Bei einer Datenintegritäts-Übung simuliert ein Unternehmen, wie es seine Lösungen zum Datenschutz, zur Datenwiederherstellung und andere Technologien einsetzen würde. Dabei gilt es allerdings SaaS-Anwendungen und mehrere Cloud-Anbieter mit einzubeziehen. Ein Kommentar von Christian Keil, Commvault.
Der Siegeszug von Cloud-Diensten führt zu immer komplexeren hybriden IT-Umgebungen, und eine stets wachsende Anzahl von Cyberattacken versucht, diese Komplexität auszunutzen. Während IT-Abteilungen sich in der Vergangenheit darauf beschränken konnten, ihre lokale Infrastruktur nach einem Cyberangriff wiederherzustellen, um Cyberresilienz zu erreichen, müssen sie heute eine viel weitreichendere Infrastruktur schützen, die sich nicht vollständig in ihrer Kontrolle befindet. Dutzende von SaaS-Anwendungen und mehrere Cloud-Anbieter fallen ebenso in ihren Zuständigkeitsbereich wie die lokale Infrastruktur und die Endgeräte der Mitarbeiter.
Richtig für den Ernstfall trainieren
Technologien wie umfassende Sicherheitssysteme, hochverfügbare Cloud-Dienste und robuste Lösungen für die Datensicherung und -wiederherstellung helfen Unternehmen, ihre Daten zu schützen. Doch sie garantieren noch keinen reibungslosen Betrieb. Trotz intuitiver Schnittstellen und Automatisierungsfunktionen kann die Verwendung dieser Technologien kompliziert sein. Es bedarf praktischer Übung, um für den Fall der Fälle gewappnet zu sein.
IT-Teams, die hingegen den Einsatz dieser Technologie nicht in simulierten Schadensszenarien trainiert haben, werden im Ernstfall für die Wiederherstellung ihrer Umgebungen viel mehr Zeit benötigen oder gar an der Aufgabe scheitern. Das liegt zum einen daran, dass viele Unternehmen ihr Krisentraining noch immer so gestalten, als liefen alle betroffenen Anwendungen im eigenen Rechenzentrum, oder zum anderen daran, dass sie eine Naturkatastrophe als die größtmögliche Bedrohung für die eigenen Daten erachten.
Bei einer Datenintegritäts-Übung simuliert ein Unternehmen, wie es seine Lösungen zum Datenschutz, zur Datenwiederherstellung und andere Technologien einsetzen würde, um die Integrität seiner IT-Umgebung nach einem Datenverlust wiederherzustellen. Um solche Übungen ordnungsgemäß durchzuführen, sollten Unternehmen:
- ein Datenschutzteam aufbauen, dem alle Verantwortlichen angehören, die sich mit der Bewältigung von Datenausfällen befassen,
- dieses Team mit einer Vielzahl unterschiedlicher Bedrohungsszenarien konfrontieren,
- eine Unternehmenskultur schaffen, in der die Datenintegrität einen hohen Stellenwert besitzt, damit sowohl das Datenschutzteam als auch das gesamte Unternehmen verstehen, warum sie viel Zeit und andere Ressourcen in diese Übungen investieren sollten.
Mittels solcher Übungen sammeln Unternehmen wertvolle Erfahrungen und lernen, die eigenen Kapazitäten bei der Verhinderung von Angriffen bzw. im Falle einer Wiederherstellung besser einzuschätzen. Wiederholte Tests erzielen außerdem einen Trainingseffekt, sodass im Falle eines tatsächlichen Datenausfalls alle Beteiligten effizient und effektiv reagieren können.
Aufbau eines Datenschutzteams
Kommt es zu einer Situation, bei der Daten in Mitleidenschaft gezogen werden, sind die Mitglieder der IT-Abteilung nicht die einzigen, die in der Folge mit Einschränkungen zu kämpfen haben. Handelt es sich dabei etwa um eine Cyberattacke, muss beispielsweise die Rechtsabteilung die Kunden informieren, sofern sensible Daten bei dem Angriff offengelegt wurden. Andernfalls kann einem Unternehmen eine empfindliche Geldstrafe drohen.
Die Personalabteilung ist ferner dafür verantwortlich, die Mitarbeiter (und möglicherweise Partnerunternehmen) über die Auswirkungen der Krisensituation zu informieren. Die Datensicherheitsexperten der IT-Abteilung benötigen die Unterstützung derjenigen im IT-Team, die für SaaS-Anwendungen, Cloud-Dienste, die Infrastruktur vor Ort und andere Aspekte der von der Katastrophe betroffenen Umgebung zuständig sind, um diese wieder in Betrieb zu nehmen.
Daher sollte das Datenschutzteam neben der IT auch Verantwortliche aus den Bereichen Recht, Personal und dem Betrieb sowie alle anderen Beteiligten beinhalten, die im Fall der Fälle eine wichtige Rolle spielen würden. Gleichzeitig müssen die Verantwortlichkeiten geklärt werden, sprich, jedem Mitglied muss ein bestimmter Aufgabenbereich zugewiesen werden. Erst dann sollten Unternehmen mit den umfassenden Trainings für den Fall einer Krisensituation beginnen.
Das Datenschutzteam mit einer Vielzahl von Übungen trainieren
Wenn es tatsächlich zu einem Worst-Case-Szenario kommt, bei dem Daten zerstört bzw. beschädigt werden oder der Zugriff darauf massiv eingeschränkt wird, ist es unwahrscheinlich, dass die für die Datensicherheit Verantwortlichen den Zeitpunkt oder die Art der Katastrophe im Voraus kennen. Daher sollten Unternehmen ihre Testläufe für verschiedene Wochentage und zu unterschiedlichen Uhrzeiten ansetzen, damit sich keine Routinen einschleichen und der Testzeitpunkt für das Team stets eine Überraschung bleibt. Da es sich hier jedoch immer um eine Übung handelt, sollte im Sinne des reibungslosen Betriebsablaufs vermieden werden, die Tests an Tagen mit hoher Arbeitsbelastung abzuhalten, etwa dem Quartalsende.
Die Art der Übungen sollte zudem variieren, damit die Teammitglieder ihre Reaktion auf verschiedene Arten von Krisen trainieren können, die unterschiedliche Aspekte der Datenumgebungen ihres Unternehmens betreffen. Eine Übung kann eine Naturkatastrophe simulieren, die ein Rechenzentrum beschädigt, einen Ransomware-Angriff oder von einem gekündigten Mitarbeiter ausgehen, der bei seinem Ausscheiden Unternehmensdaten mutwillig löscht. Durch unterschiedliche Übungsszenarien und Testzeitpunkte werden die bestehenden Prozesse und Technologien der Organisation zur Behebung und Wiederherstellung von Datenausfällen wie bei einem echten Notfall beansprucht.
Der Überraschungseffekt fordert die Fähigkeiten der Teams heraus und liefert Erkenntnisse zum tatsächlichen Leistungsstand im Krisenfall. Solche Übungen zeigen auch, ob angesichts stetig wachsender Datenmengen Schwachstellen oder Verwundbarkeiten in bestimmten Anwendungen, Infrastrukturen sowie anderen Teilen der IT-Umgebung zutage treten.
Eine Unternehmenskultur schaffen, die Wert auf Datenintegrität legt
Die Sicherheitsverantwortlichen werden im Unternehmen wahrscheinlich auf Widerstand gegen die Durchführung von Datenintegritätsübungen stoßen. Denn die Arbeit im Datenschutzteam und die Durchführung von Datenintegritätsübungen kostet den Mitarbeiter Zeit, die ihnen nicht für ihre täglichen Aufgaben zur Verfügung steht.
Aus diesem Grund ist es wichtig, eine Unternehmenskultur zu schaffen, welche die Datenintegrität als eine wesentliche Unternehmensstrategie betrachtet, die für den wirtschaftlichen Erfolg von grundlegender Bedeutung ist. Die Verantwortlichen müssen sich im Klaren darüber sein, dass die im Fall der Fälle aufzuwendende Zeit, um unvorbereitet eine Cyberattacke einzudämmen und die Schäden zu beheben, den Testaufwand deutlich übersteigt.
Den Fokus auf Datenintegrität setzen
Datenumgebungen dienen heutzutage nicht nur als das sprichwörtliche Nervensystem für den Geschäftsbetrieb der meisten Unternehmen. Diese Umgebungen liefern auch die benötigten Daten, um etwa das Kundenverhalten vorherzusagen, die betriebliche Effizienz zu steigern, die Unternehmensstrategie festzulegen und somit die Geschäftsergebnisse zu verbessern.
Deshalb sollten Unternehmen ihre IT-Resilienz mit mindestens einer Datenintegritätsübung testen. Vielleicht stellt sich dabei heraus, dass das eigene Unternehmen bereits über alle erforderlichen Fähigkeiten, Prozesse und Technologien verfügt, um essenzielle Daten vor jeder Bedrohung zu schützen. Wahrscheinlicher ist jedoch, dass die Übung zeigt, in welchen Abteilungen und Prozessen es dringenden Nachholbedarf gibt und wo aufgerüstet werden muss, damit diese Probleme behoben werden, bevor es zu einem echten Notfall kommt.
Mehr bei Commvault.com
Über Commvault Commvault ist der führende Anbieter für Backup und Recovery. Commvaults konvergente Datenmanagement-Lösung definiert neu, was Backups für fortschrittliche Unternehmen bedeuten – durch Anwendungen, die dem Schutz, dem Management und der Nutzung ihres wertvollsten Kapitals dienen: ihrer Daten. Software, Lösungen und Services sind direkt über Commvault sowie über ein weltweites Netzwerk aus bewährten Partnern verfügbar. Das Unternehmen beschäftigt mehr als 2.300 hochqualifizierte Mitarbeiter weltweit, wird an der NASDAQ (CVLT) gehandelt und hat seinen Konzernsitz in Tinton Falls, New Jersey, USA.