Backup auch der personenbezogenen Daten zu einer Maßnahme der
Datensicherheit, zum anderen unterliegen die personenbezogenen Backup-Daten
natürlich ebenfalls dem Datenschutz.
Das Problem besteht weiterhin darin, daß Verwaltungshandeln transparent sein
muß. Bei den regelmäßigen Löschungen ist das weniger ein Problem
als bei den Löschungen, wenn falsch oder ohne Rechtsgrundlage o.ä.
gespeichert wurde. Hier wäre also die Tatsache des Löschens zu
dokumentieren. Allerdings verlöre ein Protokoll an Aussagekraft, wenn
die gelöschten Daten nicht näher spezifiziert würden; eine
Rekonstruktion des alten Zustands (z.B. bei einer fehlerhaften Löschung)
wäre dann nicht mehr möglich.
Wie hilft man sich? Backups und Prokollierungen besonders schützen.
Keine Dauerarchivierungen von personenbezogenen Daten, es sei denn, sie
wandern wirklich ins Archiv. Dazu ggf. Organisation des Datenbestandes derart,
daß Daten mit ähnlichem Löschdatum zusammen abgespeichert werden
und zusätzlich besondere Löschungen vorgenommen werden könnten.
Wenn es sich um sehr sensible Daten handeln würde, die es nicht hätte
geben dürfen (z.B. bei Polizei oder Verfassungsschutz, vielleicht auch
im Steuer- oder Medizinbereich), würde ich darauf bestehen, daß auch
alle Kopien, z.B. im Backup, gelöscht würden. Es soll schon Fälle
gegeben haben, in denen die mühsam auf dem einen Medium gelöschten
Daten durch ein Recovery die falschen Daten wieder eingespielt wurden.
A propos "gelöscht": Was in Betriebssystemen oder Datenbanken "gelöscht"
heißt, ist ja in der Regel nicht datenschutzrechtlich einwandfrei
gelöscht, denn die Daten sind ja noch da, wenn auch vielleicht mit
kleinem Umweg wiederherstellbar und zugreifbar. Für den Austausch von
Daten per Disketten wird teilweise vorherige Neuformatierung
vorgeschrieben; Wipe-Systeme werden m.E. (noch) nicht in großem Stil
gefordert. Es wird versucht, zumindest das Bewußtsein von "Gelöscht,
aber noch da" zu wecken, insbesondere bei solchen (gängigen)
Extremfällen wie der "Papierkorb" von Windows.
Man muß sich aber weniger Gedanken um
"unrealistische Gesetze" in diesem Punkt machen, sondern vielmehr versuchen,
die technischen Lösungen standardmäßig in Betriebssystemen
und Datenbanken bereitzustellen. Man kann ja einige Medien ausnehmen,
wenn diese besonders gut für Dauerarchive geeignet sein sollen, da hier
nicht gelöscht werden kann. Dann müssen beim Speichern von
personenbezogenen Daten aber besondere Vorkehrungen für das
rückstandsfreie Vernichten getroffen werden.
Mailinglisten enthalten sicherlich personenbezogene Daten. Durch das Senden und
die Kenntnis von der Archivierung ist dem Selbstbestimmugsrecht des Listen-Teilnehmers
sicherlich genüge getan. Das allein kann kein Grund sein, die Löschung einer
Mail in eine öffentliche Liste zu verlangen.
Die Juristen streiten sich darüber, ob IP-Adressen personenbezogen sind.
Wenn man sich dafür entscheidet, daß IP-Adressen personenbezogen sind
oder sein können, hat dies eine erhebliche Auswirkung, z.B. was
Web-Protokolle angeht. Hier besteht bestimmt noch Diskussionsbedarf,
gerade in bezug auf die Evaluierung des IuKDG (z.B. was das Löschen nach
der erfolgten Nutzung in Protokollen angeht, sofern nicht für
Abrechnungszwecke o.ä. erforderlich). Sofern es lediglich darum geht,
statistische Daten auszuwerten und Lastverteilungen zu analysieren, wäre
eine aggregierte Auswertung der IP-Adressen ausreichend. Nur scheint das
mit der jetzigen Technik schwer machbar oder zu teuer zu sein.
|
|
|