Richtlinien für die Datensicherung (Backup)

Contents

Richtlinien für die Datensicherung (Backup) (Art. 12 Abs. 1 lit. a und Abs. 2 DORA)

Richtlinien für die Datensicherung (Backup) (Art. 12 Abs. 1 lit. a und Abs. 2 DORA)

Ein zuverlässiges Backup ist keine technische Kür, sondern eine regulatorische Pflicht nach DORA. Finanzunternehmen – von Banken über Versicherer bis hin zu Zahlungsinstituten – sind gemäß Art. 12 DORA verpflichtet, umfassende Richtlinien zur Datensicherung und Wiederherstellung zu definieren, zu dokumentieren und regelmäßig zu testen.

Ziel ist es, im Falle schwerwiegender IKT-Störungen, Cyberangriffe oder Systemausfälle eine schnelle Wiederherstellung geschäftskritischer Daten und Systeme zu ermöglichen – mit minimalem Datenverlust und geringstmöglicher Unterbrechung des Geschäftsbetriebs.

Gesetzliche Anforderungen im Überblick

Gemäß Art. 12 Abs. 1 lit. a und Abs. 2 DORA müssen Finanzunternehmen:

Backup-Richtlinien und -Verfahren erstellen, die den Umfang und die Frequenz der Sicherungen anhand von Kritikalität und Vertraulichkeit definieren
Wiedergewinnungs- und Wiederherstellungsverfahren dokumentieren, testen und betriebsbereit halten
Datensicherungssysteme implementieren, die sicher aktiviert werden können, ohne Integrität, Authentizität oder Verfügbarkeit zu gefährden

Wesentliche Umsetzungspflichten für Finanzunternehmen

1. Backup-Richtlinie

Festlegung des Sicherungsumfangs (z. B. kritische Datenbanken, Transaktionsdaten, Konfigurationsdateien)
Differenzierung nach Vertraulichkeit und Bedeutung für den Geschäftsbetrieb
Mindestfrequenz der Sicherung je nach Kritikalität (z. B. täglich, stündlich, transaktionsbasiert)
Dokumentierte Zuweisung von Verantwortlichkeiten für Durchführung, Kontrolle und Überwachung der Backups

2. Wiederherstellungsverfahren

Definition der technischen Wiederherstellungsverfahren (Restore-Prozesse, RTO/RPO-Werte)
Beschreibung der Wiederanlaufmethoden für komplette Systeme, Teilsysteme und einzelne Datenbereiche
Vorgaben zur Reihenfolge der Wiederherstellung nach risikobasierten Prioritäten

3. Datensicherungssysteme

Sichere Architektur für Backup-Infrastruktur (on-premises, Cloud, Hybrid)
Zugriffsschutz, Verschlüsselung und Integritätsprüfung
Kein Risiko für die Sicherheit, Integrität, Verfügbarkeit oder Vertraulichkeit durch Aktivierung der Backup-Systeme

4. Regelmäßige Tests

Mindestens jährliche Tests der Backup- und Restore-Prozesse
Simulation realer Ausfallszenarien (z. B. Ransomware-Angriff, Systemfehler, Datenkorruption)
Nachweis der erfolgreichen Wiederherstellung kritischer Daten in der vorgesehenen Zeit
Dokumentation der Testergebnisse zur Vorlage bei Audit oder Aufsicht

Prüfungsrelevanz: Was Auditoren erwarten

Bei Audits oder DORA-Prüfungen durch Aufsichtsbehörden liegt ein besonderer Fokus auf folgenden Punkten:

Existenz und Aktualität einer formalen Datensicherungsrichtlinie
Definition von Backup-Zyklen nach Risikoklassifizierung
Nachweise erfolgreicher Wiederherstellungstests (inkl. Protokolle und Szenarien)
Belege zur organisatorischen und technischen Umsetzung (z. B. Backup-Logs, Tool-Nachweise, Restore-Protokolle)
Kein Single-Point-of-Failure – Einsatz verteilter oder redundanter Systeme