Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit

Gesetzliche Vorgaben zur Datensicherung bei kleineren Unternehmen

Mitglied: hushpuppies

hushpuppies (Level 1) - Jetzt verbinden

01.03.2012 um 14:36 Uhr, 10262 Aufrufe, 5 Kommentare

Hallo zusammen!

Ich bin gerade auf der Suche nach möglichst akuraten und kompakten Informationen, welche gesetzlichen Vorgaben es zur Datensicherung in kleinen Unternehmen gibt.
Gibt es da vielleicht eine Art Checkliste oder eine Zusammenfassung zu Thema?
Die Recherche im Internet fördert ja da alles Mögliche zu Tage, aber einen Leitfaden oder ähnliches habe ich nicht gefunden.

Hintergrund ist der:
Es gibt ja gesetzliche Vorgaben z.B. zur Speicherung von Geschäftsvorfällen (Dokumente, Kundendaten, E-Mails) mit versch. Aufbewahrungsfristen. Meistens ist das ja entweder 5 oder 10 Jahre und diese Fristen gelten ja auch für elektronische Dokumente.
Und unter anderem gibt es ja schon bei Schriftstücken die Auflage, dass man die vor Feuer (und Wasser) geschützt aufbewahren muss.
Und soweit ich weiss gibts bei diesen Rahmenregelungen keine Vereinfachungen für kleinere Unternehmen, sondern das gilt für alle.

Für die digitalen Daten heisst das ja eigentlich, dass jedes Unternehmen auch bei seinen Backups in irgendeiner Weise eine dezentrale Strategie fahren muss - egal ob gross oder klein.
Bei grösseren hat man da ja normalerweise keine Argumentationsschwierigkeiten. Da lässt sich meistens immer eine Lösung mit Server -> Storage in anderem Gebäudeteil -> Bänder / ext. Festplatten anbringen.

Aber was macht man mit den ganzen kleinen - sagen wir mal so 1-10 Arbeitssplätze und im Idealfall ein Server (oder was da halt bei denen so als "Server" durchgeht))?
Meiner Erfahrung nach hatten diese Firmen meist noch keinen wirklichen Ausfall und sind daher auch sehr beratungsresistent was die Sicherung angeht und vorallem wenn das auch noch Geld kostet....
Andererseits möchte man die ja auch betreuen...

Wie macht ihr das in der Praxis? Lasst ihr euch den Verzicht auf eine vernüftige Sicherung irgendwie schriftlich bestätigen?
Irgendeine Absicherung braucht man ja als Dienstleister dann schon, weil sonst haftet man am Ende ja noch selber für z.B. die Steuerschätzung des Kunden, wenn die Bude abfackelt und nix mehr zu retten ist...
Mitglied: ricochico
01.03.2012 um 15:04 Uhr
Hallo,

Zitat von hushpuppies:
Hallo zusammen!

Ich bin gerade auf der Suche nach möglichst akuraten und kompakten Informationen, welche gesetzlichen Vorgaben es zur
Datensicherung in kleinen Unternehmen gibt.
Gibt es da vielleicht eine Art Checkliste oder eine Zusammenfassung zu Thema?
Die Recherche im Internet fördert ja da alles Mögliche zu Tage, aber einen Leitfaden oder ähnliches habe ich nicht
gefunden.

1. Anlaufstelle: BSI

Hintergrund ist der:
Es gibt ja gesetzliche Vorgaben z.B. zur Speicherung von Geschäftsvorfällen (Dokumente, Kundendaten, E-Mails) mit
versch. Aufbewahrungsfristen. Meistens ist das ja entweder 5 oder 10 Jahre und diese Fristen gelten ja auch für elektronische
Dokumente.
Und unter anderem gibt es ja schon bei Schriftstücken die Auflage, dass man die vor Feuer (und Wasser) geschützt
aufbewahren muss.
Und soweit ich weiss gibts bei diesen Rahmenregelungen keine Vereinfachungen für kleinere Unternehmen, sondern das gilt
für alle.

Für die digitalen Daten heisst das ja eigentlich, dass jedes Unternehmen auch bei seinen Backups in irgendeiner Weise eine
dezentrale Strategie fahren muss - egal ob gross oder klein.
Bei grösseren hat man da ja normalerweise keine Argumentationsschwierigkeiten. Da lässt sich meistens immer eine
Lösung mit Server -> Storage in anderem Gebäudeteil -> Bänder / ext. Festplatten anbringen.

Aber was macht man mit den ganzen kleinen - sagen wir mal so 1-10 Arbeitssplätze und im Idealfall ein Server (oder was da
halt bei denen so als "Server" durchgeht))?
Meiner Erfahrung nach hatten diese Firmen meist noch keinen wirklichen Ausfall und sind daher auch sehr beratungsresistent was die
Sicherung angeht und vorallem wenn das auch noch Geld kostet....
Andererseits möchte man die ja auch betreuen...

Wie macht ihr das in der Praxis? Lasst ihr euch den Verzicht auf eine vernüftige Sicherung irgendwie schriftlich
bestätigen?

Hätte die vor Gericht im Schadensfall bestand und einen Wert?
Kommt es nicht auf den jeweiligen Schadenshergang an?

Irgendeine Absicherung braucht man ja als Dienstleister dann schon, weil sonst haftet man am Ende ja noch selber für z.B. die
Steuerschätzung des Kunden, wenn die Bude abfackelt und nix mehr zu retten ist...

Das ist ja schon fast eine Rechtsberatung, was du da willst.
Die wird dir kaum ein Admin hier geben können.


Also ich lehne mich nicht so weit aus dem Fenster.
IANAL
Bitte warten ..
Mitglied: Ravers
01.03.2012 um 15:12 Uhr
Hi,

es gibt sicherlich einige Dokumente, die Aufbewahrungspflichtig sind. Jedoch zeigt die Praxis, das diese Dokumente als Papier z.B. beim Steuerberater hinterlegt sind.

Da ich deine Aufgabe dort nicht kenne: sprich soll das Unternehmen IT-technisch umstrukturiert werden .. und dafür hast du einen Auftrag?
Oder, so ist`s ja der Regelfall, bekommst du einzelne Aufträge (PC ins Netz bringen u.ä.); sprich man muß nicht die Gesamtheit des Netzes beachten, und das Risiko bleibt bei der Firma.
Als es um unsere Umstrukturierung ging, wollte man das Thema Datensicherung auch nicht angehen. Kosten sind z.T. ja immens. (SAP-Agent; Exchange-Agent; etc.). Also wurde beschlossen, einfach n Image machen und gut ist. Und die anderen Daten einfach über Nacht kopieren. Unser Systemhaus hat ganz klar gesagt, das dies nicht reicht. Aber unser alte Admin (Bürokauffmann aus den 80igern) meinte, es reicht so. Somit glaubte die GF natürlich den alten Admin - so brauchten Sie auch kein Geld in die Hand nehmen.
Also was macht unser Beratungshaus? Als letzten Satz: Die Datensicherung liegt in der Verantwortung der Firma XX. Bei Datenverlust besteht keinerlei Haftung unsererseits. Bei Änderungen am System hat der Kunde eine Datensicherung vorzuhalten. (Sinngemäß - in Fettschrift)

... als dies unser Chef dann unterschreiben sollte, wurde dann nochmal nachgefragt, ob wir das Sicherstellen können. Ich habe es verneint, Kollege bejaht. Nach etwas diskussion und nachfrage beim Systemhaus bekam ich nun doch eine "vernünftige" Sicherung.
Da kam mir ein Brand in unserer Gegend zugute, da diese mit der Sicherung richtig auf die Nase gefallen sind und mit Daten älter 2 Jahre arbeiten mußten, und selbst das war Glück. Leider wirds immer noch nicht so gemacht, wie`s sein soll (alles in einem Brandabschnitt, incl. Lagerung sämtlicher Datensicherungsbänder), aber ich arbeite dran.

Den besagten Satz würde ich bei jedem Auftrag mit einbringen. Entweder er weckt die GF auf, oder es bleibt halt deren Problem.

greetz
ravers
Bitte warten ..
Mitglied: mrtux
01.03.2012 um 16:25 Uhr
Hi !

Wenn Du es "richtig" und "rechtsverbindlich" machen willst, dann geh zu einem Fachanwalt für IT Recht (wenn der Fachanwalt im Steuerrecht auch fit ist, um so besser).

Als externer Anbieter:
Du regelst (mittels o.g. Fachanwalt) das Aufgabengebiet vertraglich mit deinem Kunden. In den Vertrag gehört der genaue Umfang deiner Dienstleistung. Und für diese Dienstleistung haftest Du dann in einem abgesteckten Rahmen. Ich würde die Haftungssumme begrenzen z.B. auf den Wert eines Datenträgers, Servers usw. Ein kompletter Haftungsausschluss ist nach aktueller Rechtsprechung (laut Infos bzw. Gerichtsurteilen aus dem Netz) nicht mehr so leicht möglich aber eben die Begrenzung.

Im kleinen Umfeld (z.B. kleiner PC-Laden) würde ich den Kunden darüber aufklären, dass Du eine Datensicherung grundsätzlich nicht durchführen kannst, weil Du den Wert seiner Daten gar nicht einschätzen kannst. Für den Einen sind es seine Word und Excel Dokumente, für den Anderen seine Urlaubsbilder mit der Freundin - Jeder hat da andere Maszstäbe für den Wert solcher Daten! Daher immer den Kunden dafür unterschreiben lassen, dass er seine Datensicherung selbst und gewissenhaft durchgeführt hat. Damit bist Du im Falle eines Datenverlustes normalerweise nicht mehr so leicht belangbar. Auch hier würde ich bei zweifelhaften Arbeiten die Schadenssumme begrenzen z.B. auf den Wert der Hardware (also z.B. der einer Festplatte).

In der Praxis läuft das meist so ab und darüber gibt es im Netz auch Gerichtsurteile. Der Auftrag des Kunden lautet z.B.: Baue eine grössere Platte in den PC ein und installiere darauf ein neues OS. Dann ist die Aufgabe klar definiert, wie das auch der Kollege unten schreibt. Eine Datensicherung ist also kein Bestandteil deiner Arbeit und folglich auch kein Haftungsgrund. Lautet der Auftrag des Kunden jedoch "sichere die Daten, wechsle die Platte aus und spiele die Datensicherung auf die neue Platte" ist das natürlich völlig anders. In diesem Fall gehört die Datensicherung auch zu deiner Aufgabe.

Als Angestellter:
Hast Du einen Arbeitsvertrag in dem ebenfalls deine Aufgaben klar definiert sind (sein sollten). In diesem Fall spielt aber auch noch das Arbeitsrecht und das Berufsbild eine Rolle. Dein Arbeitgeber darf dir gar keine Arbeiten zuweisen, für die Du die Verantwortung (im Sinne von Haftung) gar nicht übernehmen kannst. Warum?

Ein Beispiel: Du hast die Datensicherung deines Arbeitgebers unter dir und durch einen Defekt bzw. Unfall (den Du u.U. gar nicht vorhersehen kannst) sind alle Daten weg. Daten sind ein immaterielles Gut, von dem der genaue Wert nur schwer einschätzbar ist. In machen Firmen kann der Wert von Daten (virtuell betrachtet) im Millionenbereich liegen. Wie willst Du dafür haften, wenn dein jährliches Einkommen z.B. nur 20000 Euro ist? So eine Verantwortung (im Sinne von Haftung) kann dann nur bei der Geschäftsführung liegen. Sowas auf einen einfachen Mitarbeiter abzuwälzen zu wollen ist normalerweise nicht zulässig. Manchmal wird dafür auch eine Versicherung abgeschlossen und die Beiträge dafür zahlst ja dann auch nicht Du sondern die Firma. Und über den Sinn solcher Versicherungen kann man natürlich auch streiten, denn immer öfter zahlt die im Schadensfall nicht oder stellt sich zumindest quer.

Du musst da auch klar unterscheiden zwischen Datensicherung und Archivierung. Da gibt es unterschiedliche Regelungen. Dem Fiskus wäre es natürlich lieb wenn die Daten transaktionssicher (also nicht mehr änderbar) archiviert sind. In der Realität ist das aber nur sehr schwer umsetzbar, da die dazu nötigen, technischen Vorgänge oftmals Schwachstellen besitzen und so eine Sicherheit im Detail betrachtet oftmals nicht wirklich vorhanden ist. Das ist aber darauf begründet, dass dem Gesetzgeber die nötige Fachkenntnis in der IT fehlt und daher ist sich da die Rechtsprechung auch nicht einig.

In der Realität kann man eben nicht alles absichern, so ist das Leben. Ein gewisses Risiko muss man eben eingehen.....

Dir ist hoffentlich auch klar, dass mein Kommentar nur Halbwissen darstellt, daher geh zu einem Fachanwalt und lasse dich beraten. Die Kosten für den Fachanwalt sind immer günstiger als der Schaden hinterer.

mrtux
Bitte warten ..
Mitglied: C.R.S.
01.03.2012 um 17:37 Uhr
Hallo,

ich finde den Ansatz, der hinter der Frage steckt - die so ähnlich hier ziemlich oft aus der Sicht von Auftragnehmern auftaucht -, völlig falsch.
IT-Dienstleistung ist keine umfassende Lebens- und Business-Beratung, sondern besteht darin, die typischen IT-Angelegenheiten auftragsgemäß und fachgerecht durchzuführen. Da liegen sicherlich Haftungsrisiken, zivilrechtliche, teils auch strafrechtliche, je nach Dienstleistungen.
Der Kunde muss aber selbst wissen, dass er sich bei seinem Systemhaus nicht in Steuerangelegenheiten beraten lassen kann. Das gehört auch nicht zur Fachkunde, der ein Dienstleister zu entsprechen hat. Die Probleme beschwört man herauf, wenn man versucht, über seine Kompetenzen hinaus zu arbeiten und dem Kunden dabei etwas zu diktieren. Das führt dazu, die falschen Aufträge zu formulieren und anzunehmen. Schriftlich hast Du immer den Auftrag, und der ist maßgeblich. Wenn ich eine Sicherheitslösung verkaufe, muss ich mich anhand der Vorgespräche sehr genau fragen, ob ich die tatsächlich als eine "Lösung" für ein Problem verkaufen kann (die objektiv als solche durchgeht), oder lieber nach Beratung ein vom Kunden gewünschtes Konzept umsetze. Ersteres ist zwangsläufig eine Ausnahme und wenn man das akzeptiert und vertraglich berücksichtigt, braucht man nicht noch dies und jenes "bestätigen" lassen.

Grüße
Richard
Bitte warten ..
Mitglied: speedhub
07.03.2012 um 19:14 Uhr
Hallo hushpuppies,
ich lese aus der Ursprungsfrage heraus, das es in erster Linie um eine praktische Lösung zur dezentralen Datensicherung geht, weil Feuer im Gebäude die gesamte Sicherungsstrategie umwerfen kann.

1. Zum Verzicht auf vernünftige Sicherung per Unterschrift - - - Gesetze kann niemand durch Unterschrift außer Kraft setzen, denn ...
Zitat Wiki: Die Pflicht zur Datensicherung in Betrieben ergibt sich unter anderem aus den gesetzlichen Vorschriften über eine ordnungsgemäße, nachvollziehbare, revisionssichere Buchführung (HGB). Von der kurzzeitigen Aufbewahrung (begrenzt auf einen Tag bis drei oder auch sechs Monate) unterscheidet sich die längerfristige Datenarchivierung, die anderen Gesetzmäßigkeiten unterliegt. Die Grundsätze zur Archivierung und Nachprüfbarkeit digitaler Datenbestände sind in Deutschland seit Januar 2002 für Unternehmen verbindlich in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), herausgegeben vom Bundesfinanzministerium, zusammengefasst.

2. Zur dezentralen Sicherung - - - Mir ist ein Fall bekannt, wo auf Bändern täglich inkrementell oder differenziell gesichert wurde und wöchentlich am Freitag eine Vollsicherung durchgeführt wurde. Das müsste bei einem kleinen Unternehmen machbar sein. Die wöchentliche Vollsicherung wurde in ein naheliegendes Bankschließfach zwei Hauseingänge weiter gebracht.

Soweit zur Praxis.

Grüße
Speedhub
Bitte warten ..
Ähnliche Inhalte
Backup
Backup-Lösung für kleines Unternehmen
Frage von Fritzle24Backup4 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer Backup-Lösung für ca. 10 Rechnerarbeitsplätze (hauptsächlich Windows, zwei Linux-Workstations Debian) ...

Firewall
Firewall für kleines Unternehmen
Frage von echo11Firewall12 Kommentare

Hallo zusammen, ich bin mittlerweile als alleiniger Admin bei einem kleinen, jedoch in Zukunft stark wachsenden, Unternehmen gelandet. Auch ...

Groupware
Welches DMS und Wiki für unser kleines Unternehmen?
Frage von forenfelixGroupware1 Kommentar

Hallo liebe Leute, ich suche hier auf diesen Weg ein wenig Input bezüglich der Implementierung eines DMS und Unternehmens-Wikis ...

Firewall
Die richtige Firewall für unser kleines Unternehmen
gelöst Frage von madonischerFirewall24 Kommentare

Guten Morgen die Damen und Herren ich habe in den letzten Tagen sehr viel über verschiedene Lösungen gelesen und ...

Neue Wissensbeiträge
Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 2 StundenMicrosoft

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit13 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk8 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...