Die wahre Sicherheit georedundanter Backups in der Schweiz liegt nicht in der Anzahl der Standorte, sondern in deren strategischer Entkopplung von regionalen Risikozonen.
- Physische Risiken wie Hochwasser erfordern eine Standortwahl ausserhalb korrelierter Gefahrenzonen (z.B. gleiches Flusstal oder Stromnetz).
- Rechtliche Risiken unter dem neuen Datenschutzgesetz (nDSG) machen die Daten-Souveränität und den Speicherort (Schweiz vs. Ausland) zu einem kritischen Faktor.
- Operationelle Risiken wie Ransomware-Angriffe verlangen nach einem Notfallplan, der die sofortige logische Trennung des georedundanten Backups vorsieht.
Empfehlung: Evaluieren Sie Ihre Backup-Standorte anhand offizieller Gefahrenkarten des Bundes und kantonaler Abhängigkeiten, nicht nur anhand der reinen Kilometerdistanz.
Stellen Sie sich als Risikomanager vor, ein extremes Hochwasser der Aare legt Teile Berns lahm. Ihre Server im Hauptsitz sind betroffen. Ein beruhigender Gedanke, dass sich das Backup in einem Rechenzentrum nur wenige Kilometer entfernt befindet, oder? Doch was, wenn dieses Rechenzentrum im selben Überschwemmungsgebiet liegt, vom selben Stromausfall betroffen ist und über dieselben überlasteten Kommunikationsnetze erreicht werden muss? Plötzlich ist die vermeintliche Sicherheit eine Illusion. Viele Unternehmen begnügen sich mit der oberflächlichen Annahme, dass zwei Kopien an zwei Orten ausreichen. Sie investieren in Backup-Lösungen, ohne die eigentliche Gefahr zu analysieren: die Risikokorrelation zwischen den Standorten.
Die herkömmliche Denkweise über Disaster Recovery konzentriert sich oft auf Hardware-Ausfälle oder lokale Zwischenfälle. In einem dicht besiedelten und geografisch komplexen Land wie der Schweiz ist dieser Ansatz jedoch gefährlich kurzsichtig. Ein Grossschadensereignis – sei es eine Naturkatastrophe, ein grossflächiger Stromausfall oder sogar eine gezielte Sabotage der Infrastruktur – kann eine ganze Region betreffen. Die eigentliche Frage für eine robuste Business-Continuity-Strategie lautet daher nicht: *Haben* wir ein Backup? Sondern: Ist unser Backup wirklich immun gegen die Katastrophe, die unser Primärsystem lahmgelegt hat?
Dieser Artikel durchbricht die platten Ratschläge. Wir tauchen tief in das Konzept der strategischen Distanz ein, die weit über blosse Kilometer hinausgeht. Es geht darum, eine echte Entkopplung zu schaffen – geografisch, logistisch und rechtlich. Anstatt nur Daten zu duplizieren, lernen Sie, Risiken zu diversifizieren. Wir analysieren, wie Sie Ihre Daten zwischen wichtigen Wirtschaftszentren wie Zürich und Genf synchronisieren, welche Fallstricke bei der Standortwahl Ihre Versicherungspolice gefährden und wie das Schweizer Datenschutzgesetz (nDSG) die Wahl zwischen einem „Schweizer Fort Knox“ und einer internationalen Public Cloud beeinflusst. So bauen Sie eine Backup-Architektur, die nicht nur auf dem Papier, sondern auch im Angesicht einer echten regionalen Katastrophe standhält.
Dieser Leitfaden bietet Ihnen eine strukturierte Übersicht über die entscheidenden Aspekte einer wirksamen georedundanten Backup-Strategie in der Schweiz. Entdecken Sie, wie Sie Ihre Datenresilienz auf das nächste Level heben.
Inhaltsverzeichnis: Wie Sie eine narrensichere Georedundanz-Strategie für die Schweiz entwickeln
- Warum ein Backup im Nachbargebäude bei einem Hochwasser nutzlos ist?
- Wie synchronisieren Sie Daten zwischen Zürich und Genf ohne Performance-Verlust?
- Schweizer „Fort Knox“ vs. Public Cloud: Welche Georedundanz lohnt sich für KMU?
- Das Risiko bei Georedundanz über die Landesgrenze: Was sagt das Schweizer nDSG?
- Wie reduzieren Sie die Ladezeit grosser Datenmengen aus dem georedundanten Speicher?
- Der Standortfehler in Überschwemmungsgebieten, der Ihre Versicherungspolice ungültig macht
- Wasser oder Gas: Welches Löschsystem schützt Ihren Serverraum ohne Folgeschäden?
- Wie reagieren Sie in den ersten 60 Minuten nach einer Ransomware-Infektion richtig?
Warum ein Backup im Nachbargebäude bei einem Hochwasser nutzlos ist?
Die grundlegendste Fehleinschätzung bei der Planung von Georedundanz ist die Verwechslung von geografischer Nähe mit operativer Sicherheit. Ein Backup-Standort im Nachbargebäude oder im selben Industriequartier bietet Schutz vor einem isolierten Brand oder einem lokalen Hardware-Defekt. Gegen ein regionales Grossschadensereignis, wie ein Hochwasser, einen grossflächigen Stromausfall oder einen Erdbebenstoss, ist diese Strategie jedoch wertlos. Der Grund liegt in der hohen Korrelation der Risiken: Beide Standorte teilen sich dieselbe kritische Infrastruktur – Stromnetz, Telekommunikationsleitungen, Zufahrtswege und sind denselben Naturgefahren ausgesetzt.
Für einen Risikomanager ist es entscheidend zu verstehen, dass die strategische Distanz nicht in Metern, sondern in der Entkopplung von Risikofaktoren gemessen wird. Ein zweiter Standort ist nur dann wirklich redundant, wenn er von den Ereignissen, die den ersten Standort lahmlegen, unberührt bleibt. Das bedeutet konkret: Er sollte sich in einer anderen geologischen Gefahrenzone, an einem anderen Stromversorgungsnetz und idealerweise in einer anderen Telekommunikations-Hub-Region befinden. Die Annahme, ein paar hundert Meter Distanz seien ausreichend, ignoriert die Skalierung moderner Katastrophen und kann im Ernstfall zum Totalverlust aller Daten führen.
Die entscheidende Frage ist also nicht „Wie weit ist das Backup entfernt?“, sondern „Welche gemeinsamen Ausfallpunkte (Single Points of Failure) bestehen zwischen meinem Primär- und meinem Sekundärstandort?“. Eine Analyse dieser Abhängigkeiten ist der erste und wichtigste Schritt zu einer widerstandsfähigen Backup-Architektur, die den Namen „georedundant“ auch wirklich verdient.
Wie synchronisieren Sie Daten zwischen Zürich und Genf ohne Performance-Verlust?
Die Überbrückung der Distanz zwischen zwei strategisch entkoppelten Standorten wie Zürich und Genf stellt eine technische Herausforderung dar: Wie lassen sich grosse Datenmengen synchronisieren, ohne die Leistung der Primärsysteme zu beeinträchtigen und gleichzeitig die Datenintegrität zu wahren? Die Lösung liegt in der Wahl der richtigen Replikationsmethode, die auf zwei zentrale Kennzahlen ausgerichtet ist: das Recovery Point Objective (RPO) und das Recovery Time Objective (RTO). Das RPO definiert den maximal tolerierbaren Datenverlust (gemessen in Zeit), während das RTO die maximale Zeitspanne für die Wiederherstellung der Systeme festlegt.
Für kritische Systeme, bei denen kaum ein Datenverlust hingenommen werden kann, ist die synchrone Replikation die Methode der Wahl. Dabei wird jede Transaktion erst dann als abgeschlossen bestätigt, wenn sie sowohl auf dem primären als auch auf dem georedundanten System gespeichert wurde. Dies garantiert ein RPO nahe null, kann aber die Latenz der primären Anwendung erhöhen. Eine Alternative ist die asynchrone Replikation, bei der Daten in kurzen Intervallen (z.B. alle 15 Minuten) an den sekundären Standort übertragen werden. Dies reduziert die Performance-Auswirkungen, führt aber zu einem RPO von einigen Minuten. Die Wahl hängt direkt von den Geschäftsanforderungen und der Kritikalität der Daten ab.
Die technologische Grundlage für eine latenzarme Übertragung über grosse Distanzen sind dedizierte Glasfaserverbindungen (Dark Fiber), die eine hohe Bandbreite und minimale Verzögerung gewährleisten. Moderne Technologien wie WAN-Optimierung und Datenkompression reduzieren zusätzlich das übertragene Volumen und beschleunigen den Prozess. Die folgende Tabelle gibt einen Überblick über die Trade-offs.
Die Analyse der folgenden Methoden hilft bei der strategischen Entscheidung, wie die Balance zwischen Kosten, Performance und Sicherheitszielen gefunden werden kann, wie eine vergleichende Übersicht von Netstream zeigt.
| Replikationsmethode | RPO (Recovery Point Objective) | RTO (Recovery Time Objective) | Kosten für KMU |
|---|---|---|---|
| Synchrone Echtzeit-Replikation | 0-5 Minuten | < 1 Stunde | Hoch |
| Asynchrone Replikation (15 Min.) | 15-30 Minuten | 1-4 Stunden | Mittel |
| Tägliches Backup | 24 Stunden | 4-24 Stunden | Niedrig |
Schweizer „Fort Knox“ vs. Public Cloud: Welche Georedundanz lohnt sich für KMU?
Die Entscheidung für eine Georedundanz-Strategie ist nicht nur technischer, sondern auch strategischer Natur. Grundsätzlich stehen Schweizer Unternehmen zwei Hauptmodelle gegenüber: die Nutzung von rein schweizerischen Rechenzentren („Schweizer Fort Knox“) oder die Inanspruchnahme der globalen Infrastruktur von Hyperscalern wie AWS, Azure oder Google Cloud. Jedes Modell hat spezifische Vor- und Nachteile, die insbesondere im Kontext von Kosten, Skalierbarkeit und Daten-Souveränität abgewogen werden müssen.
Das „Schweizer Fort Knox“-Modell, angeboten von lokalen Providern wie Infomaniak oder Green.ch, garantiert, dass die Daten die Landesgrenzen niemals verlassen. Dies bietet maximale Rechtssicherheit unter dem Schweizer nDSG und ist oft eine zwingende Anforderung für Branchen, die der FINMA unterstehen oder mit besonders sensiblen Personendaten arbeiten. Wie Myfactory Schweiz in einem Blogbeitrag hervorhebt, werden hierbei „die Daten an mehreren gut gesicherten Standorten mit redundanten Strom- und Datenleitungen innerhalb der Schweiz gespeichert“. Der Nachteil liegt oft in höheren Kosten und einer geringeren Flexibilität im Vergleich zu den globalen Playern.
Public-Cloud-Anbieter hingegen locken mit enormer Skalierbarkeit, Pay-per-Use-Modellen und einer globalen Präsenz, die eine Georedundanz über Kontinente hinweg ermöglicht. Obwohl diese Anbieter oft Rechenzentren in der Schweiz betreiben, unterliegen sie ausländischen Gesetzen (wie dem US CLOUD Act), was zu rechtlichen Grauzonen bezüglich des Zugriffs ausländischer Behörden auf Daten führen kann. Für viele KMU ist dies ein akzeptabler Kompromiss, für eine Bank oder Versicherung jedoch ein potenziell untragbares Risiko.
Ihre Entscheidungshilfe: Auswahl der richtigen Backup-Lösung
- Compliance-Anforderungen evaluieren: Prüfen Sie spezifische Vorgaben Ihrer Branche (z.B. FINMA, Gesundheitsdaten) bezüglich des Datenspeicherorts.
- IT-Budget analysieren: Vergleichen Sie die Fixkosten eines Schweizer Anbieters mit den variablen Kosten eines Hyperscalers.
- Datenvolumen und Wachstum prognostizieren: Bewerten Sie, welches Modell die nötige Skalierbarkeit für die Zukunft bietet.
- Anbieter-Vergleich durchführen: Holen Sie Angebote von Schweizer Providern und globalen Hyperscalern ein und vergleichen Sie Service Level Agreements (SLAs).
- Bedeutung der Daten-Souveränität bewerten: Entscheiden Sie, ob das Restrisiko eines ausländischen Behördenzugriffs für Ihr Geschäftsmodell tragbar ist.
Das Risiko bei Georedundanz über die Landesgrenze: Was sagt das Schweizer nDSG?
Die Nutzung von Rechenzentren im Ausland für georedundante Backups kann verlockend sein, insbesondere aufgrund potenzieller Kostenvorteile oder der globalen Infrastruktur von Hyperscalern. Für Schweizer Unternehmen, insbesondere im Finanz- und Versicherungssektor, birgt dieser Schritt jedoch erhebliche rechtliche Risiken, die primär aus dem neuen Datenschutzgesetz (nDSG) und der Frage der Daten-Souveränität resultieren. Der Kern des Problems ist die Übermittlung von Personendaten in ein Land, dessen Datenschutzniveau von der Schweiz nicht als „angemessen“ eingestuft wird.
Zwar gelten die EU/EWR-Staaten gemäss der Länderliste des Bundesrates als Staaten mit einem angemessenen Datenschutzniveau, was die Datenübermittlung dorthin grundsätzlich erleichtert. Komplizierter wird es jedoch bei der Nutzung von US-amerikanischen Cloud-Anbietern, selbst wenn deren Server in Europa stehen. Aufgrund von Gesetzen wie dem US CLOUD Act können US-Behörden unter bestimmten Umständen Zugriff auf Daten von US-Unternehmen verlangen, unabhängig vom Speicherort der Daten. Dies untergräbt die Garantien der europäischen Datenschutzgesetze und des nDSG. Die „Schrems II“-Entscheidung des Europäischen Gerichtshofs hat diesen Konflikt verdeutlicht und erfordert zusätzliche vertragliche Garantien (Standard Contractual Clauses, SCCs), deren Wirksamkeit in der Praxis jedoch umstritten bleibt.
Darüber hinaus bestehen geopolitische Risiken. Im Falle einer Energiekrise, politischer Instabilität oder internationaler Spannungen könnte ein fremder Staat den Zugang zu den in seinem Hoheitsgebiet gespeicherten Daten beschränken oder die Infrastruktur für eigene Zwecke priorisieren. Für einen Risikomanager bedeutet dies einen potenziellen Kontrollverlust über die eigenen kritischen Daten. Die Speicherung innerhalb der Schweiz eliminiert diese spezifische Klasse von Risiken und stellt sicher, dass die Daten ausschliesslich der Schweizer Rechtsordnung unterliegen.
Wie reduzieren Sie die Ladezeit grosser Datenmengen aus dem georedundanten Speicher?
Im Katastrophenfall ist Zeit ein kritischer Faktor. Selbst wenn die Daten im georedundanten Rechenzentrum sicher sind, ist ihre Wiederherstellung (Restore) oft ein Flaschenhals. Die Übertragung von Terabytes oder sogar Petabytes an Daten über das Internet kann Tage dauern und das RTO (Recovery Time Objective) massiv überschreiten. Die Reduzierung dieser Ladezeit erfordert eine Kombination aus strategischer Priorisierung und dem Einsatz spezialisierter Technologien. Es geht nicht darum, alles auf einmal wiederherzustellen, sondern das Wichtigste zuerst.
Der erste Schritt ist die Erstellung eines klaren Priorisierungsplans für die Wiederherstellung. Nicht alle Systeme sind gleich kritisch. Ein ERP-System oder die Kernanwendungen einer Bank haben Vorrang vor Archivdaten oder internen Kollaborationstools. Durch die gestaffelte Wiederherstellung können die geschäftskritischen Funktionen in kürzester Zeit wieder online gebracht werden, während weniger wichtige Daten im Hintergrund geladen werden. Ein solcher Plan muss vor einem Desasterfall definiert und regelmässig getestet werden.
Für sehr grosse initiale Datenmengen (sowohl für das erste Backup, das „Seeding“, als auch für eine komplette Wiederherstellung) sind physische Transportmedien oft schneller als jede Netzwerkverbindung. Dienste wie AWS Snowball oder ähnliche Angebote ermöglichen es, grosse Datenmengen auf robusten, verschlüsselten Speichergeräten zu sichern und physisch zum Rechenzentrum zu transportieren. ALSO Schweiz AG nutzt beispielsweise eine solche Strategie, um georedundante Offsite-Backup-Services effizient zu gestalten, wobei die Übertragung durch moderne Verschlüsselungstechnologien geschützt wird. Diese Methode des „Data Seeding“ umgeht den Netzwerk-Flaschenhals und kann die Zeit für eine vollständige Wiederherstellung von Wochen auf Tage reduzieren.
- Priorität 1: ERP-System und kritische Geschäftsanwendungen wiederherstellen
- Priorität 2: E-Mail-Server und Kommunikationssysteme reaktivieren
- Priorität 3: Kundendatenbanken und CRM-Systeme online bringen
- Priorität 4: Dokumentenmanagement und Kollaborationstools
- Priorität 5: Archivdaten und historische Backups
Der Standortfehler in Überschwemmungsgebieten, der Ihre Versicherungspolice ungültig macht
Die Wahl des Standorts für ein georedundantes Rechenzentrum hat direkte finanzielle und rechtliche Konsequenzen, die weit über die reine IT-Sicherheit hinausgehen. Ein besonders kritischer Aspekt, der von Risikomanagern oft unterschätzt wird, ist die Auswirkung der Standortwahl auf den Versicherungsschutz. Das Betreiben eines Backup-Rechenzentrums in einer ausgewiesenen Gefahrenzone kann von Versicherungen als grobe Fahrlässigkeit ausgelegt werden und im Schadensfall zur Kürzung oder sogar zur vollständigen Verweigerung von Versicherungsleistungen führen.
In der Schweiz sind die Kantone gesetzlich verpflichtet, Gefahrenkarten zu erstellen und bei allen raumwirksamen Tätigkeiten zu berücksichtigen. Diese Karten, die vom Bundesamt für Umwelt (BAFU) koordiniert werden, sind öffentlich zugänglich und klassifizieren das Risiko für Naturgefahren wie Hochwasser, Murgänge oder Lawinen. Wenn ein Unternehmen wissentlich oder unwissentlich seine kritische Infrastruktur in einer Zone mit „erheblicher Gefährdung“ (rote Zone) oder „mittlerer Gefährdung“ (blaue Zone) platziert, ohne adäquate Schutzmassnahmen zu ergreifen, verletzt es seine Sorgfaltspflicht. Wie der Hauseigentümerverband Schweiz (HEV) festhält, sind gemäss den Schweizer Gefahrenkarten des BAFU in roten Zonen keine neuen Bauzonen erlaubt, und in blauen Zonen sind Bauten nur mit Auflagen möglich.
Diese rechtliche Verpflichtung zur Risikobeurteilung ist die Grundlage für die Argumentation der Versicherer. Ein Backup, das durch dasselbe Hochwasser zerstört wird wie das Primärsystem, weil beide in derselben Gefahrenzone liegen, stellt keinen redundanten Schutz dar, sondern eine Duplizierung des Risikos. Schweizer Versicherungsexperten warnen eindringlich vor dieser Fahrlässigkeitsfalle, wie eine Analyse der Versicherungsklauseln bei Naturgefahren zeigt:
Ein Backup in derselben Gefahrenzone kann als grobe Fahrlässigkeit ausgelegt werden und zur Verletzung von Sorgfaltspflichten führen.
– Schweizer Versicherungsexperten, Analyse der Versicherungsklauseln bei Naturgefahren
Die bewusste Ignoranz gegenüber offiziellen Gefahrenkarten ist somit nicht nur technisch unklug, sondern ein teurer strategischer Fehler, der die finanzielle Absicherung des Unternehmens im Ernstfall zunichtemachen kann.
Wasser oder Gas: Welches Löschsystem schützt Ihren Serverraum ohne Folgeschäden?
Die physische Sicherheit eines Rechenzentrums umfasst nicht nur den Schutz vor externen Bedrohungen, sondern auch vor internen Gefahren wie Feuer. Ein Brand kann nicht nur die Hardware zerstören, sondern auch zu einem langwierigen Ausfall führen. Die Wahl des richtigen Löschsystems ist dabei ein kritischer Balanceakt: Es muss den Brand schnell und zuverlässig bekämpfen, darf aber selbst keine irreparablen Folgeschäden an der empfindlichen IT-Ausrüstung verursachen. Während eine traditionelle Wasser-Sprinkleranlage in einem Bürogebäude effektiv sein mag, ist sie für einen Serverraum katastrophal.
Moderne Rechenzentren setzen daher auf Gaslöschanlagen. Diese Systeme fluten den betroffenen Raum mit einem Gas, das den Sauerstoff verdrängt oder die chemische Kettenreaktion des Feuers unterbricht. Der grösste Vorteil: Sie hinterlassen keine Rückstände und verursachen keine Kurzschlüsse oder Korrosion. Die IT-Systeme können nach der Lüftung des Raumes theoretisch sofort wieder in Betrieb genommen werden, sofern sie nicht direkt vom Feuer beschädigt wurden. Es gibt verschiedene Arten von Löschgasen, die sich in ihrer Umweltverträglichkeit und Konzentration unterscheiden.
Die Auswahl und Installation solcher Systeme unterliegt in der Schweiz strengen Vorschriften, insbesondere den Richtlinien der Vereinigung Kantonaler Feuerversicherungen (VKF). Diese definieren nicht nur die Art des Löschmittels, sondern auch begleitende Massnahmen wie Brandmeldeanlagen, die Raumintegrität und die Notwendigkeit von Druckentlastungsklappen. Die folgende Tabelle vergleicht gängige Systeme gemäss den relevanten Kriterien für IT-Umgebungen.
Die Entscheidung für ein Löschsystem muss die Wirksamkeit, die Vermeidung von Folgeschäden und die Einhaltung der Schweizer Vorschriften gleichermassen berücksichtigen, wie es eine vergleichende Analyse von Löschsystemen nahelegt.
| Löschsystem | Wirksamkeit | Folgeschäden IT | Treibhauspotenzial | ChemRRV-Konformität |
|---|---|---|---|---|
| Wasser-Sprinkler | Hoch | Sehr hoch | Null | Konform |
| Inertgas (Argon/Stickstoff) | Sehr hoch | Keine | Null | Konform |
| CO2-Löschanlage | Sehr hoch | Keine | Niedrig | Konform |
| Novec 1230 | Sehr hoch | Keine | Sehr niedrig | Konform |
Selbst das beste Löschsystem kann einen Datenverlust nicht vollständig ausschliessen. Georedundanz bleibt daher die übergeordnete Sicherheitsstrategie, die auch dann greift, wenn der primäre Standort trotz aller Schutzmassnahmen komplett ausfällt.
Das Wichtigste in Kürze
- Strategische Entkopplung ist entscheidend: Geografische Distanz allein ist unzureichend. Echte Sicherheit entsteht durch die Minimierung korrelierter Risiken wie gemeinsame Stromnetze oder Gefahrenzonen.
- Das Schweizer nDSG priorisiert Daten-Souveränität: Die Speicherung von Daten ausserhalb der Schweiz, selbst bei US-Hyperscalern mit Schweizer Rechenzentren, birgt rechtliche und geopolitische Risiken.
- Ein Notfallplan ist unerlässlich: Sowohl ein technischer Wiederherstellungsplan (RTO/RPO) als auch ein organisatorischer Reaktionsplan für Cyberangriffe sind so wichtig wie die Backup-Infrastruktur selbst.
Wie reagieren Sie in den ersten 60 Minuten nach einer Ransomware-Infektion richtig?
Ein Ransomware-Angriff ist eines der verheerendsten Szenarien für jedes Unternehmen. Die Angreifer verschlüsseln nicht nur die produktiven Systeme, sondern zielen oft gezielt darauf ab, auch die angebundenen Backups zu kompromittieren. Eine schnelle und korrekte Reaktion in der ersten Stunde nach der Entdeckung ist entscheidend, um den Schaden zu begrenzen und die Chance auf eine erfolgreiche Wiederherstellung aus dem georedundanten Backup zu wahren. Die Bedrohung ist real und konstant; allein in der 52. Kalenderwoche 2024 wurden laut dem Nationalen Zentrum für Cybersicherheit (NCSC) 637 Cybercrime-Vorfälle gemeldet.
Die absolut erste und wichtigste Massnahme ist die sofortige logische und physische Trennung aller Backup-Systeme vom infizierten Netzwerk. Dies schliesst das georedundante Backup mit ein. Viele Ransomware-Varianten versuchen aktiv, sich über das Netzwerk auszubreiten und alle erreichbaren Speicherorte zu verschlüsseln. Wenn die Replikationsverbindung zum georedundanten Standort aktiv ist, besteht die Gefahr, dass die verschlüsselten Daten die sauberen Daten überschreiben. Dieser als „Air-Gapping“ bekannte Schritt schafft eine sichere Bastion und schützt die letzte saubere Kopie Ihrer Daten. Jede Sekunde zählt.
Parallel zur Isolierung der Backups müssen die betroffenen Systeme im internen Netzwerk identifiziert und vom Rest des Netzes getrennt werden, um eine weitere Ausbreitung zu verhindern. Die Dokumentation der Ereignisse (welches System, welche Meldung, welcher Zeitpunkt) ist für die spätere forensische Analyse entscheidend. In der Schweiz ist es zudem unerlässlich, schnellstmöglich das Nationale Zentrum für Cybersicherheit (NCSC) zu kontaktieren und die Meldepflicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu prüfen, falls Personendaten betroffen sind.
Ihr Notfallplan: Die ersten 60 Minuten bei Ransomware-Befall
- Minute 0-5: Georedundantes Backup sofort vom Netzwerk trennen. Dies beinhaltet das Kappen der Replikationsverbindung, um ein Überschreiben der sauberen Daten zu verhindern (logisches Air-Gapping).
- Minute 5-15: Alle als infiziert identifizierten Systeme (Server, Clients) sofort vom Netzwerk isolieren (Netzwerkkabel ziehen, WLAN deaktivieren).
- Minute 15-30: Das Nationale Zentrum für Cybersicherheit (NCSC) unter dessen Notfallnummer kontaktieren und den Vorfall melden.
- Minute 30-45: Den internen Krisenstab (IT, Management, Rechtsabteilung, Kommunikation) aktivieren und die Meldepflicht gemäss nDSG beim EDÖB prüfen.
- Minute 45-60: Externe Spezialisten wie Computer Emergency Response Teams (CERTs) oder spezialisierte Recovery-Dienstleister einschalten und keine Lösegeldforderungen bezahlen.
Bewerten Sie Ihre Georedundanz-Strategie proaktiv und stellen Sie sicher, dass Ihr Unternehmen nicht nur über Backups, sondern auch über einen erprobten und widerstandsfähigen Wiederherstellungsplan für den Ernstfall verfügt. Beginnen Sie noch heute damit, Ihre Standorte, Prozesse und rechtlichen Rahmenbedingungen zu überprüfen.
Häufig gestellte Fragen zu Wie sichern georedundante Backups Ihre Daten gegen regionale Katastrophen in der Schweiz?
Welche Länder garantieren gemäss Bundesrat einen angemessenen Datenschutz?
Die EU/EWR-Staaten sowie eine Reihe weiterer Länder sind auf der Länderliste des Bundesrates als Staaten mit einem angemessenen Datenschutzniveau aufgeführt. Eine Datenübermittlung in diese Länder ist ohne zusätzliche Garantien wie Standardvertragsklauseln (SCCs) grundsätzlich zulässig, was die Nutzung von Rechenzentren in diesen Regionen vereinfacht.
Was bedeutet Schrems II für Schweizer Firmen mit US-Cloud-Anbietern?
Die „Schrems II“-Entscheidung bedeutet, dass auch bei der Nutzung von US-Cloud-Diensten, deren Server in der Schweiz oder der EU stehen, eine potenziell problematische Datenübermittlung in die USA stattfinden kann (z.B. für Support-Zwecke oder durch Behördenzugriff via CLOUD Act). Schweizer Unternehmen müssen daher zusätzliche vertragliche Garantien (SCCs gemäss den Vorgaben des EDÖB) implementieren und eine Risikobewertung (Transfer Impact Assessment) durchführen.
Welche geopolitischen Risiken bestehen bei Backups in Nachbarländern?
Abgesehen von rechtlichen Aspekten bestehen handfeste geopolitische Risiken. Im Falle einer schweren europäischen Energiekrise könnte ein fremder Staat beispielsweise die Stromversorgung von Rechenzentren rationieren und dabei nationale Unternehmen bevorzugen. Ebenso könnten politische Spannungen oder neue Gesetze den Zugriff auf die in einem anderen Land gespeicherten Daten erschweren oder unmöglich machen, was einen Totalverlust der Kontrolle bedeuten würde.