pantrag_fisi Projektantrag: Auswahl, Implementierung und Test einer Softwarelösung zur Abbildung mehrstufiger Datensicherung und Datenrücksicherung einer heterogenen Systemumgebung

[Daniel__]

Hallo zusammen,

die Anmeldung zur betrieblichen Projektarbeit steht vor der Tür (04.10.2021 12:00). Ich werde in einem mittelständischen Unternehmen ausgebildet, in dem wir als kleine IT Abteilung (3 Personen) als interner Dienstleister fungieren. Ich bin der aller aller erste Azubi des Unternehmens in dem Bereich überhaupt, dementsprechend würde ich euch bitten, bei der Bewertung des Projektantrags zu berücksichtigen, das es diesbezüglich noch gar keine Erfahrungswerte im Unternehmen gibt. Wir tasten uns quasi an das Thema heran

 

1 Projektbezeichnung

Auswahl, Implementierung und Test einer Softwarelösung zur Abbildung mehrstufiger Datensicherung und Datenrücksicherung einer heterogenen Systemumgebung

 

1.1 Projektbeschreibung

Für die super tolle GmbH sowie die noch viel tollere GmbH soll der bestehende Datensicherungsplan überarbeitet bzw. ergänzt und mit Hilfe einer modernen Softwarelösung umgesetzt werden. Das mehrstufige Backupkonzept sieht eine Langzeitarchivierung von Daten auf einem Tapelaufwerk vor. Die Datensicherung soll auf Grund unternehmenseigener Datenschutzvorgaben ausschließlich „On Premise“, in verschiedenen Brandabschnitten untergebrachte NAS Systeme erfolgen.

Das Unternehmen bietet 135 Mitarbeitern lokal sowie ortsungebunden Zugang zu einer Terminalserverumgebung.

 

1.2 Ist-Analyse

Zurzeit sichert das Unternehmen Daten, Snapshots von Bare-Metal Systemen und virtuelle Maschinen sowie Abbilder einzelner Workstations mit der Software Veritas Backup Exec auf mehrere NAS Systeme sowie monatlich auf Bänder. Dabei wird zwischen reiner Datensicherung und Sicherung der für den Betrieb der Systeme relevanten Daten unterschieden. Hierfür wurden dem aktuellen Datensicherungsplan folgend, eine große Menge an Backupaufträgen eingepflegt.

Der angebundene Deduplizierungsspeicher und das momentan verwendete LTO-6 Bandlaufwerk stoßen durch stetig, aber teilweise sprunghaft, anwachsende Datenmengen an ihre Kapazitätsgrenzen. So werden bspw. 4 LTO-6 Bänder für die monatliche Vollsicherung benötigt. Dies, und die unzuverlässige Funktionsweise der Deduplizierungsoption der verwendeten Software führen zu einem hohen Bedarf an Systemüberwachung und Eingriffen um Systeme ordnungsgemäß sichern zu können. Als nicht-Backup-Operator fällt es schwer, Fehlerquellen zu erkennen und abzustellen.

Als Hardwaregrundlage für das Sicherungssytem wird ein HP ProLiant DL 360 G7 mit installiertem Windows Server 2012 R2 verwendet.

Das Unternehmen legt stündliche Storage-Snapshots auf einem NetApp Datenspeicher an.

Die Lizenz der Software Veritas Backup Exec läuft ab und muss erneuert werden.

 

2. Soll-Konzept

2.1. Was soll am Ende des Projekts erreicht sein?

Der bestehende Datensicherungsplan soll überarbeitet und auf Vollständigkeit geprüft werden. Hierbei soll nach Möglichkeit die 3-2-1-Backup-Regel beachtet werden.

Es soll überprüft werden, ob die bisher eingesetzte Datensicherungslösungen den aktuellen Ansprüchen weiterhin gerecht wird, oder ob sie durch ein Konkurrenzprodukt abgelöst werden sollte. Wünschenswert wäre eine Integrationsmöglichkeit der von der NetApp erzeugten Snapshots, sowie eine virtualisierte und automatisierbare Testumgebung für geschriebene Backups.

Die eingesetzte Backupsoftware soll die Umsetzung des bestehenden Datensicherungsplans einfacher als bisher abbilden. Gute Skalierbarkeit und einfach umzusetzende Konfiguration sowie Fehleranalyse und Wartung stehen im Vordergrund.

Es soll ein Generationsupgrade auf einen bereits vorhandenen HP ProLiant DL 360 Gen 8 Server erfolgen. Der Server soll auf Grund des nahenden Support-Endes von Windows Server 2012 R2 mit Windows Server 2019 betrieben werden. Zukünftig sollen Monatssicherungen auf Tape wieder auf einer einzelnen Bandkassette gespeichert werden. Hierfür steht bereits ein HPE Ultrium LTO-8 Bandlaufwerk zur Verfügung.

Eine Datenspeicherung wird auch in Zukunft ausschließlich „On Premise“ erfolgen.

 

2.2. Zu erfüllende Anforderungen

·         zentral verwaltete Datensicherung mit der Möglichkeit alle Systeme der heterogenen Umgebung abzubilden

·         zeitgesteuerter, automatischer Ablauf der Backups; Benachrichtigung über Job-Status per E-Mail

·         einfache Verwaltung uns Skalierbarkeit

·         Kompatibilität mit der vorhandenen Hardware

·         Integrationsmöglichkeit mit den verwendeten Systemen (vmWare, NetApp-Snapshots)

·         Möglichkeit zum automatisierten Test geschriebener Backups

 

2.3. Abgrenzung

Die Realisierung automatischer Tests der geschriebenen Backups ist nicht im Rahmen dieses Projekts vorgesehen.

Es bestehen keine Alternativen zur Verwendung der vorgegebenen Hardware (HP ProLiant DL 360 G8, HPE Ultrium LTO-8) und des Betriebssystems Windows Server 2019. Der zu verwendende SAS Controller ist bereits verbaut.

 

3. Projektphasen mit Zeitplanung

·         Analysephase   10h

·         IST Analyse        2h

·         SOLL Analyse    2h

·         Evaluierung zu verwendender Softwarelösungen            1h

§  Nutzwertanalyse Softwarelösungen                      1h

·         Sichtung zu sichernden Systemen/Daten; Festlegen geeigneter Sicherungsmethoden und Zeiten, sowie Aufbewahrungszeiträume                                                            2h

·         Überarbeitung/Kontrolle des bestehenden Datensicherungsplans          2h

·         Realisierungsphase 15h

·         Installation, Konfiguration und Absicherung des physikalischen Servers und Betriebssystem; Anbinden des Tape-Laufwerks und der NAS Systeme          3h

·         gewählte Backuplösung installieren       1,5h

·         Konfiguration der Backuplösung (Einbinden der Speichergeräte und Tapelaufwerk, Konfiguration der grundlegenden Funktionen)      2,5h

·         Umsetzung des Datensicherungsplans  5h          

·         Test der Datensicherung und Datenrücksicherung          2h

·         Performanceauswertung            1h

·         Abschlussphase 10h

·         Prüfung der Projektergebnisse 1h

·         Abschluss des Projekts und Übergabe an den Projektmanager  1h

·         Erstellung der Projektdokumentation   8h

 

Gesamtdauer = 35h

 

4 Projektdokumentation und Projektpräsentation

Die Projektdokumentation wird schriftlich erstellt. Die Zielgruppe der Projektpräsentation sind die Mitarbeiter der IT-Abteilung des Unternehmens. Als Hilfsmittel zur Präsentation wird ein Beamer mit HDMI Anschluss sowie eine geeignete Leinwand benötigt.

 

5. Ausbildungsstätte & Projektverantwortlicher

Das Projekt wird im Rahmen der Berufsausbildung in der IT-Abteilung der ganz tollen GmbH durchgeführt. Projektverantwortlicher ist:
 

Der Ausbilder

derausbilder@tollegmbh.de

012 / 345 678 9



Ich würde mich super freuen, wenn sich jemand die Zeit nehmen könnte um mir ein paar Tips zu geben. Ich habe  mich an ein paar Projektanträge die ich hier im Forum und bei der restlichen Online-Recherche gefunden habe orientiert. Die Formatierung aus dem Word Dokument ist hier natürlich vollkommen kaputt gegangen, ich hoffe das stört den Lesefluss nicht zu sehr.

 

Herzlichen Dank vorab!

[Listener]

Im Jahr 2021 auf Tape sichern finde ich zumindest erklärungswürdig. Ansonsten solltest du mehr Zeit für den Vergleich der Lösungen aufwenden. Kosten-Nutzen, Roi, usw würden mir auch noch fehlen. 

[Daniel__]

Hallo, danke für deine prompte Antwort. 

Die Sicherung aufs Band ersetz quasi die out-house Kopie. Ist die Lösung wirklich so veraltet? Ich habe diesbezüglich gar keine Vergleichsmöglichkeiten.

Danke für den Hinweis, die Wirtschaftlichkeitsbetrachtung habe ich komplett außer Acht gelassen. Mir fällt es aber gerade auch relativ schwer, mir beim groben Thema "Backup" eine Wirtschaftlichkeitsbetrachtung vorzustellen. Was könnte man da vergleichen? Kosten der Backup-Lösung vs. nicht-Verfügbarkeit gesicherter Daten? Oder würde man hier zu erst Backup-Lösungen nach Funktionsumfang auswählen, und danach einfach monatliche Kosten miteinander vergleichen? Ich stehe diesbezüglich leider gerade vor einer kleinen Wand, die es noch zu überklettern gilt. Danke für eure Unterstützung

ROI gibt es in unserer Abteilung eigentlich NIE, da wir nur Kosten verursachen. 

[Maniska]

Ich würde mehr Zeit in die Analyse und weniger in die Umsetzung planen.

vor 1 Stunde schrieb Daniel__:

·         Installation, Konfiguration und Absicherung des physikalischen Servers und Betriebssystem; Anbinden des Tape-Laufwerks und der NAS Systeme          3h

·         gewählte Backuplösung installieren       1,5h

·         Konfiguration der Backuplösung (Einbinden der Speichergeräte und Tapelaufwerk, Konfiguration der grundlegenden Funktionen)      2,5h

Die "normalen" Installationen sind im Regelfall ein Arbeitsaufwand von vielleicht 5 Minuten pro Installation. Den Dialog durchklicken ist Projektzeit, warten bis die Installation durchgelaufen ist allerdings nicht. Hier kannst du einiges an Zeit (in der Planung) sparen.

vor 1 Stunde schrieb Listener:

Im Jahr 2021 auf Tape sichern finde ich zumindest erklärungswürdig.

Warum? Kleiner Betrieb, reine Inhaus IT, ggf keine ausreichend dicke Leitung um ein vollständiges Backup "in die Cloud" zu blasen...

Wie realisiert man sonst den Medienbruch und das Lagern "außer Haus"?

Vor allem wenn Tapelibrary und ggf. Tapes schon vorhanden sind?

vor 45 Minuten schrieb Daniel__:

Die Sicherung aufs Band ersetz quasi die out-house Kopie. Ist die Lösung wirklich so veraltet? Ich habe diesbezüglich gar keine Vergleichsmöglichkeiten.

Für mich gehört Tape nach wie vor zu einer anständigen Sicherungsstrategie dazu. Zumindest für "Inhouse" Daten die auch inhouse gesichert werden.

Aus technischer Sicht solltest du RTO und RPO noch mit betrachten und nicht nur ein "einmal nachts, das reicht". Ich würde auch mindestens eine Cloudlösung mit in den Vergleich nehmen, auch wenn das nur Alibi ist.

[Listener]

vor 55 Minuten schrieb Maniska:

Warum? Kleiner Betrieb, reine Inhaus IT, ggf keine ausreichend dicke Leitung um ein vollständiges Backup "in die Cloud" zu blasen...

Wenn das Stand der Technik ist - fair enough. Kommt mir einfach etwas altbacken vor, ist aber auch nicht mein Gebiet.

 

vor 2 Stunden schrieb Daniel__:

Danke für den Hinweis, die Wirtschaftlichkeitsbetrachtung habe ich komplett außer Acht gelassen. Mir fällt es aber gerade auch relativ schwer, mir beim groben Thema "Backup" eine Wirtschaftlichkeitsbetrachtung vorzustellen. Was könnte man da vergleichen? Kosten der Backup-Lösung vs. nicht-Verfügbarkeit gesicherter Daten? Oder würde man hier zu erst Backup-Lösungen nach Funktionsumfang auswählen, und danach einfach monatliche Kosten miteinander vergleichen? Ich stehe diesbezüglich leider gerade vor einer kleinen Wand, die es noch zu überklettern gilt.

Beispielsweise. Möglichkeiten gibt es eigentlich mehrere. 

vor 2 Stunden schrieb Daniel__:

ROI gibt es in unserer Abteilung eigentlich NIE, da wir nur Kosten verursachen. 

Es lässt sich m.E. immer wirtschaftlich begründen, wieso man eine Lösung einsetzen möchte. Ansonsten würde man das Projekt nicht umsetzen.

[cortez]

vor 4 Stunden schrieb Listener:

Wenn das Stand der Technik ist - fair enough. Kommt mir einfach etwas altbacken vor, ist aber auch nicht mein Gebiet.

Es kommt auf den Anwendungszweck an, wenn du viele Daten kostengünstig lokal speichern willst ist das eine sehr gute Variante. Für den Fall der Fälle kannst du auch recht einfach alles backupen und offline aufbewahren. Backup2disk ist dort eigentlich immer teurer. 

Die Frage ist immer was will man erreichen. Backup2Cloud ist auch nicht immer die Lösung.

vor 6 Stunden schrieb Daniel__:

ROI gibt es in unserer Abteilung eigentlich NIE, da wir nur Kosten verursachen. 

Warum machst du mit der Begründung denn das Projekt? Der RoI kommt im Ernstfall, wenn das Backup gebraucht wird. Alleine wenn alles für eine Stunde steht dürftest du die Kosten für das Projekt wieder drinnen haben.

[charmanta]

vor 5 Stunden schrieb Listener:

Wenn das Stand der Technik ist - fair enough. Kommt mir einfach etwas altbacken vor, ist aber auch nicht mein Gebiet

Ne das ist unter Berücksichtigung von TCO und TBO absolut ok.

vor 8 Stunden schrieb Daniel__:

Die Datensicherung soll auf Grund unternehmenseigener Datenschutzvorgaben ausschließlich „On Premise“, in verschiedenen Brandabschnitten untergebrachte NAS Systeme erfolgen.

Aber damit ist eine Entscheidung schon durch ?

vor 8 Stunden schrieb Daniel__:

Die Lizenz der Software Veritas Backup Exec läuft ab und muss erneuert werden.

Das wird aber sicher noch Alternativen geben ?

Ich kann auch das heterogene Netz nicht nachvollziehen?

[Daniel__]

Erstmal vielen vielen dank für eure zahlreichen Antworten und Hinweise. Wenn man so in der Berufsschule betreut werden würde, wäre es ein Träumchen

Ich werde im Laufe des Tages eine Überarbeitete Version hochladen, möchte aber bereits auf einige Punkte eingehen: 

Es ist eine Unternehmensvorgabe das aktuell keinerlei Daten in der Cloud gespeichert werden. Wir bewegen uns hier im Bereich von hochsensiblen Finanzdaten unserer Mandanten. Cloud-Dienste zum Datenaustausch mit den Mandanten werden auch on-premise gehostet. 
Soll ich einfach als Alibi und damit die Betrachtung vollständig wird in der Evaluierung Cloud-Produkte hinzufügen, mit dem hinweis das diese selbst bei besserer Eignung nicht genutzt werden können? Mehr Sinn würde es doch machen, fähige Backuplösungen die eben nur "on premise" sichern miteinander zu vergleichen, auszuwählen und zu implementieren. Darum gings ja eigentlich

 

vor 15 Stunden schrieb charmanta:

1. Aber damit ist eine Entscheidung schon durch ?

2. Das wird aber sicher noch Alternativen geben ?

3. Ich kann auch das heterogene Netz nicht nachvollziehen?

zu 1.: Ja, die Entscheidung das ausschließlich on-premise und "out-house" mit Bandsicherung im brandfesten Safe gesichert wird, steht unumstößlich. Nimmt das dem Projekt mangels Vergleichbarkeit die notwendige Tiefe für ein Abschlussprojekt?

zu 2.: Ja genau. Ich möchte Untersuchen ob es coolere Alternativen zu Backup Exec gibt, oder ob man dabei bleiben sollte. 

zu 3.: Ich will dir jetzt keine Worte in den Mund legen, aber ich glaube die formulierung in einem deiner vielen Beiträge hier genau so gelesen zu haben. Unser Netz würde ich als heterogen bezeichnen, da verschiedene Betriebsysteme sowohl auf virtuellen wie auf physischen Servern zum Einsatz kommen, und damit vom Fileserver bis zum Datenbankserver so ziemlich alles im Haus abgebildet wird.

vor 21 Stunden schrieb Listener:

Beispielsweise. Möglichkeiten gibt es eigentlich mehrere. 

 

Wenn ich jetzt im Augenblick noch nicht genau  weiß, wie ich das Thema angehen möchte, würde es doch reichen wenn ich in die Planungsphase einfach den Punkt "Wirtschaftlichkeitsbetrachtung" aufnehme, oder? Oder muss bereits beim Antrag genau erklärt werden, was man genau machen will?

 

 

vor 22 Stunden schrieb Maniska:

Aus technischer Sicht solltest du RTO und RPO noch mit betrachten und nicht nur ein "einmal nachts, das reicht". Ich würde auch mindestens eine Cloudlösung mit in den Vergleich nehmen, auch wenn das nur Alibi ist.

Ich stehe hierzu gerade etwas auf dem Schlauch. Meinst du damit das ich Anhand der wichtigkeit der Daten darlegen sollte, warum wie oft wohin gesichert wird? Ist das eher schon ein Tipp für die Projektdokumentation oder muss das wirklich im Projektantrag aufgenommen werden?



An dieser Stelle nochmal herzlichsten Dank. Ihr seid wirklich Klasse 💗

[Maniska]

vor 6 Minuten schrieb Daniel__:

Es ist eine Unternehmensvorgabe das aktuell keinerlei Daten in der Cloud gespeichert werden. Wir bewegen uns hier im Bereich von hochsensiblen Finanzdaten unserer Mandanten. Cloud-Dienste zum Datenaustausch mit den Mandanten werden auch on-premise gehostet. 

Soll ich einfach als Alibi und damit die Betrachtung vollständig wird in der Evaluierung Cloud-Produkte hinzufügen, mit dem hinweis das diese selbst bei besserer Eignung nicht genutzt werden können? Mehr Sinn würde es doch machen, fähige Backuplösungen die eben nur "on premise" sichern miteinander zu vergleichen, auszuwählen und zu implementieren. Darum gings ja eigentlich

zu 1.: Ja, die Entscheidung das ausschließlich on-premise und "out-house" mit Bandsicherung im brandfesten Safe gesichert wird, steht unumstößlich. Nimmt das dem Projekt mangels Vergleichbarkeit die notwendige Tiefe für ein Abschlussprojekt?

Ich würde die Cloudlösung trotzdem mit in den Vergleich nehmen, einfach der Vollständigkeit halber. Dass diese Lösung nachher spätestens "kraft Krawatte" ausscheidet ist für deine Empfehlung m.E. egal. Natürlich musst du bei einem Cloudbackup darauf achten dass die Regeln der DSGVO eingehalten werden, das musst du aber sowieso immer.

In dem Zusammenhang solltest du auch die Möglichkeit der Verschlüsselung in Betracht ziehen. Selbst wenn das Backup "inhaus" gemacht wird, die Bänder kommen ja zur Bank. Wenn die nun unverschlüsselt sind und auf dem Weg abhanden kommen hast du genauso ein Problem wie wenn jemand in dein (unverschlüsseltes) Cloudbackup schauen kann.

vor 6 Minuten schrieb Daniel__:

Wenn ich jetzt im Augenblick noch nicht genau  weiß, wie ich das Thema angehen möchte, würde es doch reichen wenn ich in die Planungsphase einfach den Punkt "Wirtschaftlichkeitsbetrachtung" aufnehme, oder? Oder muss bereits beim Antrag genau erklärt werden, was man genau machen will?

Backup ist nur dann wirtschaftlich, wenn man es mal braucht. Das ist wie mit einer Haftpflichtversicherung, man buttert ewig viel Kohle rein und zu 99% braucht man nie etwas von der Versicherung. Nur wenn man sie braucht, ist man heilfroh sie zu haben denn sie rettet einen im Zweifelsfall vor dem finanziellen Ruin.

vor 6 Minuten schrieb Daniel__:

Ich stehe hierzu gerade etwas auf dem Schlauch. Meinst du damit das ich Anhand der wichtigkeit der Daten darlegen sollte, warum wie oft wohin gesichert wird? Ist das eher schon ein Tipp für die Projektdokumentation oder muss das wirklich im Projektantrag aufgenommen werden?

Sieh es als Hinweis, dass ich, wäre ich Prüfer, bei einer Überarbeitung des Backups auch erwarten würde dass der Prüfling in der Lage ist den Sicherungsbedarf "seiner" Systeme individuell zu beurteilen und die ausgewählte Lösung für die verschiedenen Anforderungen auch gewappnet ist.

Ein DB Server, das ERP oder der Mailserver haben sicherlich ein anderes Sicherungsbedürfnis als ein Printserver oder ein DC...

[alex123321]

Wirtschaftlichkeitsanalyse ist vielleicht etwas schwieriger wenn es noch nichts gibt, aber es gibt ja schon ein System dass für den Notfall absichert. Daher sehe ich es schon als möglich an hier eine Analyse zu fahren.

Wäre eine neue Lösung kostengünstiger? Wird weniger Aufwand benötigt? Sowas in die Richtung.

[charmanta]

vor 2 Stunden schrieb Daniel__:

vor 18 Stunden schrieb charmanta:

1. Aber damit ist eine Entscheidung schon durch ?

2. Das wird aber sicher noch Alternativen geben ?

3. Ich kann auch das heterogene Netz nicht nachvollziehen?

zu 1.: Ja, die Entscheidung das ausschließlich on-premise und "out-house" mit Bandsicherung im brandfesten Safe gesichert wird, steht unumstößlich. Nimmt das dem Projekt mangels Vergleichbarkeit die notwendige Tiefe für ein Abschlussprojekt?

zu 2.: Ja genau. Ich möchte Untersuchen ob es coolere Alternativen zu Backup Exec gibt, oder ob man dabei bleiben sollte. 

zu 3.: Ich will dir jetzt keine Worte in den Mund legen, aber ich glaube die formulierung in einem deiner vielen Beiträge hier genau so gelesen zu haben. Unser Netz würde ich als heterogen bezeichnen, da verschiedene Betriebsysteme sowohl auf virtuellen wie auf physischen Servern zum Einsatz kommen, und damit vom Fileserver bis zum Datenbankserver so ziemlich alles im Haus abgebildet wird.

Mit 1. und 2. kann ich mit den Erläuterungen leben.

Bei 3: Heterogen bedeutet verschiedene Betriebssysteme, üblicherweise *ux/ix, Microsoft Varianten und gerne auch Mac OS.

Richtig cool wirds bei Betrachtung von BareMetal Recovery und/oder Backup lebender Datenbanken. Das geht mir noch ein bisschen zuwenig aus der Formulierung hervor, kann aber schon für eine Zulassung reichen. Wenn Du sicherer sein willst dann schreib noch ein bisschen mehr dazu mit rein

[cortez]

vor 3 Stunden schrieb Maniska:

Ich würde die Cloudlösung trotzdem mit in den Vergleich nehmen, einfach der Vollständigkeit halber. Natürlich musst du bei einem Cloudbackup darauf achten dass die Regeln der DSGVO eingehalten werden, das musst du aber sowieso immer.

Nein, Nein nicht nur der Vollständigkeit halber. Die Cloud muss definitiv damit rein

Ich arbeite im Gesundheitswesen und da gibt es ähnliche Anforderungen an die Daten. Ich musste mich damit auch schon beschäftigen. Es gibt immer mehr Betreiber die eine Cloud mit Hosting in Deutschland anbieten, daher fällt die DSGVO Karte schon mal weg.

vor 4 Stunden schrieb Maniska:

Ein DB Server, das ERP oder der Mailserver haben sicherlich ein anderes Sicherungsbedürfnis als ein Printserver oder ein DC...

Hier meines Erachtens nach der wichtiger Teil. Die Priorisierung der Systeme.

[ickevondepinguin]

vor 18 Stunden schrieb cortez:

DSGVO Karte schon mal weg.

Selbst onPrem fällt die DSGVO-Karte nicht gänzlich weg?! So Pauschal würde ich das nicht stehen lassen....

[alex123321]

Gegenfrage: Cloud ist problematisch bei DSGVO, keine Frage. Aber wenn ich das ganze vorher mit AES256 verschlüssel?

Dann hat niemand die Daten, außer euch und die Daten bleiben auch erhalten wenn euer Standort abbrennt. Ich würde es nicht wegfallen lassen.

[allesweg]

vor 2 Minuten schrieb alex123321:

Gegenfrage: Cloud ist problematisch bei DSGVO, keine Frage. Aber wenn ich das ganze vorher mit AES256 verschlüssel?

Bleibt es immer noch problematisch, sobald ich personenbezogene Daten speichere - Stichwort "Recht auf Löschung". Da ändert auch eine Verschlüsselung nichts. Die Daten darf man dann gar nicht mehr haben.

[Daniel__]

Ich nehme in den Vergleich auf jeden Fall eine Cloud Lösung mit rein. Leuchtet mir ein, das man das nicht einfach auf Grund von DSGVO oder Firmenpolitik weglassen kann. Man soll ja zeigen das man das "Handwerkszeug" beherrscht.

Trotzdem, auch wenn die Evaluierung Vorteile einer Cloud-Lösung zeigen würde, hätte doch der Auftraggeber (in diesem Falle das Unternehmen selbst) nach wie vor die Möglichkeit sich für eine andere Alternative zu entscheiden. Wenn das begründet wird, kann das Projekt doch trotzdem umgesetzt werden? Oder bringen wir das Projekt von vornherein mit dem Ausschluss einer Cloud-Lösung (auch, wenn diese trotzdem mit evaluiert wird) ins wanken?

 

Beste Grüße
 

[alex123321]

vor 26 Minuten schrieb allesweg:

Bleibt es immer noch problematisch, sobald ich personenbezogene Daten speichere - Stichwort "Recht auf Löschung". Da ändert auch eine Verschlüsselung nichts. Die Daten darf man dann gar nicht mehr haben.

Das stimmt so, soweit ich weiß, nicht.

Wenn ein Datensicherungskonzept vorliegt, müssen die Daten aus dem Backup erst bei Wiederherstellung gelöscht werden. Die Änderung von bestehenden Backups ist aber nicht verhältnismäßig.

Ich lasse mich aber gerne eines besseren belehren. Hab nur halbwissen...

[Maniska]

vor 21 Minuten schrieb alex123321:

Gegenfrage: Cloud ist problematisch bei DSGVO, keine Frage. Aber wenn ich das ganze vorher mit AES256 verschlüssel?

Dann ist es immer noch kritisch wenn die Daten in einem RZ mit US-Fummelrechten liegen. Nur weil die Daten verschlüsselt sind, sind sie ja nicht weniger schützenswert. Und keiner kann garantieren, dass ein US Hersteller nicht doch einen CIA-Schlüssel eingebaut hat.

vor 21 Minuten schrieb alex123321:

Dann hat niemand die Daten, außer euch und die Daten bleiben auch erhalten wenn euer Standort abbrennt. Ich würde es nicht wegfallen lassen.

Da ist es aber egal ob der Medienbruch in die Wolke oder ins Bankschließfach um die Ecke erfolgt. Gut, außer man sitzt im Kreis Ahrweiler...

Aber bei Desaster Recovery aus dem Bankschließfach sind "nur" die Öffnungszeiten mein Problem, bei DR aus der Wolke benötige ich auch noch einen performanten Internetanschluss, oder viel Zeit.

vor 18 Minuten schrieb allesweg:

Bleibt es immer noch problematisch, sobald ich personenbezogene Daten speichere - Stichwort "Recht auf Löschung". Da ändert auch eine Verschlüsselung nichts. Die Daten darf man dann gar nicht mehr haben.

Bei Backup wird es als unverhältnismäßig angesehen die Daten auch zu löschen. Im Restorefall dürfen die Daten nicht wieder mit hergestellt werden, bzw müssen anschließend sofort wieder gelöscht werden.

Aber hierzu kommt bestimmt gleich der Opa @charmanta mit seinem Rollator um die Ecke und erklärt mir warum ich falsch liege.

vor 7 Minuten schrieb Daniel__:

Ich nehme in den Vergleich auf jeden Fall eine Cloud Lösung mit rein. Leuchtet mir ein, das man das nicht einfach auf Grund von DSGVO oder Firmenpolitik weglassen kann. Man soll ja zeigen das man das "Handwerkszeug" beherrscht.

Cloudlösung ist mittlerweile eben auch "Stand der Technik", und ggf. macht es sogar wirklich Sinn einen Teil eurer Daten verschlüsselt in der DSGVO Konformen Cloud zu lagern. Das herauszufinden und der GF vorzustellen ist deine Aufgabe, auch die Bedenken gegenüber Cloud solltest du fachlich fundiert besprechen können.

Wenn die GF dann sagt "ja, hast recht aber wir wollen trotzdem nicht"... Was willst du dann machen?

vor 7 Minuten schrieb Daniel__:

Trotzdem, auch wenn die Evaluierung Vorteile einer Cloud-Lösung zeigen würde, hätte doch der Auftraggeber (in diesem Falle das Unternehmen selbst) nach wie vor die Möglichkeit sich für eine andere Alternative zu entscheiden. Wenn das begründet wird, kann das Projekt doch trotzdem umgesetzt werden? Oder bringen wir das Projekt von vornherein mit dem Ausschluss einer Cloud-Lösung (auch, wenn diese trotzdem mit evaluiert wird) ins wanken?

"Aufgrund folgender Entscheidungsmatrix hat sich Produkt "Wolkenweich" als beste Lösung herauskristallisiert. Allerdings gefällt dem Geschäftsführer das UI nicht und er geht mit dem CEO von "Backop?lolnope" einmal die Woche golfen, weshalb er sich für das Produkt "MeIsNoBackup" dieses Anbieters entscheiden hat, das nur 50% des Featureumfangs von "Wolkenweich" hat und dreimal so hohe Lizenzkosten."

Du zeigst auf welches Produkt du als Fachkraft warum für das in diesem Umfeld am besten geeignet findest. Was der Kunde mit deiner Empfehlung macht ist seine Sache. Es wird immer wieder Projekte geben die "kraft Krawatte" komplett anders laufen als man sich das als ITler wünschen würde.

[charmanta]

vor 23 Minuten schrieb Maniska:

vor einer Stunde schrieb allesweg:

Bleibt es immer noch problematisch, sobald ich personenbezogene Daten speichere - Stichwort "Recht auf Löschung". Da ändert auch eine Verschlüsselung nichts. Die Daten darf man dann gar nicht mehr haben.

Bei Backup wird es als unverhältnismäßig angesehen die Daten auch zu löschen. Im Restorefall dürfen die Daten nicht wieder mit hergestellt werden, bzw müssen anschließend sofort wieder gelöscht werden.

Aber hierzu kommt bestimmt gleich der Opa @charmanta mit seinem Rollator um die Ecke und erklärt mir warum ich falsch liege.

Recht auf Löschung heisst Recht auf Löschung. Wenn das nicht mit zu vereinbarenden Mitteln möglich ist muss das in der Datenschutzinfo zum Prozess beschrieben sein. Eine Rechtsprechung hierzu ist mir bisher nicht bekannt, die Unmöglichkeit bei bestimmten Backups sehe ich aber durchaus ein. Ich würde hier ergo mit einer Sperre des Datensatzes arbeiten, was auf dasselbe hinausläuft.

Frage ist sowieso ob gelöscht werden darf ?

[allesweg]

vor 20 Minuten schrieb charmanta:

Frage ist sowieso ob gelöscht werden darf ?

Nach Ablauf der entsprechend gültigen Aufbewahrungsfirsten müsste meines Wissens physisch gelöscht werden. Ein logischer Sperrvermerk reicht m.W. dann nicht.

Einzig bei Werbewiderspruch kann ich mir vorstellen, dass dieser unbefristet vermerkt bleiben müsse & nicht einfach nach n Jahren wieder Spam hin geschickt werden kann.

[alex123321]

Mir gings bei meinen Aussagen nicht darum zu sagen, dass es die Lösung oder überhaupt eine gute Lösung ist. Es sollte aber ohne Voreingenommenheit betrachtet werden.

Dass ein "CIA" Key eingebaut sein kann, gilt ja nur wenn ich die Backup Lösung des US Cloud Providers nutze. Ich kann meine Backups aber auch On-Prem erstellen und verschlüsseln und die Cloud nur als Blobspeicher nutzen. Und dann liegts am Prüfling aufzuzeigen warum das keine geeignete Lösung ist im Rahmen seines Entscheidungsprozesses. Bspw. könnte es zu aufwendig und kostenintensiv sein im Vergleich zu einer deutschen Cloud.

[Maniska]

vor 15 Minuten schrieb alex123321:

Dass ein "CIA" Key eingebaut sein kann, gilt ja nur wenn ich die Backup Lösung des US Cloud Providers nutze. Ich kann meine Backups aber auch On-Prem erstellen und verschlüsseln und die Cloud nur als Blobspeicher nutzen. Und dann liegts am Prüfling aufzuzeigen warum das keine geeignete Lösung ist im Rahmen seines Entscheidungsprozesses. Bspw. könnte es zu aufwendig und kostenintensiv sein im Vergleich zu einer deutschen Cloud.

Jain, wenn ich die in Veeam integrierte Verschlüsselung nutze und das Backup in eine "Cloud mit US Zugriff" schiebe habe ich einen US Cloudanbieter der die Daten ggf herausgeben muss und eine US-Verschlüsselungssoftware bei der ich nicht sicher sein kann dass kein CIA Key existiert.

Daher muss m.E. jeder verwendete Cloudspeicher egal ob verschlüsselt oder nicht DSGVO Konform sein. Und wer seine Daten unverschlüsselt in einem fremden RZ parkt gehört geteert und gefedert.