recent.digital

BSI Baustein CON.3 Datensicherung

Datensicherungskonzept nach BSI CON.3

Torben Zarnick

Wissensbeitrag

BSI Baustein CON.3 Datensicherung

Der Detailinhalt ist in die Themenwelt eingebettet und bleibt über die Seitennavigation sowie die thematischen Anschlussbereiche erreichbar.

Datensicherungskonzept nach BSI

Die Anforderungen an ein Datensicherungskonzept entsprechend dem Grundschutz sehen folgende Anforderungen vor.

Anforderungsklassen

Das BSI unterscheidet im Grundschutz grundsätzlich in 4 Anforderungsklassen.

  1. Muss-Anforderungen
  2. Soll-Anforderungen
  3. Kann-Anforderungen
  4. Anforderungen bei erhöhtem Schutzbedarf (betrifft unter anderem KRITIS-Unternehmen)

Die Anforderungen betreffen die Zertifizierung für den ISO-kompatiblen Standard des BSI. Die meisten Unternehmen sind zwar nicht an diese Anforderungen gebunden, bieten allerdings eine sehr gute Orientierung.

Anforderungen

Baustein Anforderung Bezeichnung Inhalt
CON.3.A1 MUSS (Basis-Anforderung) Erhebung der Einflussfaktoren für Datensicherungen [Fachverantwortliche, IT-Betrieb] (B) Es muss für jedes System erfasst und systematisch festgehalten und überprüft werden:

1. Speichervolumen

2. Änderungsvolumen

3. Änderungszeitpunkte

4. Verfügbarkeitsanforderungen

5. Integritätsbedarf sowie

6. rechtliche Anforderungen
CON.3.A2 MUSS (Basis-Anforderung) Festlegung der Verfahrensweise für die Datensicherung [Fachverantwortliche, IT-Betrieb] (B Für jedes IT-System im Unternehmen muss ein Verfahren zur Datensicherung festgelegt werden. Dazu muss das Verfahren die Art, Häufigkeit, Zeitpunkte der Backups festlegen und sich mit der Erfassung aus CON.3.A1 decken.

Zusätzlich muss eine Beschreibung festgehalten werden, die die Aufbewahrungs- und Transportrahmenbedingungen und die Art der Speichermedien enthält.
CON.3.A3 MUSS (Basis-Anforderung) entfällt ersatzlos
CON.3.A4 MUSS (Basis-Anforderung) Erstellung eines Minimal datensicherungskonzeptes [IT-Betrieb] (B) Es muss ein Mindestsicherungskonzept erstellt werden, das mindestens enthalten muss:

* Welche Systeme werden gesichert und welche Daten sind darin enthalten

* Wie wird das Backup technisch erstellt und wiederhergestellt

* Welche Parameter sind zu wählen

* Welche Hardware und Software wird zur Datensicherung eingesetzt
CON.3.A5 MUSS (Basis-Anforderung) Regelmäßige Datensicherung [IT-Betrieb] (B) Es müssen Arbeitsanweisungen oder geeignete Automatisierungen erstellt und entsprechend dokumentiert werden, die gewährleisten muss, dass:

* Datensicherungen vor dem Zugriff Dritter geschützt sind

* regelmäßig getestet wird, dass sich Datensicherungen wie gewünscht, in angemessener Zeit, problemlos zurückspielen bzw. wiederherstellen lassen.
CON.3.A6 SOLL (Standard-Anforderungen) Entwicklung eines Datensicherungskonzepts [Fachverantwortliche, ITBetrieb] (S) Das Datensicherungskonzept auf der Grundlage des Minimalsicherungskonzepts (s. Muss-Anforderung) erarbeitet werden, dass mindestens die Punkte enthalten sollte:

* Definitionen zu wesentlichen Aspekten der Datensicherung (z. B. zu differenzierende Datenarten)

* Gefährdungslage (s. Kreuzreferenztabelle zu elementaren Gefährdungen)

* Einflussfaktoren je IT-Systeme

* Datensicherungsplan je IT-Systeme sowie

* relevante Ergebnisse des Notfallmanagements/BCM, insbesondere die Recovery Point Objective (RPO) je IT-System.

* Unterrichtung von betroffenen Mitarbeitern

* Regelmäßige Kontrolle der Umsetzung
CON.3.A7 SOLL (Standard-Anforderungen) Beschaffung eines geeigneten Datensicherungssystems [IT-Betrieb] (S) Für die Auswahl von geeigneten Systemen sollte eine Anforderungsliste erstellt werden und die Auswahl der Software entsprechend nachgehalten werden.
CON.3.A8 SOLL (Standard-Anforderungen) entfällt ersatzlos
CON.3.A9 SOLL (Standard-Anforderungen) Voraussetzungen für die Online-Datensicherung [IT-Betrieb] (S) Für die Datensicherung in Online-Speichern sollten mindestens diese Punkte mit dem Anbieter geregelt sein:

* Gestaltung des Vertrages,

* Ort der Datenspeicherung,

* Vereinbarungen zur Dienstgüte (SLA), insbesondere in Hinsicht auf die Verfügbarkeit,

* geeignete Authentisierungsmethoden,

* Verschlüsselung der Daten auf dem Online-Speicher sowie

* Verschlüsselung auf dem Transportweg.
CON.3.A10 SOLL (Standard-Anforderungen) Verpflichtung der Mitarbeiter zur Datensicherung (S) Alle betroffenen Mitarbeiter sollen entsprechende Arbeitsanweisungen und Dokumentationen bekommen, welche sie bei ihrer Aufgabe zur Datensicherung informiert, z.B. Zu geregelten Zeitpunkten Datensicherungen von bestimmten Inhalten auf bestimmten Systemen manuell durchzuführen und dabei dem entsprechenden Workflow zu folgen.
CON.3.A11 SOLL (Standard-Anforderungen) Sicherungskopie der eingesetzten Software [IT-Betrieb] (S) Für die gesamte eingesetzte Software im Unternehmen sollen, falls rechtlich und technisch möglich, Sicherungskopien angefertigt werden, sodass sie im Notfall wiederhergestellt werden kann. Dabei müssen ebenfalls Lizenzen (Dateien oder Codes) dokumentiert werden.
CON.3.A12 SOLL (Standard-Anforderungen) Geeignete Aufbewahrung der Datenträger von Datensicherungen [ITBetrieb] (S) Wenn zur Sicherung relevante Datenträger innerhalb des Unternehmens aufbewahrt werden müssen, dann soll es einen geeigneten, getrennte Ort geben.
CON.3.A13 Anforderungen bei erhöhtem Schutzbedarf Einsatz kryptografischer Verfahren bei der Datensicherung [IT-Betrieb] (H) Sollte im Rahmen der Risiko-Analyse festgestellt werden, dass es erhöhten Sicherheitsbedarf gibt, dann sollte sichergestellt sein, dass:

* Die Datensicherung geeignet verschlüsselt sind

* Die Datensicherung sich wiederherstellen lässt

* Der kryptographische Schlüssel für Dritte unzugänglich und räumlich getrennt aufbewahrt werden

Quelle / BSI Homepage

Selcuk Özen

Selcuk Özen

Wenn Sie den Inhalt auf Ihre Situation übertragen möchten, können Sie direkt aus dem Beitrag heraus eine Rückfrage senden.

Weiterlesen

Weitere Inhalte aus derselben Themenwelt

Vertiefende Inhalte und angrenzende Perspektiven aus dem thematischen Kontext.

Weitere passende Inhalte

8 Beiträge

01.06.2024

Archivierung - Ein kurzer Einstieg

Sie haben kaum Überblick über Ihre wichtigsten Geschäftsdokumente und wissen nicht, wie Sie sie am besten aufbewahren und organisieren können?

04.02.2026

Das Große Backup-Glossar

Fachbegriffe rund um das Thema Datensicherung, Disaster-Recovery und Wiederherstellung.

04.02.2026

Datensicherungen - ein kurzer Einstieg

In diesem Artikel erfahren Sie, warum Backups die höchste Priorität in Ihrem Unternehmen haben sollten. Bei Backups lassen sich keine Kompromisse machen.

12.08.2024

Was bedeutet eigentlich Digitale Finanzbuchhaltung?

Die digitale Finanzbuchhaltung revolutioniert die Art und Weise, wie Unternehmen ihre finanziellen Angelegenheiten verwalten.

12.08.2024

Besonderheiten der digitalen Finanzbuchhaltung für einen Online-Shop im Vergleich zu einem stationären Ladengeschäft

In diesem Blogbeitrag beleuchten wir die spezifischen Unterschiede und Herausforderungen der digitalen Finanzbuchhaltung für Online-Shops im Vergleich zu traditionellen lokalen Ladengeschäften.

27.08.2024

Glossar: Digitale Finanzbuchhaltung

Fachbegriffe zur digitalen Finanzbuchhaltung in einem Satz erklärt.

03.06.2024

Wieviel kostet ein Onlineshop?

Dieser Ratgeber bietet Ihnen einen Überblick über die Kosten, die bei Planung, Implementierung und Pflege eines Online-Shops anfallen können.

24.07.2024

Wieviel kostet ein JTL-Shop?

Dieser Ratgeber bietet Ihnen einen Überblick über die Kosten, die bei Planung, Implementierung und Pflege eines JTL-Shops anfallen können.

Sie möchten den Detailinhalt für Ihr Projekt einordnen?

Wir helfen dabei, den Beitrag in Anforderungen, nächste Schritte und passende Lösungen zu übersetzen.

Selcuk Özen
Selcuk ÖzenAnsprechpartner für Interessenten@selcuk