![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\")
Heute noch eine unbequeme Wahrheit f\u00fcr das Management von Rechenzentren: Stand heute sind die wenigsten Rechenzentren in Deutschland (nach dem geltenden IT-Sicherheitsgesetz) rechtskonform. Ab Mitte 2017 drohen den Betreibern \u2013 und vor allem deren Management \u2013 empfindliche Strafen. <\/p>\n
<\/p>\n
Grund f\u00fcr die missliche Situation der Rechenzentren ist das neue IT-Sicherheitsgesetz, das seit dem 25. Juli 2015 gilt. Dieses gibt die rechtlichen Grundlagen f\u00fcr den Betrieb von Rechenzentren vor. Das Betreiben von nicht rechtskonformen Rechenzentren steht – nach einer zweij\u00e4hrigen \u00dcbergangsfrist – unter Strafe – was auch f\u00fcr das Management eines Unternehmens gilt. Und diese \u00dcbergangsfrist endet am 26. Juli 2017! Also gerade mal in sieben Monaten von heute, werden Organisationen, die es nicht schaffen, die Vorgaben zu erf\u00fcllen, hohe Strafen bezahlen zu m\u00fcssen. Interessant dabei ist, dass selbst das Management des Unternehmens nicht vor Strafen bis zu 100.000 Euro gefeit ist.<\/p>\n
Neben dem recht neuen IT-Sicherheitsgesetz (IT SiG) gibt es diverse andere nationale wie internationale Gesetze, die die Verf\u00fcgbarkeit und die Wiederherstellung von Daten regeln. Das Nichteinhalten dieser Gesetze kann zum Teil empfindliche Strafen nach sich ziehen, die nicht nur das IT-Personal, sondern auch das Unternehmensmanagement betreffen k\u00f6nnen. Die IT-Sicherheit vieler Unternehmen und Organisationen ben\u00f6tigt vielerorts noch dringende Anpassungen der IT hinsichtlich Datenverf\u00fcgbarkeit und Datensicherheit, um geltendem Recht zu entsprechen. Welche Gesetze gibt es, welche Strafen drohen und welche technischen L\u00f6sungen sind notwendig, um auf der sicheren Seite zu sein und volle Sicherheit in einer virtualisierten Welt zu garantieren? Nachfolgend ein \u00dcberblick.<\/p>\n
Das IT SiG ist seit dem Sommer 2015 in Kraft und soll dazu dienen, die allgemeine Sicherheit von IT-Systemen zu erh\u00f6hen. Es ist f\u00fcr bestimmte Branchen g\u00fcltig und beinhaltet vielf\u00e4ltige Verpflichtungen hinsichtlich der Sicherheit von Systemen und Daten. So sind beispielsweise Anbieter von Telemediendiensten jetzt zur Umsetzung von Sicherheitsma\u00dfnahmen nach dem jeweils aktuellen Stand der Technik verpflichtet. Zu dieser Gruppe geh\u00f6ren fast alle nicht dem rein privaten Bereich zuzuordnenden Internet-Angebote, wie Webshops, Online-Auktionsh\u00e4user, Suchmaschinen, E-Mail-Dienste, Informationsdienste, Podcasts, Chatrooms, Social Communities, Webportale und Blogs. <\/p>\n
Zu den wichtigsten Regelungen geh\u00f6ren die \u201etechnischen Sicherungspflichten f\u00fcr Telemediendiensteanbieter im reformierten Telemediengesetz (TMG) und die technischen Mindestanforderungen und Meldepflichten zu IT-Sicherheitsvorf\u00e4llen f\u00fcr die Betreiber kritischer Infrastruktureinrichtungen (KRITIS) im neuen Gesetz \u00fcber das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI-Gesetz \/BSIG).\" Es ist also zuerst einmal wichtig zu wissen, wer denn eigentlich ein Betreiber einer kritischen Infrastruktur, kurz KRITIS, ist.<\/p>\n
Betreiber kritischer Infrastrukturen (KRITIS) sind generell Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ern\u00e4hrung sowie Finanz- und Versicherungswesen. Es geht also um Infrastrukturen, die von gro\u00dfer Bedeutung f\u00fcr das Gemeinwesen sind, weil St\u00f6rungen oder deren Ausfall zu gravierenden Versorgungsengp\u00e4ssen oder Gef\u00e4hrdungen der \u00f6ffentlichen Sicherheit f\u00fchren w\u00fcrden. <\/p>\n
KRITIS-Betreiber sind verpflichtet, entsprechende Ma\u00dfnahmen zu ergreifen, die ihre IT inklusive der zugeh\u00f6rigen Prozesse vor St\u00f6rungen sch\u00fctzt oder die St\u00f6rung mit Mitteln zu beseitigen, die dem \u201eStand der Technik\" gerecht werden. Dazu kommen bei Sicherheitsvorf\u00e4llen noch gewisse Meldepflichten beim Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI). Bei Verst\u00f6\u00dfen gegen die Vorschriften k\u00f6nnen
Bu\u00dfgelder bis zu 100.000 Euro verh\u00e4ngt werden.<\/p>\n
Um nicht mit einem Schlag die meisten Betreiber kritischer Systeme in eine legale Grauzone zu bringen, bekamen diese vom Tag des Inkrafttretens der neuen Gesetzgebung zwei Jahre Zeit passende L\u00f6sungen einzuf\u00fchren, um den Verpflichtungen des Gesetzes nachzukommen. Anschlie\u00dfend m\u00fcssen alle betroffenen Organisationen gegen\u00fcber dem BSI mindestens alle zwei Jahre nachweisen, dass Ihre IT den Bestimmungen gerecht wird. Da die Ma\u00dfnahmen kein eigenst\u00e4ndiges Gesetz als solches, sondern eher die Erweiterungen bereits bestehender Gesetzgebung sind, gilt die Neuregelung f\u00fcr Telekommunikations- und Telemedienanbieter bereits heute. <\/p>\n
\nMehr Details finden sich im Whitepaper \"Das neue IT-Sicherheitsgesetz: Erweiterte Rechtspflichten und potenzielle Haftungsfallen des modernen IT-Sicherheitsmanagements\" von Dr. Jens B\u00fccking, Seite 15 ff. Das Whitepaper l\u00e4sst sich hier herunterladen. Aktuell geht beim Download die Dateinamenerweiterung verloren. Daher muss an nach dem Download die Dateinamenerweiterung .pdf an den Dateinamen anh\u00e4ngen. Anschlie\u00dfend l\u00e4sst sich das Dokument in einem PDF-Reader \u00f6ffnen. <\/p>\n<\/blockquote>\n
Weitere rechtliche Grundlagen au\u00dferhalb des IT SiG<\/h3>\n
Rechtliche Grundlagen f\u00fcr Unternehmen und Organisationen, die nicht unter das IT SiG fallen, sind ebenfalls vorhanden und vielf\u00e4ltig. So gibt es zur Datensicherheit im Disaster-Fall das Bundesdatenschutzgesetz (BDSG), das im BDSG \u00a7 9 regelt, dass alle Organisationen, die mit personenbezogenen Daten zu tun haben, entsprechende technische und organisatorische Ma\u00dfnahmen treffen m\u00fcssen, die den Anforderungen des BDSG gerecht werden. Dazu z\u00e4hlt auch ein geeignetes Disaster-Recovery-Konzept vorweisen zu k\u00f6nnen. Dieses muss sicherstellen, dass Daten auch dann nicht verloren gehen, wenn diese versehentlich zerst\u00f6rt oder gel\u00f6scht werden, zum Beispiel durch menschliches Versagen. <\/p>\n
Wichtige Systeme, wie etwa ERP, m\u00fcssen nach einem Disaster umgehend wieder mit aktuellen Daten laufen. Nur bei weniger wichtigen Daten und Applikationen wird mehr Zeit einger\u00e4umt. Ein zeitgem\u00e4\u00dfes BC\/DR-Konzept muss dokumentiert sein und auch regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden.<\/p>\n
Zum neuen IT SiG und dem BDSG \u00a7 9 kommen noch weitere rechtliche Grundlagen f\u00fcr die Sicherung und Aufbewahrung von Daten hinzu, die es ebenfalls zu ber\u00fccksichtigen gilt. Dazu geh\u00f6ren das Handelsgesetzbuch (\u00a7\u00a7 257, 239 Abs. 4 HGB) und die Abgabenordnung (\u00a7\u00a7 146 Abs. 5, 147 AO) in Verbindung mit den Grunds\u00e4tzen zur ordnungsm\u00e4\u00dfigen F\u00fchrung und Aufbewahrung von B\u00fcchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD von 2014), die f\u00fcr alle Buchf\u00fchrungspflichtige g\u00fcltig sind.<\/p>\n
F\u00fcr diejenigen, die unter keine branchenspezifischen Vorschriften fallen, gelten die handels- und steuerrechtlichen Regularien f\u00fcr die Verf\u00fcgbarkeit, Sicherheit, Integrit\u00e4t und Auffindbarkeit der Daten. Die IT-Systeme m\u00fcssen gegen Datenverlust und unberechtigten Zugriff oder Ver\u00e4nderungen gesch\u00fctzt sein. Dar\u00fcber hinaus gibt es sogar noch internationale Regelungen auf europ\u00e4ischer Ebene, die es zu beachten gilt.<\/p>\n
Aktuelle Rechtsprechung: Outsourcing sch\u00fctzt nicht vor Haftung<\/h3>\n
Die IT-Sicherheit hinsichtlich der Unternehmensdaten geh\u00f6rt aus Sicht der Rechtsprechung zu den \u201e…unternehmerischen Selbstverst\u00e4ndlichkeiten im Zeitalter digitaler Datenverarbeitung… Die Arbeitsgerichtsbarkeit wertet das betriebliche Interesse an Datensicherheit als Rechtsgut, das h\u00f6her zu werten ist als das der unternehmerischen Mitbestimmung. <\/p>\n
Nicht zuletzt das h\u00f6chste deutsche Zivilgericht, der Bundesgerichtshof, sieht die Sicherheit der Kommunikation als Compliance-relevante Verpflichtung an. Unternehmenskritische – und insbesondere auch beweiserhebliche – Dokumente m\u00fcssen aus Gr\u00fcnden der Rechtssicherheit und Beweisf\u00fchrung vorgehalten werden. Wird dies nicht erm\u00f6glicht, kann ein Prozess bereits unter blo\u00dfen Beweislastgesichtspunkten wegen \u201eBeweisf\u00e4lligkeit\" verloren gehen.\" (Quelle: \u201eDas neue IT-Sicherheitsgesetz: Erweiterte Rechtspflichten und potenzielle Haftungsfallen des modernen IT-Sicherheitsmanagements\", Whitepaper, Dr. Jens B\u00fccking, Seite 12).<\/p>\n
Wichtig ist in diesem Zusammenhang, dass durch Outsourcing, zum Beispiel an Cloud Provider, die haftungsrechtliche Verantwortung hinsichtlich der IT-Sicherheit nicht oder nicht komplett abgegeben werden kann. Je nach Fall kann die beauftragende Organisation zu 100 Prozent in der Haftung bleiben, obwohl der Fehler beim Outsourcer geschehen ist.<\/p>\n
Sanktionen gegen die entsprechenden Gesetzesgrundlagen k\u00f6nnen je nach Vorfall, Auswirkung und Schweregrad sehr teuer werden und auch das Management kann pers\u00f6nlich haftbar gemacht werden. Vers\u00e4umnisse beim IT-Risikomanagement k\u00f6nnen zudem zum Verlust des Versicherungsschutzes f\u00fchren. Mangelnde IT-Compliance ist als Erh\u00f6hung der versicherten Gefahr z. B. in der IT-Coverage und in der Director's and Officer's-Versicherung anzeigepflichtig.<\/p>\n
Synchrone Spiegelung bietet alleine keine Rechtsicherheit<\/h3>\n
Business Continuity Management wird heutzutage in der Praxis sehr h\u00e4ufig in Form synchroner Spiegel f\u00fcr den unterbrechungsfreien Betrieb der gesch\u00e4ftskritischen Systeme und Applikationen realisiert. Im Hinblick auf das neue IT SiG und andere gesetzliche Regelungen ist dies alleine aber nicht ausreichend, da mit dieser Methode nur physische Fehler abgedeckt werden k\u00f6nnen. <\/p>\n
Unter dem Aspekt der Ausfallsicherheit ist der aktuelle Stand der Technik nicht mehr nur in der Synchronisation zu sehen, sondern in einer Kombination von redundanten Rechenzentren und einer Softwaretechnologie, die von logischen Fehlern betroffene Systeme in Sekunden wieder produktiv werden l\u00e4sst.<\/p>\n
Logische Fehler sind laut Studien in 50 bis 70 Prozent der F\u00e4lle verantwortlich f\u00fcr Datenverlust (Quellen: NTZ, Forrester, Ponemon). Bei synchroner Spiegelung bedeutet dies, dass der Fehler wie jede andere \u00c4nderung repliziert wird, so dass ein Ausweichen auf die Kopie nat\u00fcrlich keinen Sinn ergibt. Eine Wiederherstellung des nicht-korrupten Datenbestandes, beziehungsweise der lauff\u00e4higen Applikation, bedeutet mit konventionellen Methoden einen hohen Aufwand und unter Umst\u00e4nden auch Datenverlust, da hierzu meist noch auf veraltete Snapshot- und Backuptechnologien zur\u00fcckgegriffen werden muss. <\/p>\n
Diese L\u00f6sungen sind au\u00dferdem sehr komplex und aufw\u00e4ndig in der Verwaltung, da gleich mehrere Systeme und Anwendungen bedient werden m\u00fcssen. Sie gehen fast immer mit Datenverlust und\/oder einer sehr langen Wiederanlaufzeit einher. Unternehmen, die nur auf Hardware-basierte Replikation mit synchronen Spiegeln setzen, betreiben h\u00f6chstwahrscheinlich ein System, das den gesetzlichen Anforderungen nicht gerecht wird und ben\u00f6tigen eine neue L\u00f6sung um ihr System nicht nur sicher sondern auch rechtskonform zu machen.<\/p>\n
Hypervisor-basierter Replikation bietet Rechtsicherheit<\/h3>\n
Ein moderner, ganzheitlicher Ansatz f\u00fcr BC\/DR, der die Nachteile des veralteten synchronen Spiegels ausgleicht und Systeme, die den rechtlichen Anforderungen nicht gen\u00fcgen, aus der juristischen Grauzone holt, kann in Hypervisor-basierter Replikation bestehen. <\/p>\n
Da dabei Replikation im Hypervisor geschieht, ist dieser Ansatz Applikations-\u00fcbergreifend und komplett unabh\u00e4ngig von der darunter liegenden Hardware. Durch die Unabh\u00e4ngigkeit von der Hardware k\u00f6nnen an den IT-Standorten sogar unterschiedliche Systeme eingesetzt werden und die L\u00f6sung sch\u00fctzt Applikationen in VMware- oder Hyper-V-Umgebungen trotzdem. <\/p>\n
Asynchrone Replikation bietet hier den Vorteil, dass es keine Beeintr\u00e4chtigung der produktiven Umgebung gibt und keine Einschr\u00e4nkung der Entfernung zwischen den Standorten, wie es bei synchronen Spiegeln eigentlich notwendig ist. Besonders wichtig in einer virtuellen Umgebung ist die M\u00f6glichkeit, die Replikation Applikations-konsistent zu gestalten, was beispielsweise mittels CDP, Continuous Data Protection, m\u00f6glich ist.<\/p>\n
Bei diesem Ansatz werden die Daten ohne Snapshots kontinuierlich mit nur einem kleinen Zeitversatz im Sekundenbereich repliziert was RPOs (Recovery Point Objectives) im Sekundenbereich erm\u00f6glicht sowie RTOs (Recovery Time Objectives) im Minutenbereich. \u00c4hnlich wie bei anderen L\u00f6sungen k\u00f6nnen die Daten komprimiert werden oder es kann ein Throtteling eingeschaltet werden, um eventuelle Bandbreitenrestriktionen abfedern zu k\u00f6nnen.<\/p>\n
Beispiel SAP<\/h3>\n
Mit Hypervisor-basierter Replikation kann ein Unternehmen im Falle eines Disasters in Sekundenschritten zu dem Zeitpunkt in der Vergangenheit zur\u00fcck gehen, an dem die Daten noch konsistent waren. Zudem wird die gesamte Applikation mit einbezogen, was am Beispiel von SAP bedeutet, dass der gesamte SAP-Applikationsstack von einem konsistenten Checkpoint f\u00fcr die Anwendung und von jedem Zeitpunkt in Sekundenschritten, bis zu 30 Tagen r\u00fcckwirkend, wiederhergestellt werden kann. <\/p>\n
Dies wird erm\u00f6glicht, indem Virtual Protection Groups (VPGs) gebildet werden, die konsistenten Schutz und Recovery des gesamten Applikationsstacks und aller SAP-Module mit hypervisor-basierter Replikation realisieren. Dadurch wird gew\u00e4hrleistet, dass der Applikationsstack und \u00e4hnliche Systeme au\u00dferhalb von SAP auch nach der Wiederherstellung weiterhin synchron sind. Dies garantiert eine konsistente und funktionst\u00fcchtige Wiederherstellung mit RPOs in Sekundenschritten ohne manuelle Nachkonfiguration der Applikation. <\/p>\n
Pflichterf\u00fcllung mit einfachen Mitteln<\/h3>\n
Zwischen Theorie und Praxis klaffen mitunter gro\u00dfe Unterschiede. Ob ein Wiederherstellungsprozess funktioniert, und damit rechtskonform ist, kann man nur mittels eines Distaster-Recovery-Tests (DR-Test) herausfinden. Konventionelle DR-Tests sind h\u00e4ufig ein sehr schwieriges Unterfangen und oft mit Wochenendeins\u00e4tzen und \"Offline-gehen\" verbunden. <\/p>\n
Eine moderne L\u00f6sung macht das Testen der Notfallwiederherstellung im laufenden Betrieb m\u00f6glich und das inklusive eines Reports, der anschlie\u00dfend f\u00fcr die Dokumentation und Audits verwendet werden kann.<\/p>\n
Die rechtlichen Bestimmungen f\u00fcr die Sicherheit der IT wurden mit der Einf\u00fchrung des IT SiG noch weiter versch\u00e4rft. Nicht nur Betreiber offiziell \u201ekritischer Infrastrukturen\" m\u00fcssen darauf achten, dass ihre Systeme hinsichtlich der Gesch\u00e4ftskontinuit\u00e4t und der Notfallwiederherstellung legal sind. Sind sie das nicht, drohen empfindliche Strafen, auch f\u00fcr das Management. <\/p>\n
Aktuelle, Hardware-basierte L\u00f6sungen, greifen zu kurz und werden den neuen Bestimmungen nicht gerecht. Ein Ansatz, der volle Rechtssicherheit bietet, besteht aus einer ganzheitlichen BC\/DR-L\u00f6sung aufbauend auf hypervisor-basierter Replikation. Eine solche L\u00f6sung bietet auch einfaches DR-Testing, mit dessen Hilfe die rechtskonforme Einsatzbereitschaft der Systeme dokumentiert und gegen\u00fcber Kunden, Partnern und den Beh\u00f6rden nachgewiesen werden kann.<\/p>\n
\nMehr Details siehe \u201eDas neue IT-Sicherheitsgesetz: Erweiterte Rechtspflichten und potenzielle Haftungsfallen des modernen IT-Sicherheitsmanagements\", Whitepaper, Dr. Jens B\u00fccking,, Seite 15 ff.<\/p>\n<\/blockquote>\n
Anmerkung: Der Text zur rechtlichen Einsch\u00e4tzung stammt von Andreas Mayer und wurde mir zur Verf\u00fcgung gestellt. Andreas Mayer hat rund 20 Jahre Erfahrung in der IT-Industrie und ist Marketing Manager bei Zerto. Er besch\u00e4ftigt sich seit Jahren mit Technologien f\u00fcr Business Continuity und Notfallwiederherstellung und bekleidetet vor Zerto verschiedene Positionen bei Commvault.<\/p>\n