Backup- und Wiederherstellungsrichtlinie – KMU

Die Backup- und Wiederherstellungsrichtlinie (P15S) bietet einen umfassenden Ansatz, um sicherzustellen, dass alle wesentlichen Geschäftsdaten vor Verlust geschützt sind und im Falle einer Störung schnell wiederhergestellt werden können. Speziell für kleine und mittlere Unternehmen (KMU) entwickelt, berücksichtigt diese Richtlinie die strukturellen Gegebenheiten von Organisationen ohne komplexe IT-Abteilungen, z. B. ohne dedizierte SOC-Teams oder CISOs. Daher weist sie dem General Manager (GM) wesentliche Aufsichts- und Entscheidungsverantwortlichkeiten zu und ist damit sowohl praxisnah als auch konform mit ISO/IEC 27001:2022. Im Kern legt die Richtlinie durchsetzbare Regeln fest, die regelmäßige Backups aller kritischen Daten verlangen, einschließlich Finanz-, Kunden-, HR- und Geschäftssysteminformationen über Desktops, Server und Cloud-Anwendungen hinweg. Die Richtlinie ist präzise hinsichtlich des Geltungsbereichs und fordert die Einbeziehung von Backup-Medien wie USB-Laufwerken oder Cloud-basierten Lösungen. Sie verpflichtet alle Mitarbeitenden mit Verantwortung für den Umgang mit Daten sowie externe IT-Unterstützungsanbieter, die vorgegebenen Protokolle für Backup und sichere Speicherung strikt einzuhalten. P15S definiert klare Ziele: sicherzustellen, dass alle kritischen Daten in Intervallen, die an Risikobeurteilungen ausgerichtet sind, sicher gesichert werden; eine zeitnahe und vollständige Datenwiederherstellung zu gewährleisten; sowie unbefugten Zugriff oder Manipulation durch robuste Verschlüsselung und Speicherkontrollen zu verhindern. Rollen und Verantwortlichkeiten sind klar abgegrenzt: Der GM ist für die Durchsetzung der Richtlinie, Ressourcenzuweisung, jährliche Überprüfungen und Vorfallsaufsicht verantwortlich, während IT-Anbieter die technische Umsetzung und Berichterstattung übernehmen. Mitarbeitende dürfen Arbeitsergebnisse nur in genehmigten Systemen speichern, wodurch das Risiko weiter reduziert wird. Die Richtlinie verlangt einen dokumentierten Backup-Plan, der festlegt, was gesichert wird, in welcher Häufigkeit, welche Aufbewahrungsregeln gelten und welche Leitlinien zur sicheren Löschung auf zugehörigen Richtlinien basieren. Backups müssen nach festen Zeitplänen durchgeführt werden, z. B. täglich oder wöchentlich für Finanzunterlagen, monatlich für Systemkonfigurationen und – wo möglich – inkrementell für gemeinsam genutzte Dateien. Kritische Kontrollen verlangen, dass Daten an mindestens zwei Standorten gespeichert werden (z. B. lokal und in der Cloud), bei Offsite-Speicherung verschlüsselt sind und ausschließlich autorisiertem Personal zugänglich sind. Protokolle, Berichte und regelmäßige Tests der Wiederherstellungsverfahren sind verpflichtend und unterstützen sowohl die operative Zuverlässigkeit als auch Audit-Anforderungen für Normen wie ISO/IEC 27001 und DSGVO. Risiko- und Ausnahmemanagement sind integriert: Jede Abweichung, Versäumnis oder technische Störung muss dokumentiert, begründet und vom GM genehmigt werden. Verbotene Handlungen wie das Speichern kritischer Daten auf nicht genehmigten Geräten oder das Auslassen von Wiederherstellungstests werden ausdrücklich benannt. Jährliche sowie vorfallsbezogene Richtlinienüberprüfungen stellen die fortlaufende Ausrichtung an rechtliche, regulatorische und technische Entwicklungen sicher. Bei Themen, die Backup oder Wiederherstellung betreffen, erfolgen Eskalation und Dokumentation gemäß der Incident-Response-Richtlinie (P30S) und verankern eine integrierte Governance in der Informationsmanagement-Landschaft des KMU. Diese Richtlinie befähigt KMU damit, internationale Compliance-Anforderungen mit einer Struktur zu erfüllen, die auf ihre operativen Gegebenheiten zugeschnitten ist.