Advertorial: Rechtliche Grundlagen für Business Continuity und Disaster Recovery

IT Sicherheitsgesetz und die rechtlichen Auswirkungen auf BC und DR

| Autor / Redakteur: Andreas Mayer, Marketing Manager DACH, Zerto / Advertorial

Zerto Recovery Point Objecitves (RPOs) in Sekunden im Vergleich zu konventionellen Methoden
Zerto Recovery Point Objecitves (RPOs) in Sekunden im Vergleich zu konventionellen Methoden (Bild: Zerto)

Neben dem recht neuen IT SiG, welches in erster Linie für bestimmte Unternehmen/Organisationen gilt, gibt es diverse andere rechtliche Grundlagen (nationale wie internationale), die die Verfügbarkeit und die Wiederherstellung der Daten regeln, die für alle Unternehmen und Organisationen gültig sind. Das erfordert dringliche Anpassungen der IT bei Datenverfügbarkeit und -sicherheit.

Neben wirtschaftlichen Gründen gibt es diverse rechtliche Anforderungen und Gesetze, die das Thema IT-Sicherheit, Datensicherheit und Verfügbarkeit regeln. Dabei sind nicht nur die Pflichten definiert sondern zum Teil können empfindliche Sanktionen damit einhergehen, die vielen oft nicht bewusst sind und auch das Management selbst betreffen können.

IT SiG – was steckt dahinter?

Seit dem 25.07.2015 ist das IT SiG (IT-Sicherheitsgesetz) in Kraft zur Erhöhung der Sicherheit informationstechnischer Systeme. Das IT SiG ist für bestimmte Branchen und Kategorien von Unternehmen gültig und beinhaltet vielfältige Verpflichtungen für die Sicherheit der IT-Systeme und Daten. Dazu kommt, dass alle geschäftsmäßigen Anbieter von Telemediendiensten zur Umsetzung von Sicherheitsmaßnahmen nach dem aktuellen Stand der Technik verpflichtet sind.

Hierzu gehören fast alle nicht dem rein privaten Bereich zuzuordnenden Internet-Angebote wie Webshops, Online-Auktionshäuser, Suchmaschinen, Webmailer, Informationsdienste, Podcasts, Chatrooms, Social Communities, Webportale und Blogs. Zentraler Zweck des Gesetzes ist die Fortführung der nationalen und internationalen Bestrebungen (z.B. auf EU-Level), Betriebsausfälle und Haftungsrisiken mittels Gesetz bestmöglich einzuschränken.

Attacken auf die IT und die Daten von Unternehmen finden immer häufiger statt, und das besonders in technologisch führenden Ländern wie z. B. Deutschland. Aufgrund dessen ist das IT SiG entwickelt worden.

Zu den wichtigsten Regelungen gehören hier die:

  • „technischen Sicherungspflichten für Telemediendiensteanbieter im reformierten Telemediengesetz (TMG) und die
  • technischen Mindestanforderungen und Meldepflichten zu IT-Sicherheitsvorfällen für die Betreiber kritischer Infrastruktureinrichtungen (KRITIS) im neuen Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz /BSIG).“
Weiterführende Lektüre zum neuen IT-Sicherheitsgesetz:
Erweiterte Rechtspflichten und potenzielle Haftungsfallen
des IT-Sicherheitsmanagements
»
    

Wer gehört zu den KRITIS-Betreibern?

In der „Rechtsverordnung zur Bestimmung kritischer Infrastrukturen“ (im Sinne des BSIG) ist am 03.05.2016 die Definition der KRITIS-Organisationen in Kraft getreten. Es sind Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Es geht also um Infrastrukturen, die von großer Bedeutung für das Gemeinwesens sind, weil Störungen oder deren Ausfall zu gravierenden Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würden.

Deswegen werden KRITIS-Betreiber verpflichtet, entsprechende Maßnahmen zu ergreifen, die ihre IT inklusive der zugehörigen Prozesse/Abläufe vor Störungen schützt bzw. im Störungsfall diesen beheben können, die dem „Stand der Technik“ gerecht werden, wie schon in anderen Gesetzen definiert (fortschrittliche Verfahren, aktuelle Technik/Sicherheitsstandards, etc.).

Dazu kommen bei Sicherheitsvorfällen noch gewisse Meldepflichten (z. B. beim BSI), und bei Verstößen können auch massive Bußgelder verhängt werden - je nach Verstoß bis 50.000 bzw. 100.000 Euro (mehr Details siehe „Das neue IT-Sicherheitsgesetz: Whitepaper, Dr. Jens Bücking, Seite 15 ff).

Übergangsfrist: Vom Tage des Inkrafttretens der neuen Gesetzgebung bekommen die Betreiber kritischer Infrastrukturen zwei Jahre Zeit, die passenden Kontrollmaßnahmen einzuführen und den resultierenden Verpflichtungen des Gesetzes nachzukommen.

Ab diesem Zeitpunkt müssen alle betroffenen Organisationen ihre Konformität mit den neuen Bestimmungen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mindestens alle zwei Jahre nachweisen.

Es gibt jedoch auch Ausnahmen von dieser Regelung. Da die Maßnahmen kein eigenständiges Gesetz als solches, sondern eher die Erweiterungen bereits bestehender Gesetzgebung sind, gilt die Neuregelung u. a. für Telekommunikations- und Telemedienanbieter bereits heute.

Rechtliche Grundlagen außerhalb des IT SiG

Rechtliche Grundlagen für Unternehmen und Organisationen, die nicht unter das IT SiG fallen, sind ebenfalls vorhanden und vielfältig. So gibt es zur Datensicherheit im Disaster-Fall das Bundesdatenschutzgesetz (BDSG), das im BDSG § 9 regelt, dass alle Organisationen, die mit personenbezogenen Daten zu tun haben, entsprechende technische und organisatorische Maßnahmen treffen müssen, die den Anforderungen des BDSG gerecht werden.

Und dazu zählt auch ein geeignetes Disaster-Recovery-Konzept vorweisen zu können. Dieses muss sicherstellen, dass Daten auch dann nicht verloren gehen, wenn diese versehentlich zerstört oder gelöscht werden (Beispiel: logische Fehler). Die Rechtsprechung setzt hierbei eine zuverlässige IT-Sicherheit bei der digitalen Datenverarbeitung voraus.

So müssen Schlüsselsysteme (z. B. ERP) nach einem Disaster umgehend wieder mit aktuellen Daten laufen. Nur bei weniger wichtigen und zeitkritischen Daten und Applikationen wird mehr Zeit eingeräumt. Ein zeitgemäßes BC/DR-Konzept muss dokumentiert sein, aktuell und auch regelmäßig überprüft werden bzw. Tests durchgeführt werden. Hier erweist sich eine Lösung als sehr sinnvoll, die das Testen einfach und im laufenden Betrieb ermöglicht und dies auch mit einem Reporting dokumentiert.

Hinzu kommen neben dem BDSG § 9 und Anlage 1 noch weitere rechtliche Grundlagen für die Sicherung und Aufbewahrung von Daten, die ebenfalls zu berücksichtigen sind. Dazu gehören das Handelsgesetzbuch (§§ 257, 239 Abs. 4 HGB) und die Abgabenordnung (§§ 146 Abs. 5, 147 AO) in Verbindung mit den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen/ Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD von 2014), die für alle Buchführungspflichtige gültig sind.

Für diejenigen, die unter keine branchenspezifischen Vorschriften fallen, gelten die handels- und steuerrechtlichen Regularien für die Verfügbarkeit, Sicherheit, Integrität und Auffindbarkeit der Daten. Die IT-Systeme müssen gegen Datenverlust und unberechtigten Zugriff oder Veränderungen geschützt sein.

Des Weiteren sollten internationale Regelungen nicht vergessen werden (bspw. Sarbanes-Oxley-Act, Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates, Basel II und III, EU-Datenschutz-Grundverordnung (DS-GVO)).

IT-Sicherheit und Rechtssprechung

Die Unternehmensdaten-betreffende IT-Sicherheit gehört aus Sicht der Rechtssprechung zu den "...unternehmerischen Selbstverständlichkeiten im Zeitalter digitaler Datenverarbeitung. Die Arbeitsgerichtsbarkeit wertet das betriebliche Interesse an Datensicherheit als Rechtsgut, das höher zu werten ist als das der unternehmerischen Mitbestimmung.

Nicht zuletzt das höchste deutsche Zivilgericht, der Bundesgerichtshof, sieht die Sicherheit der Kommunikation als Compliance-relevante Verpflichtung an. Unternehmenskritische - und insbesondere auch beweiserhebliche - Dokumente müssen aus Gründen der Rechtssicherheit und Beweisführung vorgehalten werden.

Wird dies nicht ermöglicht, kann ein Prozess bereits unter bloßen Beweislastgesichtspunkten wegen "Beweisfälligkeit" verloren gehen.“ (Das neue IT-Sicherheitsgesetz: Whitepaper, Dr. Jens Bücking, Seite 12).

Wichtig in diesem Zusammenhang ist auch, dass durch Outsourcing (z.B. an Cloud Provider, IT-Wartungsfirma) die haftungsrechtliche Verantwortung bei der IT-Sicherheit nicht oder nicht komplett abgegeben werden kann.

Je nach Fall kann die beauftragende Organisation zu 100 Prozent in der Haftung bleiben, obwohl der Fehler beim Outsourcer geschehen ist. Ein aktuelles Desaster- und Kontinuitätsmanagement, welches die Daten schützt, schnell wiederherstellt, regelmäßige Routinen und Tests beinhaltet, etc., ist unabdingbar.

Sanktionen gegen die entsprechenden Gesetzesgrundlagen können je nach Vorfall, Auswirkung und Schweregrad sehr teuer werden (Bsp. DS-GVO: schwere Verstöße: Strafe von bis zu 500.000 Euro bzw. von bis zu 1 Prozent des weltweiten Jahresumsatzes; schwerste Verstöße: Strafen bis zu 1 Million Euro bzw. bis zu 2 Prozent des weltweiten Jahresumsatzes) und zudem stehen auch die Manager in der Haftung (persönliche Haftung, Schadenshaftung).

Versäumnisse beim IT-Risikomanagement können auch zum Verlust des Versicherungsschutzes führen (mangelnde IT-Compliance ist als Erhöhung der versicherten Gefahr z. B. in der IT-Coverage und in der Director’s and Officer‘s Versicherung anzeigepflichtig).

Rechtssicherheit mittels IT-Sicherheit: Ganzheitliches BC/DR-Konzept

Business Continuity Management wird häufig mit einem synchronen Spiegel für unterbrechungsfreien Betrieb der Business-kritischen Systeme und Applikationen realisiert. Dies alleine ist aber nicht ausreichend, da mit dieser Methode nur physikalische Fehler abgedeckt werden können und unter "...dem Aspekt der Ausfallsicherheit (DR/BC) ist der aktuelle Stand der Technik nicht mehr in der Synchronisation zu sehen, sondern in einer Kombination von redundanten Rechenzentren und einer Softwaretechnologie, die sich Umgebungs- und Applikations-übergreifend sowie speicherneutral den unmittelbar beim Schadensereignis vorliegenden „Letztstand“ des Produktivprozesses „merkt“, ihn repliziert und die betroffenen Systeme im Sekundenbereich wieder produktiv an diesen Letztstand ansetzen lassen kann.

Eine solche fortschrittliche Technik muss sich nicht mehr auf das Wiederanlaufen von Systemen beschränken, sondern setzt die Betriebsabläufe unmittelbar fort" (Das neue IT-Sicherheitsgesetz: Whitepaper, Dr. Jens Bücking, Seite 21).

Logische Fehler sind in 50 bis zu 70 Prozent der Fälle laut Studien verantwortlich für Datenverlust (Quellen: NTZ, Forrester, Ponemon). Bei synchroner Spiegelung bedeutet dies, dass der Fehler gleich auch auf der anderen Seite vorliegt, so dass es dann auch wenig sinnvoll ist, darauf auszuweichen.

Eine Wiederherstellung des nicht-korrupten Datenbestandes bzw. der lauffähigen Applikation bedeutet mit konventionellen Methoden zum Einen einen entsprechend großen Aufwand durch das Zurückgreifen auf eventuell vorhandene Snap Shots oder gar auf das Backup, was unter Umständen Datenverlust von mehreren Stunden oder gar einem Tag bedeutet, sowie zum Anderen eine lange Wiederanlaufzeit. Zudem müssen hier mehrere Systeme und Lösungen bedient werden, was die Komplexität und den Administrationsaufwand steigert.

Asynchron im Sekundentakt

Ein "State of the Art" Business Continuity-/ Replikationsansatz sollte daher ganzheitlich sein und Applikations- und Hardware-übergreifend funktionieren. Zerto Virtual Replication (ZVR) bietet diesen Ansatz für alle Appliaktionen in Vmware- oder Hyper-V-Umgebungen und ist dabei Hardware-agnostisch, so dass an den Standorten selbst unterschiedliche Hardware-Systeme für die Replikation eingesetzt werden können.

Hier werden die Vorteile einer asynchronen Spiegelung (keine Beeinträchtigung der produktiven Anwendung, keine Entfernungsrestriktionen) in Verbindung mit Continuous Data Protection gebracht und das auch noch Applikations-konsistent.

Die Daten werden kontinuierlich mit nur einem kleinen Zeitversatz im Sekundenbereich repliziert (keine Snapshots). Durch die permanente Replikation sind RPOs (Recovery Point Objectives) im Sekundenbereich möglich. Die Daten werden bei der Übertragung noch komprimiert, so dass auch die Netzwerkbelastung klein gehalten werden kann. Dazu kann auch ein Throtteling eingeschaltet werden, um eventuelle Bandbreitenrestriktionen abfedern zu können.

Replikation ohne Hypervisor-Grenzen

Im Disaster-Fall bedeutet dies, dass Sie in Sekundenschritten zurück gehen können zu dem Zeitpunkt, an dem die Daten noch konsistent waren. Zudem wird die ganze Applikation mit einbezogen. Am Beispiel von SAP heißt dies, dass der gesamte SAP-Applikationsstack von einem konsistenten Checkpoint für die Anwendung und von jedem Zeitpunkt in Sekundenschritten bis zu 14 Tage rückwirkend wiederhergestellt werden kann.

Dies wird ermöglicht, indem Virtual Protection Groups (VPGs) gebildet werden, welche konsistenten Schutz und Recovery des gesamten Applikationsstacks und der gesamten SAP-Module mit Hypervisor-basierter Replikation realisieren.

Dadurch wird gewährleistet, dass der Applikationsstack und ähnliche Systeme außerhalb von SAP zusammen von genau dem gleichen Zeitpunkt wiederhergestellt werden. Dies garantiert eine konsistente und funktionstüchtige Wiederherstellung mit RPOs in Sekundenschritten ohne manuelle Nachkonfiguration der Applikation.

Zudem funktioniert ZVR Hypervisor-übergreifend, d. h. dass Applikationen, die unter Vmware repliziert wurden, nach Hyper-V migriert werden können und umgekehrt. Dies alles geschieht Storage-unabhängig. Somit können an den verschiedenen Lokationen unterschiedliche Storage-Systeme eingesetzt werden. Dies kann ebenso bei einer Migration auf ein neues oder anderes Storage-System genutzt werden und stellt somit eine sehr effektive und einfache Migrationslösung dar.

Pflichterfüllung mit einfachen Mitteln

Ein wichtiger werdender Punkt ist das Disaster Recovery Testing, um den verschiedenen Gesetzen und Regularien Rechnung zu tragen, was zum Teil auch mit Audits verbunden ist. Bei den konventionellen Disaster Recovery Tests ist dies häufig ein schwieriges Unterfangen und oft mit Wochenendeinsätzen und "Offline-gehen" verbunden. Bei Zerto sind Disaster-Recovery-Tests im laufenden Betrieb möglich und das inklusive eines Reportings, welches für die Dokumentation und Auditierung verwendet werden kann.

Der Einsatz der Zerto-Lösung hört nicht im Rechenzentrum auf. Applikationen und Daten können je nach Bedarf in die verschiedenen Cloud-Formen (Private, Hybrid und Public) migriert werden, und dies bedeutet für Unternehmen eine weitere Freiheit und Zukunftsausrichtung in der flexiblen Auswahl der Cloud-Form.

Die ZVR-Lösung liefert Business Continuity, Disaster Recovery und Continuous Data Protection über die Rechenzentren hinweg bis in die Cloud und ermöglicht die Compliance-Anforderungen mit einer "State of the Art" Technik zu erfüllen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44186213 / Compliance)