Datenrettung: „Bei Daten-GAU sind alle Security-Regeln plötzlich außer Kraft“

In letzter Zeit erhalten wir vermehrt Datenrettungsfälle, die mysteriöse Wege in der ganzen Welt genommen haben, bevor diese vom Kunden an uns weitergereicht wurden. Und das ohne den Kunden zu informieren.


Sogenannte Datenrettungsanbieter senden defekte Datenträger des Kunden ins europäische und nicht europäische Ausland, um dort bei Dritt-Anbietern eine Datenrettung durchführen zu lassen. Oft müssen unsere Techniker feststellen, dass ohne Reinraumbedingungen, oft sogar ohne korrekte Schraubenzieher (z.B. Torx Schrauben) die Datenträger geöffnet werden. Staub, Fingerabdrücke auf Magnetscheiben gehören da zur Tagesordnung.

Deshalb anbei einige Gedanken, um den Super Gau nach dem Gau zu vermeiden:

Security-Policies
Größere Unternehmen verfügen über ausgefeilte Security-Policies und Prozessbeschreibungen vom Backup bis zur Datenwiederherstellung. Was aber häufig unter den Tisch fällt, sind Notfallpläne für den Fall der Fälle: nämlich wenn sich defekte Datenträger nicht hausintern wiederherstellen lassen und der Gang zum Datenretter erforderlich wird. Bei kritischen Systemausfällen werden oft plötzlich zentrale Security-Regeln außer Acht gelassen und in Windeseile Server, RAID-Systeme oder Festplatten mit hochsensiblen Informationen an externe Dienstleister übergeben – ohne dass diese im Vorfeld auf Sicherheit geprüft wurden. Neben der teilweisen fraglichen Qualität der Anbieter bleibt noch das Risiko des Datendiebstahls.

Datendiebe zapfen Dritte an
Die Gefahr dabei: Einige Datenrettungsanbieter schicken defekte Medien an Recovery-Labore im benachbarten Ausland, ohne ihre Kunden explizit davon zu informieren. Organisierte Datendiebe zapfen aber nicht selten Quellen über Dritte in Insider-Branchen an. Wenn auf diesem Weg Daten verloren gehen oder entwendet werden, hat das Unternehmen den doppelten Schaden. Denn es kommt auch noch das Haftungsrisiko hinzu. Laut Datenschutzgesetz haftet der Eigentümer dann voll für seine Informationen, wenn er es verabsäumt, die ’sichere Datenverarbeitung‘ durch seinen Dienstleister vorab zu prüfen. De facto fordert das DSG damit die Durchführung von Dienstleister-Audits.

Recovery-Partner in die Policy
Vor allem Banken, Health-Care- und Forschungsunternehmen mit sensiblen Daten, als auch Systemhäuser und KMUs nutzen verstärkt die Möglichkeit gemeinsam mit einem Datenrettungsunternehmen Notfallpläne für den Ernstfall auszuarbeiten. Ein wesentlicher Punkt dabei ist, dass der Datenrettungspartner schon auditiert wird, lange bevor eine Katastrophe eintritt. Somit werden Panikentscheidungen vermieden, die – wie wir es leider oft erleben – bei Datenverlust getroffen werden. Abgesehen vom Datenschutz muss man auch bedenken, dass man oft nur eine Chance zu einer erfolgreichen Datenrettung hat. Wir empfehlen somit die Auswahl des Datenrettungspartners konsequenterweise in die Security-Policy zu integrieren.

[Gesamt:0    Durchschnitt: 0/5]

Schreibe einen Kommentar