Eine Gemeinschaftsarztpraxis mit mehreren Ärzten und einer Röntgenabteilung.

Zeitraum:

Januar 2025

Geleistete Personentage:

1 PT

Projekt:

Die Leitung der Arztpraxis plant die Umsetzung einer standortunabhängigen Backup-Lösung um im Falle eines Verlustes des Standorts oder im Falle eines erfolgreichen Ransomware-Angriffs eine Inbetriebnahme wieder zu ermöglichen.

Die Praxisanwendungen werden überwiegend auf virtualisierten Hosts betrieben und über diese Schicht verschlüsselt gesichert. Derzeit über lokale rotierend wechselnde Festplatten. In der Vergangenheit wurden die Festplatten regelmäßig abwechseln an einem externen Standort gelagert. Der Prozess wurde in der jüngeren Vergangenheit oftmals nicht mehr gelebt, sodass der Wunsch einer automatischen externen Sicherung besteht.

Datensicherungen in Cloudspeicher sind keine Option, da das Datenvolumen im Falle eines der eben beschriebenen Desaster-Szenarien nicht in einer angemessenen Zeit wiederhergestellt werden kann.

Im ersten Schritt wurde das tägliche Änderungsdatenvolumen ermittelt und das Datenvolumen bei einer Vollsicherung. Mit dem Volumen und den Vorhaltezeiten wurde die notwendige Speicherkapazität des Offsite-NAS ermittelt. Hieraus ergeben sich die akzeptierten Datenverluste im Falle des Desasters. Im Regelfall verlieren die meisten Umgebungen einen Arbeitstag bei Wiederherstellung des lokalen Backups. Je nach Größe des Offsite-Backups können hier bedingt durch die Übetragungsrate mehrere Tage Verlust entstehen.

Der Kunde verfügt über eine lokale Firewall mit VPN-Server sowie die Möglichkeit QoS-Richtlinien zu definieren. Der VPN-Tunnel sichert den Übertragsungsweg und die QoS-Richtlinien ermöglicht eine hohe Übertragungsrate zu Zeiten, bei denen das Netzwerk in der Praxis durch den Praxisbetrieb nicht ausgelastet ist. Andernfalls wird die Backup-Bandbreite zugunsten des Praxisbetriebs gedrosselt.

Für das Backup-System wurde ein separates Backup-Netzwerk-Segment eingerichtet und die Firewall-Regeln so konfiguriert, dass nur die Backup-Systeme Zugriff auf das lokale Backup-System erhalten.

Es wurden zwei NAS-Systeme beschafft und ein RAID-Modus konfiguriert, welches den Verlust einer Festplatte akzeptiert. Das bisherige Backup-Repository wurde auf das lokale NAS kopiert und im primären Backup-System das neue Ziel hinterlegt. Die Kompressionsrate für das Backup wurde höher konfiguriert um die Backup-Datenmenge zu reduzieren.

Eine neue VPN-Policy für den Zugriff auf das lokale Backup-System wurde konfiguriert.

Auf dem lokalen Backup-System wurden zwei Benutzeraccounts angelegt, einer mit Schreibrechten und einer mit reinen Leserechten.

Auf dem Offsite-NAS-System wurde das VPN-Profil hinterlegt und ein lokaler versionierter Sicherungsjob angelegt, welcher den Benutzer mit ausschließlichem Leserecht auf das lokale Backup verwendet.

Über das via VPN erreichbare Mailgateway werden die Datensicherungs-Reports als E-Mail bei Erfolg oder Fehlschlag zugesendet.

Nach den lokalen Testsicherungen wird das NAS-System an einen sicheren, für Dritte nicht zugänglichen externen Ort, mit Internetanschluss aufgestellt. Da die auf dem NAS gesicherten Daten durch das Backup-System verschlüsselt werden, ist das Risiko bei Diebstahl hinsichtlich des Datenschutzes gering.

Bei 12 TB verfügbaren Speicher liegen die NAS-Systeme jeweils bei etwa 1000 EUR in der Beschaffung. I. d. R. laufen die Systeme mindestens 5 Jahre.

Regelmäßig werden im Rahmen von Patchdays das Betriebssystem von den NAS-Systemen aktualisiert.