Gelegentlich werde ich gefragt, wie man sinnvoll Backups organisiert oder konkreter, was eigentlich die 3-2-1-Regel ist. Es gibt natürlich eine Reihe von Quellen im Netz, aber trotzdem hier ein kleiner Beitrag dazu. Außerdem ein paar Sätze zur wichtigen Unterscheidung von Backup und Archivierung und welche Rolle die Datenschutzgrundverordnung (DSGVO) dabei spielt.
Wer Backups seiner Daten anlegt, muss sich zwangsläufig Gedanken darüber machen, wie die Backups organisiert werden oder auf welchen Medien sie gespeichert werden.
Eine bewährte Regel dazu ist die 3-2-1-Regel. Sie organisiert die Backup-Praxis anhand von drei einfachen Regeln:
3 — Drei Kopien der Daten vorhalten
Von den zu sichernden Daten sollten drei Kopien vorgehalten werden. Als eine „Kopie“ können dabei die Daten gelten, mit denen aktuell gearbeitet wird; dann hätte man eine Arbeitskopie und zwei Backups, mithin drei Orte, an denen die Daten gespeichert sind.
Drei Versionen klingt zunächst viel. Aber wenn nur ein Backup kaputt geht, wäre — wenn man die Arbeitskopie als eigene Version zählt — nur noch ein Backup übrig. Es braucht keine große Fantasie um zu sehen, dass es auch bei dieser scheinbar großen Redundanz ganz schnell sehr eng werden kann.
2 — Backup mit zwei unterschiedlichen Medien-Technologien
Hier ist nicht nur gemeint, dass mehrere Backups auf unterschiedlichen Geräten gespeichert werden sollen. Es versteht sich von selbst, dass es wenig sinnvoll ist, z.B. zwei Backups auf derselben Festplatte unterzubringen. Ginge das Backup-Medium kaputt, wären beide Backups weg.
Es ist aber auch nicht gemeint, einfach zwei Geräte der gleichen Technologie zu nehmen. Vielmehr sollten wirklich zwei unterschiedliche Technologien gewählt werden, z.B. Festplatte und Bandlaufwerk. Durch die Mischung der Technologien sinkt die Wahrscheinlichkeit des gemeinsamen Ausfalls eines Backup-Mediums.
Bei der Kombination von Festplatte und Bandlaufwerk hätte man ein schnelles, aber fehleranfälliges System (Festplatte) mit einem langsamen, aber robusten System kombiniert und hätte so einen perfekten Mix.
1 — Ein Backups außer Haus
Liegen nun mehrere Backups auf unterschiedlichen Speichertechnologien vor, sollte immer mindestens ein Datenträger außer Haus gelagert werden. Dies ist wichtig, um auch bei wirklich groben Schäden wie Brand oder Einbruch ein Backup zu Hand zu haben, dass sicher nicht von der Katastrophe betroffen ist.
Wenn man das Backup aus dem Hause trägt, kann es verloren gehen. Für diesen Fall ist es wichtig, dass die Daten verschlüsselt gespeichert werden.
Typisch wird ein externes Backup-Medium in einem Bankschließfach oder einer anderen Filiale gelagert werden.
Backup-Typen und Backup-Häufigkeit
Noch wenig ist damit darüber gesagt, wie ein Backup denn nun vorgenommen werden sollte, was also auf die Medien drauf soll. Dies wird stark vom Einzelfall abhängen. Sind nur wenige Megabyte an Daten zu sichern ist die Situation eine andere als bei vielen Tera-Byte. Auch die verwendete Backup-Software spielt für das Vorgehen eine Rolle. Ebenso muss berücksichtigt werden, wie schnell sich die Daten ändern: Je schneller die Daten sich ändern, desto häufiger muss man ein Backup anlegen.
Voll-Backup
Bei einem Voll-Backup werden alle Daten 1:1 gesichert. Es werden alle Daten komplett auf das Backup-Medium kopiert. Ein Voll-Backup steht dabei meist am Anfang der Backup-Historie, wird aber aus Sicherheitsgründen auch laufend immer wieder vorgenommen werden.
Je größer der Datenbestand, desto deutlicher aber auch der Nachteil des Voll-Backups: sein hoher Speicherbedarf.
Image
Ein Sonderfall eines Voll-Backups ist das Image. Dabei werden nicht einzelne Dateien gesichert, sondern eine exakte Kopie eine Festplatte mit wirklich allen Daten, gegebenenfalls z.B. auch dem Betriebssystem. Images werden weniger angelegt, um Daten zu sichern, als vielmehr um Rechner- bzw. Betriebssystemkonfigurationen zu sichern.
Inkrementelles Backup
Bei einem inkrementellen Backup werden in einem Backup nur die Daten gesichert, die sich seit dem letzten Backup geändert haben.
Dies reduziert gerade bei geringen Änderungen die Menge der zu sichernden Daten deutlich. Unter Umständen kann deshalb sogar häufiger ein Backup zwischengeschoben werden, weil sich der Aufwand und der Speicherbedarf deutlich verringern.
Aber nichts ist umsonst. Bei einem Restore des Backups steigt hier der Aufwand, denn in diesem Falle müssen mehrere Backups zurückgespielt werden: Das letzte Voll-Backup und alle darauf folgenden inkrementellen Backups.
Differentielles Backup
Während bei inkrementellen Backups die Differenzen zum jeweils letzten Backup gesichert werden, sichert ein differentielles Backup die Differenzen zum letzten Voll-Backup.
Dem Nachteil der damit steigenden Größen der Backups steht der Vorteil entgegen, dass für ein Restore nur zwei Backups nötig sind: das letzte Voll-Backup und das letzte differentielle Backup.
Backups und die Datenschutzgrundverordnung (DSGVO)
Wer irgendwie personenbezogene Daten speichert, muss sich um den Datenschutz kümmern. Und so ist die DSGVO ist auch im Zusammenhang von Backup und Archivierung relevant.
Zum einen ist jeder, der personenbezogene Daten speichert, dazu verpflichtet, die Daten auch vor Verlust zu schützen, Art. 5 Abs. f, oder Art. 32 Abs. 2) Auch ohne es konkret zu benennen, erfordert die DSGVO damit indirekt auch ein Backup der Daten.
Zum anderen muss für gespeicherte personenbezogene Daten eine Speicher- bzw. Löschfrist angegeben werden. Außerdem können betroffene Personen die Löschung ihrer Daten verlangen. Dies hat unmittelbare Folgen auch für das Backup, denn damit muss man sich Gedanken darüber machen, wie man diesen Anforderungen genügen kann.
Zunächst wird dies sicher heißen, dass man Backups nicht ewig wird behalten dürfen. Ein Beispiel zeigt aber, dass es noch komplexer geht: Angenommen, ein Kunde verlangt die Löschung seiner Daten. Bereits gespeicherte Rechnungen betrifft dieser Wunsch nicht, diese muss der Datenverarbeiter zehn Jahre archivieren, eine Löschung kann nicht verlangt werden. Die Löschung der Kontaktdaten muss aber vorgenommen werden und so werden sie korrekt aus der Kundendatenbank gelöscht. Nun aber stürzt die Datenbank ab und zerstört dabei die gesamten gespeicherten Daten. Zunächst kein Problem, denn Dank eines nächtlichen Backups ist alles schnell restored. Doch: Die Kundendaten, die ja auf dem System korrekt gelöscht wurden, sind im Backup noch vorhanden und somit nach dem Restore zurück in der Datenbank! Und so hat man, obwohl zunächst alles korrekt gelaufen zu sein scheint, unrechtmäßig gespeicherte Daten in der Datenbank.
Das Beispiel zeigt, dass man sich ggf. Gedanken darüber machen muss, dass es nicht passiert, dass über den Umweg des Restores des Backups eigentlich gelöschte Dateien wieder in das System zurückkehren und man sich so einem Datenschutzproblem gegenüber sieht. Je nachdem, wie häufig solche Probleme auftauchen können, ist es mit einem einfachen Speichern-und-Zurückschreiben als Backup-Methode nicht getan.
Ein Beispiel
Ein kleines Beispiel soll zeigen, was das alles in der Praxis bedeuten kann. Das Beispiel geht von einem kleinen Unternehmen mit mehreren Rechnern aus.
Die wichtigen, von allen genutzten Daten liegen nicht auf den einzelnen Arbeitsplatzrechnern. Sollte ein solcher Rechner ausfallen sollten auch keine Unternehmensdaten betroffen sein. Alle Mitarbeiter können weiterarbeiten wie bisher. Nur der Mitarbeiter dessen Rechner nun nicht mehr zur Verfügung steht, ist betroffen. Wie mit dem Backup dieser Arbeitsplatz-Rechner zu verfahren ist, ob überhaupt eines nötig ist, ist deshalb ein eigenes Thema. (Hier könnte man z.B. an gelegentliche Images der Festplatten der Arbeitsplatzrechner denken.)
Alle unternehmensrelevanten Daten liegen auf einem gemeinsam genutzten NAS. Das ist als RAID-1-System mit zwei Festplatten so konfiguriert, das zwei Platten sich gegenseitig spiegeln. Die Wahrscheinlichkeit eines Datenverlusts ist hier schon deutlich geringer als bei einzelnen Platten. (Letztlich hat man hier durch die zweite Festplatte bereits eine Art erstes Backup.)
Die Daten des NAS werden immer sonntags komplett gesichert: Einmal auf eine am NAS angeschlossene externe Festplatte, einmal auf ein Band eines externen Bandlaufwerks, das nach dem Backup in einem Bankschließfach extern gelagert wird. Zur Sicherheit ist dieses extern gelagerte Backup verschlüsselt, falls es (z.B. beim Transport) verloren geht.
Täglich werden zudem nachts inkrementelle Backups angelegt, verschlüsselt und in einem Cloud-Speicher abgelegt.
Dabei müssen immer nur die inkrementellen Backups der letzten sieben Wochentage vorgehalten werden. Da jeden Sonntag ein neues Vollbackup angelegt wird, beziehen sich die inkrementellen Backups immer nur auf das Vollbackup des letzten Sonntags. Auch wenn man aus Sicherheitsgründen mehrere Vollbackups und mehrere wöchentliche inkrementelle Backup-Läufe vorhalten wird, kann man hier also durchaus gelegentlich aufräumen. (Im Hinblick auf einzuhaltende Speicherfristen auf der Grundlage der DSGVO wird man dies sogar tun müssen.)
Backup vs. Archivierung
Gerade auch im Hinblick auf den Datenschutz und die damit verbundenen Löschverpflichtungen und Speicherfristen ist die Unterscheidung von Backup und Archivierung wichtig.
Grundsätzlich kann man sagen: Das Archiv ist keine laufende Sicherung. Es ist eine Lager für Daten, die dauerhaft, d.h. für längere Zeit (z.B. über Jahre) vorgehalten werden müssen und nicht gelöscht werden dürfen.
Dies scheint zunächst kein wesentlicher Unterschied, wird aber v.a. im Hinblick die Anforderungen der DSGVO wichtig. Denn um der DSGVO zu genügen, müssen für alle gespeicherten Daten Lösch- bzw. Speicherfristen angegeben werden. Daten, die man innerhalb von wenigen Monaten löschen muss, dürfen also ins Backup, i.d.R. aber nicht ins Archiv gehen. (Wobei hier davon ausgegangen wird, dass ältere Backups fristgerecht gelöscht werden.)
Ebenfalls aufgepasst werden muss mit Daten, deren Löschung von den betroffenen Personen verlangt werden kann. Auch diese Daten dürfen nicht ins Archiv — es sein denn, man kann es nicht vermeiden oder kann sich die Arbeit leisten, die archivierten Daten nach den zu löschenden Daten zu durchforsten.
Das Archiv sollte also wirklich nur Daten enthalten, die man im Idealfalle trotz Anforderungen der DSGV nie wieder anfassen muss bzw. die nach einer sehr langen Zeit komplett vernichtet werden.