Inhalt

    Nr. 2.11– Wiederherstellbarkeit nach physischem oder technischem Zwischenfall
    (Art. 32 Abs. 1 lit. c DSGVO)

    Kriterium

    Kriterium
    (1) Der Cloud-Anbieter stellt durch risikoangemessene TOM sicher, dass nach einem physischen oder technischen Zwischenfall der Cloud-Dienst und die Daten rasch wiederhergestellt werden und verfügbar sind. Hierbei wird zwischen den Wiederherstellbarkeitsklassen 1, 2 und 3 unterschieden:
    Wiederherstellbarkeitsklasse 1
    Der Cloud-Anbieter sichert seinen Dienst gegen zu erwartende, naheliegende Ereignisse so zuverlässig ab, dass diese Risiken bei normalem Verlauf nicht zu einem Ausfall des Cloud-Dienstes oder einem endgültigen Datenverlust führen. Ereignisse sind zu erwartend und naheliegend, wenn sie nicht vorkommen sollen, nach der Lebenserfahrung aber trotz hinreichender Vorsicht nicht ausgeschlossen werden können, wie etwa Unfälle im Straßenverkehr oder der technische Defekt von Hardware.
    Wiederherstellbarkeitsklasse 2
    Der Cloud-Anbieter sichert seinen Dienst gegen seltene Ereignisse so zuverlässig ab, dass diese Risiken bei normalem Verlauf der Datenverarbeitung nicht zu einem Ausfall des Cloud-Dienstes oder einem endgültigen Datenverlust führen. Ereignisse sind selten, wenn sie nicht vorkommen sollen und nach der Lebenserfahrung bei hinreichender Vorsicht wenig wahrscheinlich, aber gleichwohl in einigen Fällen zu beobachten sind, wie etwa „Jahrhunderthochwasser“ oder gezielte, umfangreiche Angriffe auf den Cloud-Dienst oder ein plötzlich erhöhtes Zugriffsvolumen.
    Wiederherstellbarkeitsklasse 3
    Der Cloud-Anbieter gewährleistet für seinen Dienst einen hohen Schutz zu, der außergewöhnliche, aber nicht als theoretisch auszuschließende Ereignisse so zuverlässig absichert, dass diese Risiken bei normalem Verlauf der Datenverarbeitung nicht zu einem Ausfall des Cloud-Dienstes oder einem endgültigen Datenverlust führen. Ereignisse sind außergewöhnlich, aber nicht als theoretisch auszuschließen, wenn sie nicht vorkommen sollen und nach der Lebenserfahrung nicht auftreten, aber gleichwohl in extrem seltenen Einzelfällen zu beobachten sind, wie etwa „Black Swan“-Ereignisse oder ein unkontrollierbarer Blitzeinschlag ins Rechenzentrum.
    (2) Der Cloud-Anbieter stellt dem Cloud-Nutzer sein Konzept der geeigneten TOM auf Anfrage zur Verfügung.

    Erläuterung

    Das Kriterium fördert das Gewährleistungsziel der Verfügbarkeit (SDM C1.2). Gemäß Art. 32 Abs. 1 lit. c DSGVO muss die Wiederherstellung „rasch“ erfolgen. Was als „rasch“ gilt, hängt auch von der Schwere des Zwischenfalls und der Bedeutung der Systeme und Daten ab. Z.B. sind an die Wiederherstellbarkeit des Dienstes und der Daten im Krankenhaus strengere Anforderungen zu stellen als an die im Datenarchiv.
    Da die Verfügbarkeit von Diensten und personenbezogenen Daten nicht notwendigerweise mit ihrer Schutzbedürftigkeit nach dem Schutzklassenkonzept zusammenfallen muss, sondern auf der Seite des Cloud-Nutzers auch das Erfordernis bestehen kann, dass personenbezogene Daten der Schutzklasse 1 nach einem physischen oder technischen Zwischenfall sehr schnell wiederhergestellt sein müssen, wird bei diesem Kriterium nicht nach den Schutzklassen unterschieden.
    Stattdessen wird die Möglichkeit der Wiederherstellung in den Wiederherstellbarkeitsklassen 1, 2 und 3 ausgedrückt. Für eine Differenzierung spricht auch, dass es bei der Wiederherstellung nach einem physischen oder technischen Zwischenfall nicht wie bei den anderen Kriterien der Nummer 2 um den Normalbetrieb geht, sondern um physische oder technische Störfälle.
    Als Ereignisse gelten Naturereignisse, Störungen der Infrastruktur sowie Betriebsstörungen, Bedienungsfehler oder vorsätzliche Eingriffe.

    Umsetzungshinweis

    Wiederherstellbarkeitsklasse 1
    Zur Wiederherstellung von Daten und Systemen sollte ein Cloud-Anbieter ein wirksames Datensicherungskonzept erstellen, in dem er Systeme zu Datensicherungen, Pläne zur Wiederherstellung und zur Schadensbegrenzung sowie einen Plan zur regelmäßigen Überprüfung und Aktualisierung der vorgesehenen Maßnahmen vorsieht (s. BSI C5 Anf. RB-06). Bei der Datensicherung ist zwischen Backups und Snapshots virtueller Maschinen zu unterscheiden. Snapshots ersetzen kein Backup, können jedoch Teil der Backup-Strategie sein.
    Es sollten regelmäßig Sicherheitskopien von Daten, Prozesszuständen, Konfigurationen, Datenstrukturen, Transaktionshistorien u. ä. gemäß einem Datensicherungskonzept angefertigt werden. Hierin sollten auch Aufbewahrungs- und Schutzanforderungen festgelegt werden. Die Wiederherstellbarkeit der Sicherheitskopien sollte regelmäßig überprüft werden.
    Die Datensicherungsstrategien und -maßnahmen des Datensicherungskonzepts sollten für Cloud-Nutzer transparent definiert werden, sodass alle Informationen nachvollziehbar sind, einschließlich Umfang, Speicherintervallen, Speicherzeitpunkten und Speicherdauern.
    Auf die Umsetzungshinweise im BSI C5 Anf. RB-01, RB-02, RB-04, RB-06 bis RB-09 wird hingewiesen.
    Für die Aufstellung eines Datensicherungskonzepts sind die Umsetzungshinweise aus ISO/IEC 27002 Ziff. 11.1.4, 11.2.2, 12.1.3, 12.3, 17.1.2, ISO/IEC 27018 Ziff. 12.3.1, A.10.3 und ISO/IEC 27701 Ziff. 6.9.1, 6.9.3, 6.13, 6.14 anwendbar.
    Wiederherstellbarkeitsklasse 2
    Bei betriebswichtigen Systemen und Diensten sollten die Datensicherungsvorkehrungen alle Systeminformationen, -anwendungen und -daten umfassen, die zur Wiederherstellung des kompletten Systems bei einem Schaden erforderlich sind.
    Im Rahmen der Betriebsabläufe sollten die Durchführung von Datensicherungen überwacht und Maßnahmen bei fehlgeschlagenen geplanten Datensicherungen festlegt werden, um die Vollständigkeit der Backups nach der Datensicherungsrichtlinie zu gewährleisten (s. ISO/IEC 27002 Ziff. 12.3.1).
    TOM zur Überwachung und Provisionierung bzw. De-Provisionierung von Cloud-Dienstleistungen sind definiert.
    Neben der Erstellung von Sicherheitskopien sollte der Cloud-Anbieter ein Notfallmanagement mit entsprechenden Notfallplänen etablieren. Dabei gilt es unter anderem, mögliche Unterbrechungen zu identifizieren und zu bewerten, sodass Pläne zur Wiederherstellung und Schadensbegrenzung entwickelt und im Notfall eingesetzt werden können. Die entwickelten Notfallpläne sind fortlaufend zu aktualisieren und auf ihre Wirksamkeit zu testen, um bei einem Eintritt einer Unterbrechung eine möglichst schnelle Reaktion sicherzustellen.
    Auf die Umsetzungshinweise im BSI C5 Anf. BCM-01 bis BCM-05 wird hingewiesen.
    Wiederherstellbarkeitsklasse 3
    Die Datensicherungen sollten an einem oder mehreren externen Orten in ausreichender Entfernung redundant aufbewahrt werden, um vor Schäden am Hauptstandort geschützt zu sein (s. ISO/IEC 27002 Ziff. 12.3.1). Datensicherungen sollten mittels Verschlüsselung auf dem aktuellen Stand der Technik geschützt werden.
    Der Zugriff auf die gesicherten Daten ist auf autorisiertes Personal beschränkt (s. BSI C5 Anf. RB-06). Wiederherstellungsprozesse beinhalten Kontrollmechanismen, die sicherstellen, dass Wiederherstellungen ausschließlich nach Genehmigung durch hierfür autorisierte Personen gemäß den vertraglichen Vereinbarungen mit dem Cloud-Nutzer oder den internen Richtlinien des Cloud-Anbieters erfolgen.

    Nachweis

    Der Cloud-Anbieter kann den Nachweis erbringen, indem er im Datensicherheitskonzept dokumentiert, mit welchen Ereignissen er sich auseinandergesetzt hat, die zu einem physischen, organisatorischen oder technischen Zwischenfall führen können, und welche konkreten Maßnahmen zur Wiederherstellbarkeit der Daten nach einem Zwischenfall er ergriffen hat.
    Weitere Dokumente als Nachweis zur Wiederherstellbarkeit können insbesondere die Dokumentation der TOM, Verfahrensanweisungen, Richtlinien, Protokolle zu Testläufen der Datenwiederherstellung, Ergebnisse interner/externer Audits, Risikoanalysen und Produktbeschreibungen sein.
    Die Implementierung und die Angemessenheit der geeigneten TOM sollten durch repräsentative Stichproben im Rahmen eines Audits nachgewiesen werden. Durch eine Befragung relevanter Mitarbeiter (z.B. zur Kenntnis über Richtlinien und Verfahrensanweisungen zur Wiederherstellung etc.) kann ebenfalls die Implementierung nachgewiesen werden. Die Prüfung oder Besichtigung von Serverräumen und die Beurteilung getroffener Maßnahmen und eingesetzter Techniken (bspw. redundanter Server) zur Wiederherstellbarkeit können als Nachweise angeboten werden. Ein Ausfall und. eine Wiederherstellung können testweise simuliert und Mitarbeiter dabei beobachtet werden, um die Übereinstimmung mit der Prozessdokumentation nachzuweisen.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.