Datenwiederherstellung (Data Recovery)
Unter Datenwiederherstellung versteht man den Prozess der Wiederherstellung von Daten, die verloren gegangen, versehentlich gelöscht, beschädigt oder unzugänglich gemacht wurden.
In der Unternehmens-IT bezieht sich die Datenwiederherstellung in der Regel auf die Wiederherstellung von Daten auf einem Desktop, Laptop, Server oder externen Speichersystem aus einer Sicherungskopie.
Ursachen für Datenverluste
Die meisten Datenverluste werden durch menschliches Versagen und nicht durch böswillige Angriffe verursacht, so eine britische Statistik aus dem Jahr 2016. Tatsächlich waren menschliche Fehler für fast zwei Drittel der Vorfälle verantwortlich, die dem U.K. Information Commissioner's Office gemeldet wurden. Die häufigste Art von Datenschutzverletzungen bestand darin, dass jemand Daten an die falsche Person geschickt hat.
Weitere häufige Ursachen für Datenverluste sind Stromausfälle, Naturkatastrophen, Geräteausfälle oder -fehlfunktionen, versehentliches Löschen von Daten, unbeabsichtigtes Formatieren einer Festplatte, beschädigte Festplatten-Lese-/Schreibköpfe, Softwareabstürze, logische Fehler, Beschädigung der Firmware, fortgesetzte Nutzung eines Computers nach Anzeichen eines Ausfalls, physische Schäden an Festplatten, Diebstahl eines Laptops und Verschütten von Kaffee oder Wasser auf einem Computer.
Die Funktionsweise der Datenwiederherstellung
Der Datenwiederherstellungsprozess variiert je nach den Umständen des Datenverlusts, der zur Erstellung der Sicherung verwendeten Datenwiederherstellungssoftware und dem Zielmedium der Sicherung. Viele Desktop- und Laptop-Backup-Softwareplattformen ermöglichen es den Benutzern beispielsweise, verlorene Dateien selbst wiederherzustellen, während die Wiederherstellung einer beschädigten Datenbank von einem Band-Backup ein komplizierterer Prozess ist, der das Eingreifen der IT-Abteilung erfordert. Mit Hilfe von Datenwiederherstellungsdiensten können auch Dateien wiederhergestellt werden, die nicht gesichert und versehentlich aus dem Dateisystem eines Computers gelöscht wurden, aber noch in Fragmenten auf der Festplatte vorhanden sind.
Die Wiederherstellung von Daten ist möglich, weil eine Datei und die Informationen über diese Datei an verschiedenen Orten gespeichert sind. Das Windows-Betriebssystem verwendet zum Beispiel eine Dateizuordnungstabelle, um zu verfolgen, welche Dateien sich auf der Festplatte befinden und wo sie gespeichert sind. Die Zuordnungstabelle ist wie das Inhaltsverzeichnis eines Buches, während die eigentlichen Dateien auf der Festplatte wie die Seiten in einem Buch sind.
Wenn Daten wiederhergestellt werden müssen, funktioniert in der Regel nur die Dateizuordnungstabelle nicht mehr richtig. Die eigentliche Datei, die wiederhergestellt werden soll, befindet sich möglicherweise noch in einwandfreiem Zustand auf der Festplatte. Wenn die Datei noch existiert - und nicht beschädigt oder verschlüsselt ist - kann sie wiederhergestellt werden. Wenn die Datei beschädigt ist, fehlt oder verschlüsselt ist, gibt es andere Möglichkeiten, sie wiederherzustellen. Wenn die Datei physisch beschädigt ist, kann sie immer noch rekonstruiert werden. Viele Anwendungen, wie unter anderem Microsoft Office, setzen einheitliche Kopfzeilen an den Anfang von Dateien, um zu kennzeichnen, dass sie zu dieser Anwendung gehören. Mit einigen Dienstprogrammen lassen sich die Dateikopfzeilen manuell rekonstruieren, so dass zumindest ein Teil der Datei wiederhergestellt werden kann.
Die meisten Datenwiederherstellungsprozesse kombinieren Technologien, so dass Unternehmen ihre Daten nicht ausschließlich per Band wiederherstellen. Die Wiederherstellung von Kernanwendungen und Daten von Bändern nimmt Zeit in Anspruch, und es kann sein, dass Sie unmittelbar nach einer Katastrophe auf Ihre Daten zugreifen müssen. Auch der Transport von Bändern ist mit Risiken verbunden.
Außerdem werden möglicherweise nicht alle Produktionsdaten an einem entfernten Standort für die Wiederaufnahme des Betriebs benötigt. Daher ist es ratsam, zu ermitteln, was zurückgelassen werden kann und welche Daten wiederhergestellt werden müssen.
Techniken zur Datenwiederherstellung
Bei der sofortigen Wiederherstellung, auch bekannt als Recovery in Place oder Instant Recovery, wird versucht, das Wiederherstellungsfenster zu eliminieren, indem die Arbeitslast der Benutzer auf den Backup-Server umgeleitet wird. Es wird ein Snapshot erstellt, so dass das Backup in einem unversehrten Zustand bleibt, und alle Schreibvorgänge der Benutzer werden auf diesen Snapshot umgeleitet; die Benutzer arbeiten dann auf der virtuellen Maschine (VM) des Backups, und der Wiederherstellungsprozess beginnt im Hintergrund. Die Anwender haben keine Ahnung, dass die Wiederherstellung stattfindet, und sobald die Wiederherstellung abgeschlossen ist, wird die Arbeitslast der Anwender wieder auf die ursprüngliche VM umgeleitet.
Eine Möglichkeit, den zeitaufwändigen und kostspieligen Prozess der Datenwiederherstellung zu vermeiden, besteht darin, den Datenverlust zu verhindern. Produkte zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) helfen Unternehmen dabei, Datenlecks zu erkennen und zu stoppen, und sind in zwei Versionen erhältlich: eigenständige und integrierte Produkte.
- Eigenständige DLP-Produkte können sich auf speziellen Geräten befinden oder als Software verkauft werden.
- Integrierte DLP-Produkte sind in der Regel in Sicherheits-Gateways integriert und eignen sich für die Erkennung sensibler Daten im Ruhezustand (data at rest) und bei der Übertragung (data in motion).
Im Gegensatz zu eigenständigen Data Loss Prevention-Produkten nutzen integrierte DLP-Produkte in der Regel nicht dieselben Verwaltungskonsolen, Richtlinienverwaltungsmodule und Datenspeicher.
Integration der Datenwiederherstellung in einen DR-Plan
Der Disaster-Recovery-Plan eines Unternehmens sollte die für die Wiederherstellung von Daten zuständigen Personen im Unternehmen benennen, eine Strategie für die Wiederherstellung von Daten vorgeben und akzeptable Ziele für Wiederherstellungspunkte und -zeiten (RPO, RTO) dokumentieren. Er sollte auch die Schritte zur Wiederherstellung von Daten enthalten.
Wenn beispielsweise ein Gebäude nicht mehr betriebsbereit ist, müssen die betroffenen Geschäftseinheiten darauf hingewiesen werden, sich auf die Verlegung an einen anderen Standort vorzubereiten. Wenn Hardwaresysteme beschädigt oder zerstört wurden, müssen Prozesse zur Wiederherstellung beschädigter Hardware aktiviert werden. Verfahren zur Wiederherstellung beschädigter Software sollten ebenfalls Teil des Notfallplans sein.
Einige Ressourcen, die man sich ansehen sollte, sind der Standard SP 800-34 des National Institute for Standards and Technology sowie die Standards ISO 24762 und 27031.
Eine Analyse der Auswirkungen auf den Geschäftsbetrieb kann einem Unternehmen dabei helfen, seine Datenanforderungen zu verstehen und die Mindestzeit zu ermitteln, die für die Wiederherstellung der Daten in ihrem vorherigen Zustand erforderlich ist. Eine Herausforderung bei Datenverlust und Datenwiederherstellung besteht darin, die unstrukturierten Daten, die auf verschiedenen Geräten gespeichert sind, in den Griff zu bekommen.
Es gibt jedoch Schritte, die den Schaden mindern können. Beginnen Sie mit der Klassifizierung der Daten nach ihrer Empfindlichkeit und legen Sie fest, welche Klassifizierungen gesichert werden müssen. Bestimmen Sie dann, wie viele Daten gefährdet sein müssten, um das Unternehmen zu schädigen. Führen Sie eine Risikobewertung durch, um festzustellen, welche Kontrollen zum Schutz sensibler Daten erforderlich sind. Schließlich sollten Sie Systeme zur Speicherung und zum Schutz dieser Inhalte einrichten.