Datensicherung in Startups & KMU – Zukunftsorientierte Strategien & Konzepte

Ist-Zustand der Datensicherung in Deutschland: Mangelhaft

Effektive Backupkonzepte und resiliente IT-Sicherheitsstrukturen sind in deutschen Unternehmen trotz der fortschreitenden Digitalisierungskampagnen unzureichend etabliert – dies zeigen die 136.865 Vorfälle von Cyberkriminalität in Unternehmen, welche zuletzt 2022 dem BKA gemeldet wurden.

Irrglaube RAID-System: Warum es kein Backup ersetzt

Ein verbreiteter Irrglaube ist die Annahme, dass ein RAID-System (Redundant Array of Independent Disks) als Backup dient. Obwohl RAID durch seine Redundanz einen gewissen Schutz vor Hardwareausfällen bietet, hilft es nicht bei Datenverlust durch versehentliches Löschen, Softwarefehler, Viren oder Ransomware. RAID kann daher ein Element eines umfassenden Backup-Konzepts sein, ersetzt aber keine Backup-Strategie!

Bei der Redundanz geht um das Grundprinzip, mehrere Kopien von Daten an unterschiedlichen physischen Orten zu speichern. So kann ein Unternehmen bei einem möglichen Datenverlust durch Hardware-Ausfälle, menschliche Fehler, Softwareprobleme oder Katastrophen wie Feuer, Überschwemmungen und Erdbeben immer auf eine oder mehrere Sicherungskopien zugreifen, beispielsweise wegen der Speicherung von Backups in geografisch verteilten Datenzentren (Georedundanz durch Off-Site-Backups). Eine automatisierte redundante Datenspeicherung bieten RAID-Systeme, soweit es sich um eine RAID-Konfiguration handelt, die höher ist als RAID 0. Doch eure Daten redundant zu speichern, reicht nur aus: In der Praxis werden

• defekte Festplatten nicht schnell genug ausgewechselt,
• Daten versehentlich gelöscht,
• Softwarefehler nicht erkannt und
• immer häufiger können Schlafviren bzw. Ransomware die Sicherheitsbarrieren unbehindert passieren.

Das Ergebnis: eine einzige aus diesen Fehlern resultierende Datenpanne kostet deutsche Unternehmen durchschnittlich 4,3 Millionen Euro (IBM Security 2023). Wer in dieser Situation keinen Kontakt zu einem professionellen Datenretter parat hat, der unternehmenskritische Daten im Zweifelsfall wiederherstellen kann, riskiert viel.

Eines steht also fest: RAID-Systeme sind lediglich Teil der Datenverteilung und Speicherung, sie ersetzen jedoch keine umfassende Backup-Strategie.

Datensicherheit in eurem Startup: Strategien & Konzepte

Für eine moderne, ganzheitliche IT-Security sind sowohl eine entsprechende Backup-Strategie zur Datensicherung erforderlich. Dazu gehören Richtlinien und Entscheidungen über

• die Backup-Frequenz,
• die Backup-Methode,
• und über die Aufbewahrung von Backup
• sowie Datenklassierung.

Von den Strategien zu unterscheiden ist darüber hinaus ein Backup-Konzept erforderlich, d.h. die Bereitstellung technischer Lösungen und Prozesse, physischer und Cloud-Backups, Informationen zur implementierten Software und Hardware usw.

Ebenso wichtig sind Strategien zur Prävention von Cyberangriffen inklusive der Gewährleistung der Unternehmenskontinuität & Datenwiederherstellung.

Und natürlich solltet ihr auch eure Arbeitsprozesse und Mitarbeitenden zu dem Thema involvieren, mehr dazu findet ihr in unserem Fachartikel Datensicherheit in Unternehmen: 5 Tipps für Gründer.

Diese Backup-Strategien gibt es

Bei den Backup-Strategien in KMU findet ein rapider, fortschreitender Wandel statt. Zu den herkömmlichen Strategien gehören z.B. die Redundanz und Verschlüsselung.

Lösung 1: Cloud-Backup-Lösungen und ihre Risiken

Auch Cloud-Backup-Lösungen werden als redundante Datensicherung oftmals zu einer On-Premises-Speicherung ergänzt. Die Verlagerung der Entwicklung hin zu Cloud-basierten Backup-Lösungen setzt sich 2024 fort, da sie Kosteneffizienz, Skalierbarkeit und Flexibilität bieten. Viele Unternehmen nutzen Hybrid-Cloud-Strategien, um die Vorteile der Cloud-Nutzung zu maximieren, während sie gleichzeitig eine lokale Kopie ihrer Daten für schnellen Zugriff und zusätzliche Sicherheit behalten.

Doch die Strategie ist nicht ohne Risiko: Hacker- oder Ransomware-Angriffe auf Cloudanbieter, wie z.B. der Hackerangriff auf die Microsoft-Cloud im Juli 2023, mit einem massiven Diebstahl von hochsensiblen Daten zeigen, dass Cloud-Backups einige Nachteile und Risiken für Unternehmen bedeuten.

Die zunehmende Abhängigkeit von Cloud-Services für Backup- und Geschäftsprozesse macht Unternehmen anfällig für Sicherheitsvorfälle, die ihre Cloudanbieter betreffen. Zum einen gibt es ein gewisses Sicherheitsrisiko durch Abhängigkeit vom Cloudanbieter und dessen Sicherheitspraktiken, sodass die Verantwortung über unternehmenskritische Daten zwar gemeinsam geteilt, aber zugleich auch auf einen Drittanbieter erweitert wird.

Ist die Datensicherheit nicht oberste Priorität des Cloud-Anbieters, werden Datenleaks wie der Diebstahl des wichtigen Sicherheitsschlüssels von Microsoft keine Ausnahme bleiben. Die Komplexität des Zugriffsmanagements zur Zugangskontrolle und Identitätsmanagement wird zwangsläufig sich mit der Nutzung von Cloud-Service weiter erhöhen. Eine gängige Lösung ist hierbei die multifaktorielle Authentifizierung (MFA).

Tipp bei Cloud-Backup-Nutzung:

Schaut euch genau die Infos eures Cloud-Anbieters an, wie sie sich selbst und eure Daten vor Leaks schützen, wie das Zugriffsmanagement organisiert wird und ob mindestens eine multifaktorelle Authentifizierung angeboten wird.

Lösung 2: Automatisierung und Integration

Automatisierte Backup-Lösungen, die sich nahtlos in bestehende IT-Infrastrukturen integrieren lassen, gewinnen an Beliebtheit. Sie sind in einer Vielzahl von Formen verfügbar, angepasst an unterschiedliche Geschäftsgrößen, Branchenanforderungen und technologische Umgebungen. Automatisierte Backup-Lösungen reduzieren menschliche Fehler, verbessern die Effizienz und stellen sicher, dass Backups regelmäßig und konsistent durchgeführt werden.

Tooltipps für Automation eurer Backups:
Viele Lösungen bieten jetzt erweiterte Integrationsoptionen mit gängigen Business-Tools und -Plattformen. Zu den populären Lösungen gehören u.a. Veeam Backup & Replication, Acronis True Image, Datto und Carbonite, welche für kleine und mittlere Unternehmen geeignet sind.

Lösung 3: Cyber-Resilienz

Angesichts der Zunahme von Ransomware-Angriffen und Cyberbedrohungen seit Beginn der Ukraine-Offensive ist die Notwendigkeit der Entwicklung von Präventionsstrategien für Cyberangriffe in Unternehmen massiv gestiegen. Dies bedeutet, dass Backup-Strategien nicht nur auf die Wiederherstellung von Daten nach einem Datenverlust ausgerichtet werden dürfen, sondern auch darauf, wie Unternehmen während und nach einem Cyberangriff funktionsfähig bleiben können.

Dies umfasst u.a. die Implementierung von Lösungen für sofortige Wiederherstellung und die Nutzung von immutable (unveränderlichen) Backups, um Datenmanipulation zu verhindern. Bei einem unveränderlichen Backup wird eine Kopie der Daten erstellt, die für einen festgelegten Zeitraum nicht geändert oder gelöscht werden kann, selbst vom Besitzer der Daten oder dem Administrator.

Tooltipps für immutable (unveränderliche) Backups:

Zu immutablen Backups gehören z.B. Amazon S3 Object Lock, Rubrik, IBM Spectrum Protect und Zerto.

Lösung 4: Künstliche Intelligenz und maschinelles Lernen

Die Integration von Künstlicher Intelligenz (KI) und maschinellem Lernen (ML) in Backup- und Wiederherstellungslösungen repräsentiert einen signifikanten Fortschritt in der Art und Weise, wie Unternehmen ihre Daten sichern und wiederherstellen.

Diese Technologien ermöglichen es, Prozesse zu automatisieren, die Effizienz von Backups zu optimieren und die Wiederherstellungszeiten zu verbessern. Diese Technologien können auch zur Erkennung von Mustern in Daten und Reaktion auf Anomalien eingesetzt werden, die auf einen Cyberangriff oder Datenverlust hindeuten könnten.

KI- und ML-Algorithmen können z.B. zur Analyse von Backup-Daten verwendet werden, um Anomalien zu erkennen, die auf eine Ransomware-Infektion oder andere Arten von Cyberangriffen hindeuten. KI trägt außerdem dazu bei, Backup-Fenster und den Einsatz von Speicherressourcen zu optimieren oder übernehmen die Datenklassierung. ML-Modelle werden dafür eingesetzt, um Vorhersagen über den Zustand von Speichersystemen und die Wahrscheinlichkeit von Systemausfällen zu treffen und einige Systeme nutzen bereits ML, um automatisch Korrekturen vornehmen (selbstheilendes System), wenn Probleme der Datenintegrität oder Backup-Fehler erkannt werden.

Lösung 5: Datenschutz und Compliance

Die Komplexität der Anforderungen an die Datensicherung wird nicht nur durch die rapide Zunahme der Datenmenge und Vielfalt der Datentypen erhöht, sondern auch durch die Notwendigkeit, dass Backup-Strategien nicht nur technisch solide, sondern auch compliance-konform sind, d.h. gesetzliche und regulatorische Anforderungen erfüllen.

Insbesondere beim Umgang mit personenbezogenen Daten müssen Unternehmen in Deutschland sicherstellen, dass ihre Backup-Lösungen den Anforderungen der folgenden rechtlichen Bestimmungen genügen:

• Europäischen Datenschutz-Grundverordnung (DSGVO),
• EU-Updates der NIS2-Direktive 2024,
• Bundesdatenschutzgesetz (BDSG),
• Telemediengesetz (TMG),
• Gesetz zur Regelung von Telekommunikations- und Postsicherheit (TKG),
• Gesetz über die elektronische Signatur (Signaturgesetz – SigG) sowie
• das Gesetz zur Verbesserung der Rechtsdurchsetzung in der Informationstechnik (IT-Rechtsdurchsetzungsgesetz – ITRDG).

Je nach Branche sind KMU und Startups von weiteren Bestimmungen zum Schutz sensibler Daten betroffen.

Lösung 6: Edge Computing und IoT-Geräte

Die Kombination aus Internet of Things (IoT)-Geräten und Edge Computing revolutioniert die Art und Weise, wie Daten generiert, verarbeitet und gesichert werden. Und es eröffnet neue Möglichkeiten für Backup-Strategien. Diese Technologien ermöglichen es, Daten näher am Entstehungsort zu verarbeiten und zu speichern, was zu einer effizienteren Datenverwaltung und -sicherung führt. Einige Anwendungsbereiche sind z.B. die industrielle Automatisierung und Fertigung, Smart Cities, Smart Home usw.

Durch die Verarbeitung und Speicherung von Daten am Rand des Netzwerks (Edge) wird das Risiko eines zentralen Datenverlusts reduziert. Dabei werden nur die relevanten Daten in die Cloud oder an zentrale Datenspeicher übertragen – und das reduziert den Bandbreitenbedarf sowie Kosten. Die lokale Verfügbarkeit von Backups ermöglicht außerdem eine schnellere Wiederherstellung kritischer Funktionen, insbesondere in zeitkritischen Anwendungen. Daten können außerdem lokal verschlüsselt und gesichert werden, bevor sie übertragen werden, sodass die Datensicherheit erhöht wird.

Lösung 7: SaaS-Datenbackups

Unternehmen sind zunehmend auf Software-as-a-Service (SaaS)-Anwendungen angewiesen sind, um z.B. die Kommunikation und Zusammenarbeit im Unternehmen, das Kundenbeziehungsmanagement (CRM), Geschäftsmanagement oder auch die Bereiche Entwicklung und IT-Management effizienter zu gestalten.

SaaS bietet den Vorteil, dass Software und Anwendungen über das Internet als Dienstleistung bereitgestellt werden, wodurch die Notwendigkeit für Unternehmen entfällt, Softwarelizenzen zu kaufen, zu warten oder die Anwendungen auf eigenen Computern oder Servern zu installieren. Dabei entsteht jedoch auf die Notwendigkeit, diese Daten zu sichern.

Tipp für Backups bei SaaS Anwendungen:

Viele SaaS-Anbieter bieten zwar eigene Backup-Lösungen an, aber Unternehmen sollten zusätzliche Backups implementieren, um sich gegen Datenverlust durch versehentliches Löschen, Serviceausfälle oder Cyberangriffe zu schützen.

Diese Backup-Methoden und -Konzepte gibt es

Die Wahl der Backup-Methode für alle Startups und KMU sollte basierend auf einer gründlichen Bewertung der spezifischen Geschäftsbedürfnisse, Datenanforderungen, Wiederherstellungsziele und finanziellen Ressourcen getroffen werden.

Grundsätzlich existieren verschiedene Arten von Datensicherungen, darunter vollständige Backups, inkrementelle und differentielle Backups, sowie Spiegelungen und Cloud-basierte Sicherungen, welche im Falle eines Datenverlustes durch Hardwaredefekte, Softwareprobleme, menschliches Versagen oder Cyberangriffe zur Wiederherstellung genutzt werden können.

Oft ist eine Kombination verschiedener Backup-Methoden die beste Strategie, um sowohl die Datenintegrität als auch die Wirtschaftlichkeit zu maximieren.

Beispiel für eine sinnvolle Backup-Methode:

So könnt ihr zum Beispiel ein vollständiges Backup wöchentlich durchführen und dieses durch tägliche inkrementelle oder differentielle Backups ergänzen, während ihr kritische Daten zusätzlich in der Cloud sichert.

Backup-Methode 1: Vollständige Backups

Bei einem vollständigen Backup werden alle ausgewählten Daten kopiert. Diese Methode bietet den Vorteil einer einfachen und schnellen Wiederherstellung, da alle Daten von einem einzigen Set wiederhergestellt werden können. Allerdings ist sie zeit- und speicherintensiv, da bei jedem Backup eine komplette Kopie der Daten erstellt wird.

Geeignet ist diese Methode für kleine Unternehmen mit relativ geringen Datenmengen oder für solche, die maximale Einfachheit bei der Wiederherstellung bevorzugen.

Backup-Methode 2: Inkrementelle Backups

Inkrementelle Backups minimieren den Speicherbedarf und die Zeit für Sicherungsvorgänge, indem nur jene Daten gesichert werden, die sich seit dem letzten Backup – sei es vollständig oder inkrementell – verändert haben. Dies führt zu einer effizienten Nutzung von Ressourcen, erfordert jedoch bei der Wiederherstellung, dass alle inkrementellen Backups seit dem letzten vollständigen Backup benötigt werden. Inkrementelle und differentielle Backups sind aufgrund ihrer Effizienz in Bezug auf Speicherbedarf und Zeitersparnis für Unternehmen besonders vorteilhaft.

Geeignet für …

Inkrementelle Backups sind für Unternehmen mit begrenzten Backup-Fenstern geeignet sowie solche, die häufige Backups durchführen möchten, um den Datenverlust zu minimieren.

Backup-Methode 3: Differentielle Backups

Differentielle Backups sichern alle Daten, die sich seit dem letzten vollständigen Backup geändert haben. Diese Methode vereinfacht die Wiederherstellungsprozesse im Vergleich zu inkrementellen Backups, da lediglich das letzte vollständige und das letzte differentielle Backup benötigt werden, allerdings mit einem höheren Speicherbedarf als bei der inkrementellen Methode.

Geeignet für …

Geeignet ist dieses Backup-Konzept für KMU, die einen Mittelweg zwischen der Effizienz inkrementeller Backups und der Einfachheit der Wiederherstellung von vollständigen Backups suchen. Unternehmen, die täglich große Mengen an Daten bearbeiten, profitieren von der Fähigkeit der inkrementellen und differentiellen Backup-Methode, nur die Änderungen seit dem letzten Backup zu speichern, wodurch Ressourcen geschont und die Betriebskontinuität gewährleistet wird.

Backup-Methode 4: Spiegelungen

Bei der Spiegelung, oder auch Mirror-Backups genannt, wird eine exakte Kopie der Originaldaten erstellt und synchron gehalten, sodass im Falle eines Datenverlusts auf der primären Seite sofort auf eine identische Kopie zugegriffen werden kann. Im Unterschied zu anderen Backup-Arten wird bei der Spiegelung keine Versionshistorie der Dateien bewahrt; bei jeder Sicherung werden die Änderungen direkt übernommen. Dies bietet den Vorteil einer hohen Zugriffsgeschwindigkeit im Wiederherstellungsfall, birgt jedoch das Risiko, dass Fehler oder unerwünschte Änderungen ebenfalls sofort repliziert werden. Außerdem erfordert diese Methode viel Speicherplatz und eine kontinuierliche Synchronisation.

Geeignet für …

Spiegelungen eignen sich für Unternehmen, die eine sofortige Verfügbarkeit der Daten im Falle eines Ausfalls benötigen, um die Geschäftsprozesse aufrechtzuerhalten. Das Konzept ist also ideal für unternehmenskritische Daten, bei denen eine sofortige Wiederherstellung erforderlich ist. Es ist jedoch wichtig, zusätzliche Sicherheitsmaßnahmen zu ergreifen, um die Gefahr der sofortigen Replikation von Fehlern zu minimieren. Aufgrund der hohen Kosten und des Speicherbedarfs ist sie jedoch weniger geeignet für kleine Unternehmen.

Backup-Methode 5: Cloud-Backups

Cloud-basierte Sicherungen erfreuen sich zunehmender Beliebtheit, da sie eine off-site Datensicherung mit dem Vorteil einfacher Skalierbarkeit, Flexibilität und Zugriff von verschiedenen Standorten bieten. Sie ermöglichen es Nutzern, Daten über das Internet in einer Cloud-Umgebung zu sichern, wodurch physische Schäden am lokalen Speicherort das Backup nicht gefährden. Trotz der vielen Vorteile müssen Aspekte wie Datenschutz, Sicherheit und Abhängigkeit von externen Dienstleistern sorgfältig abgewogen werden. Die Abhängigkeit von der Internetverbindung und die Notwendigkeit, den Datenschutz und die Sicherheitsrichtlinien des Cloud-Anbieters zu prüfen, sind dabei zu berücksichtigen. Je nach Anbieter werden unterschiedliche Sicherheits- und Wiederherstellungsoptionen geboten.

Geeignet für …

Diese Methode ist ideal für Startups und KMU, die Flexibilität, Skalierbarkeit und den Zugriff auf Daten von verschiedenen Standorten aus wünschen, ohne in eine eigene Backup-Infrastruktur investieren zu müssen. Für Unternehmen mit strengen Datenschutz- und Sicherheitsanforderungen oder solche, die eine hohe Verfügbarkeit ihrer Daten gewährleisten müssen, kann eine Kombination aus lokalen und Cloud-basierten Backups eine optimale Lösung darstellen.

Backup-Methode 6: Hybride IT-Umgebungen

Besonders beliebt sind aktuell hybride IT-Umgebungen, welche eine Kombination aus internen (on-premise) und externen (Cloud-basierten) IT-Methoden nutzen. Sie wird von Unternehmen genutzt, um von den Vorteilen sowohl der On-Premise-Hardware als auch die Flexibilität der Cloud-Technologien zu profitieren. Diese Umgebungen sind besonders nützlich, um Flexibilität, Skalierbarkeit und Effizienz zu verbessern, während gleichzeitig bestimmte Anwendungen und Daten aufgrund von Compliance, Sicherheit oder Leistungsanforderungen lokal gehalten werden.

In einer hybriden IT-Umgebung können bestimmte Workloads in der Cloud ausgeführt werden, während andere aufgrund spezieller Anforderungen oder aus strategischen Gründen in einem lokalen Rechenzentrum bleiben. Die Integration und das Management dieser unterschiedlichen Ressourcen erfordern häufig fortgeschrittene Technologien und Ansätze, wie etwa Cloud-Management-Plattformen, die eine einheitliche Verwaltung der Ressourcen ermöglichen.

Zukunftsperspektiven der Datensicherung

Die Evolution der Datensicherung steht an der Schwelle zu einer technologischen Revolution, getrieben durch Fortschritte in Quantencomputing, Künstlicher Intelligenz (KI) und anderen aufkommenden Technologien. Diese Entwicklungen versprechen, die Art und Weise, wie wir Daten sichern und wiederherstellen, grundlegend zu verändern. Folgende Trends und Entwicklungen sind absehbar:

Datensicherung in der Zukunft: Quantencomputing

Quantencomputing wird die Datensicherheit durch die Entwicklung von quantensicheren Verschlüsselungsmethoden, die bestehende Verschlüsselungstechniken unbrauchbar machen, revolutionieren. Diese Technologie ist jedoch nicht nur eine Herausforderung, sondern bietet auch eine Chance für Backup-Systeme, indem sie sehr schnelle und effiziente Datenverarbeitungsverfahren ermöglicht. So wird die Datenwiederherstellung in Zukunft fast in Echtzeit erfolgen, was für Unternehmen bei der Minimierung von Ausfallzeiten im Katastrophenfall von unschätzbarem Wert ist.

Datensicherung in der Zukunft: KI & maschinelles Lernen

KI und ML sind bereits dabei, die Automatisierung von Backups und die Reaktion auf Sicherheitsvorfälle zu transformieren. Zukünftig werden diese Technologien noch weiter in den Vordergrund treten, indem sie nicht nur Anomalien und Muster in Daten erkennen, die auf mögliche Bedrohungen oder Fehler hinweisen, sondern auch proaktiv Backups und Datenwiederherstellungsprozesse steuern und optimieren. KI könnte ferner dazu verwendet werden, die Effizienz von Datenredundanz zu verbessern und sicherzustellen, dass Backups ohne menschliches Eingreifen stets aktuell und sicher sind.

Datensicherung in der Zukunft: Blockchain-Technologie

Die Blockchain-Technologie wird ebenfalls eine wichtige Rolle in der Zukunft der Datensicherung spielen, indem sie für zusätzliche Sicherheits- und Transparenzebenen sorgt. Durch die dezentralisierte Natur der Blockchain können Daten über ein verteiltes Netzwerk gesichert werden, was sie widerstandsfähiger gegen zentrale Angriffe macht und die Integrität der Daten durch kontinuierliche Verifizierung sicherstellt.

Datensicherung in der Zukunft: Internet of Things

In der Welt der IoT (Internet of Things) und Edge-Computing wird die Datenmenge weiter anwachsen, und mit ihr die Notwendigkeit, effiziente und skalierbare Backup-Lösungen zu implementieren. Hier werden neue Technologien zur Datenkomprimierung und -übertragung zum Einsatz kommen, die es ermöglichen, große Datenmengen schnell zu sichern und bei Bedarf wiederherzustellen, ohne dass eine Verbindung zu zentralen Datenzentren erforderlich ist.

Herausforderung: Regulierung & Compliance-Anforderungen

Abschließend werden die zunehmende Regulierung und Compliance-Anforderungen auf Bundes- und EU-Ebene in verschiedenen Branchen die Entwicklung von Backup-Lösungen weiter beeinflussen. Unternehmen müssen sicherstellen, dass ihre Backup-Strategien nicht nur technisch effizient, sondern auch in Übereinstimmung mit internationalen Datenschutzgesetzen und -richtlinien sind.
Die Kombination dieser technologischen Entwicklungen stellt eine ereignisreiche Zukunft für Backup-Strategien in Aussicht, in der Sicherheit, Schnelligkeit und Effizienz der Datenwiederherstellung zentral stehen. Dabei bleibt die fortlaufende Innovation der Schlüssel, um den ständig wachsenden und sich wandelnden Bedrohungen der Cyberwelt erfolgreich zu begegnen.