Verfügbarkeit bei Hardwareausfall - Seid ihr darauf vorbereitet?

    Meines Wissens bietet QNAP kein Clustering, HA, Aktiv/Passiv an, bzw. haben keine Software welche das ermöglicht.

    Zitat von Crazyhorse

    2 Jahre Leasen und dann gibts ein neues, das ist halt kürzer als 5+ und damit landen mehr Altgeräte auf dem Schrott.

    Keine Ahnung wo jetzt diese 2 Jahre herkommen. Das wäre natürlich schon verdammt kurz.

    Handys z.B. gibt genug die die Teile mit dem Vertag oder sogar Jährlich wechseln.

    Die zwei Jahre kommen bestimmt aus der regulären Garantiezeit für Geräte. Wäre aber auch dann bestimmt wieder ne Sache die sich zwischen Daumen und Zeigefinger entscheidet.


    Auch ein NAS wird immer mehr für den Wohnzimmerbereich mit immer mehr Features konzipiert. Was einst Datengrab war, mutiert immer mehr zur Multimediamaschine die auch mal was abspeichern kann. Technik entwickelt sich gefühlt aktuell rasanter also noch vor 10 Jahren. Immer neuere Standards erobern die Gerätewelt und alles wird immer höher von der Quallität. Klar steigen damit auch die Anfoderungen an ein NAS. Speicher ist beliebig erweiterbar um alles in 4K Daheim zu haben und Audio lässt sich bedenkenlos in FLAC oder WAV absichern, da der Speicher so verdammt billig geworden ist.

    Warum sollte also dann nicht auch ein Hersteller damit auch die neuen Geräte an den Nutzer bringen? Der Kundenkreis rüstet ja schliesslich auch regelmässig seine Endgeräte auf. Und für die, die dann am Ende nur ein günstiges Einstiegsgerät brauchen, können dann bedenkenlos auf ein 2 Jahre Gebrauchtgerät gehen, welches eine 1Jahr refubished Garantie haben. Wenn das System vom Anwender Sinnvoll mit umgesetzt wird, dann kann man auch damit Ressourcen sparen.


    Bei einer Finanzierung ist es ja nicht anders ;) nur da hat man das Gerät dann am Ende. Würde bei nem *Leasing NAS* natürlich auch gehen. :)


    Aber das schöne ist ja. Für solche Probleme gibt es schlaufe Köpfe im Land, die sich damit auseinander setzen und der Anwender bekommt dann die Option, wie beim Jauch, eine Antwort zu nehemen. Um dann zu wissen, ob er eine Runde weiter kommt8).

    Ja es hat alles Vor und Nachteile, das IT im allgemeinen in Hundejahren altert ist ja bekannt.


    Das sich die Anforderungen in den letzten Jahren gewandelt haben, streitet auch keiner ab.

    Was aber oft auf der Strecke bleibt, ist der Kosten Nutzen Check, da ist das haben wollen auch viel dabei.


    CPUs haben aber auch so viel Leistung bekommen, das mehr als nur SMB jetzt überhaupt erst möglich wurde.

    Das Uralt D-Link NAS beim Schwiegervater schaffte gerade so die 100Mbit Marke, dafür stand das aber auch 10 Jahre im Schrank.

    Jetzt folgte ein 231p, das war als Datengrab super, dann jedoch kam Plex und damit war es dann nicht mehr passenden zu den Anforderungen, also kam ein 453Be ins Regal, das wird da aber jetzt auch erstmal wieder seine Füße ins Holz drücken.


    Das 231p ist nicht verloren, es ist jetzt beim Backup und steht bei meinen Eltern und ich sichere per VPN hin.


    Da musste aber auch neue Hardware her, die Fritz schaffte das einfach nicht.


    Klar hier und da muss man dann mal was neues anschaffen, aber mich ärgert es, wenn Hardware nach dem ersten Einsatz dann zum Wertstoffhof wandert, oder im Regal verrostet.


    Das D-Link Teil haben wir aber auch nicht mehr für das Backup eingesetzt, da es technisch noch eine ganz andere Generation ist und sorry für SMB 1.0 ist die Zeit halt auch mal um.


    Aber ein wenig Nachhaltigkeit würde auch der IT gut tun.


    HDs werden ja inzwischen auch im SAN Bereich verschlüsselt betrieben und trotzdem muss man intakte HDs nach dem Ausbau zertifiziert verschrotten, dabei könnten die so schön ruhig in einem Backup NAS ihre letzten Stunden vor sich hin drehen.

    Zitat von Crazyhorse

    HDs werden ja inzwischen auch im SAN Bereich verschlüsselt betrieben und trotzdem muss man intakte HDs nach dem Ausbau zertifiziert verschrotten, dabei könnten die so schön ruhig in einem Backup NAS ihre letzten Stunden vor sich hin drehen.

    Ich kenne jetzt keine Vorschrift, die zwingend verlangt, dass nach Gebrauch intakte HDs zertifiziert verschrottet werden müssten. Prinzipiell wäre meist auch die Bereitstellung für Refurbishmarkt / Zweitnutzung zulässig. Soweit Regulierung hier greift, müsste die Sicherstellung des zuverlässigen Löschens vorheriger (klassifizierter oder vertraulicher) Daten ebenfalls zulässig sein. Mit einem starken Magnet unbrauchbar machen geht halt schneller. Ist halt die Frage, ob Unternehmen in reguliertem Bereich eher Wert legen auf Nachhaltigkeit oder auf Effizienz. Und manche Firmen erlauben ein Zweitleben nur für bestimmte Zielgruppen (z.B. Privatnutzung für Mitarbeiter zu Hause oder für gemeinnützige Organisationen). Lebst Du nicht in einer Region mit zwei größeren Firmen für gebrauchte IT-Hardware inkl. Lizenzenrefurbish sowie einer anderen größeren Firma mit kleinem Refurbishsegment für IT-Hardware?

    Dann liegt es daran, dass da Patientendaten drauf gelegen haben könnten.


    Da wird der Datenschutz ja extrem ernst genommen.


    Finde ich halt mega unverständlich, warum hier alles zerschreddert werden muss, aber auf der anderen Seite verlassene Kliniken inkl. vollem Archiv einfach so in der Gegend als lost places rumstehen und es keinen der Verantworlichen in irgendeiner Weise kratzt.


    Möglich das wir solche Firmen hier im Ruhrgebiet auch irgendwo haben, noch nicht aktiv nach gesucht.

    Ich kenne das auch von Firmen, die das Schreddern nicht aufgrund gesetzlicher Vorgaben durchführen lassen, sondern das ist deren eigene Politik.

    Defekte Platten (und ich rede hier von Platten aus Storagesystemen, bei denen die Daten i.d.R. über ein Konstrukt aus Dutzenden Platten verteilt sind) dürfen nicht zurückgesendet werden, sondern müssen geschreddert werden.

    Selbst wenn man annimmt, eine solche Platte sei noch lesbar, dann konnte mir noch niemand erklären, wie ich aus dieser einzelnen Platte verwertbare Daten erhalten kann.

    Aber des Menschen Wille...

    Und da der Kunde für das Schreddern zahlt, wird die Platte eben geschreddert.


    Gruß

    Ja leider gehen dabei so einige Ressourcen verloren, was echt schade ist.


    Aber das konnte mir keiner beantworten.


    Wie man bei einem Raid 5 über 12 HDs, eine Datei wiederherstellen kann, sei es auch nur ein Fragment.

    Vor allem wenn die sogar Verschlüsselt abgelegt wurden.


    Konnte mir niemand beantworten und wird mir auch nie jemand beantworten.


    Aber was immer funktioniert, BSI Vorgabe.

    Das BSI macht keine "Vorgaben" sondern verlangt ein "durchdachtes" Risiko-Management.
    Tatsächlich ist schon im alten BSI-Grundschutzhandbuch das Schreddern von Festplatten ebenso wie das 37-fache Überschreiben mit verschiedenen Patterns verschwunden.
    Wer mehr dazu lesen möchte: [c't 13/2016 S. 96]:


    Zitat

    Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht im Maßnahmekatalog M 2.433 „Überblick über Methoden zur Löschung und Vernichtung von Daten“ Ähnliches vor: Untersuchungen von Forensik-Laboren haben gezeigt, dass bereits nach einem Durchlauf mit geeigneten Zeichenfolgen oder Zufallszahlen keine Daten mehr rekonstruiert werden konnten. Für den normalen Schutzbedarf ist also ein einmaliges Überschreiben mit einem zuverlässigen Werkzeug ausreichend.

    Leider wird aber mit "Schredder-Geräten", Löschsoftware und Zertifikaten viel Geld verdient und die Angst geschürt: "Sind Sie sich wirklich sicher?".

    Schrotten nach 3 Jahren ist halt schnell und effizient. Das wird erst aufhören, wenn der Gesetzgeber da eine Riegel vorschiebt.

    Mein Tipp: SED-Festplatten im RAID. zieht man eine, braucht man das Plattenpasswort, um diese wieder lesbar zu machen.

    Die vom BSI gemeinten Untersuchungen:
    - https://security.web.cern.ch/s…iting-hard-drive-data.pdf
    - http://escholarship.org/uc/item/26g4p84b

    M.

    Zitat von MatthiasJ

    Das BSI macht keine "Vorgaben" sondern verlangt ein "durchdachtes" Risiko-Management.

    Hat der Gesetzgeber nicht das BSI ermächtigt, sehr wohl Vorgaben zu machen, die von Teilen der Bundesverwaltung als auch von Mitgliedern der nationalen Infrastruktur zu erfüllen seien? Vorgabe muss nicht immer das wie sein, sondern kann sich auch auf zu erfüllenden Anforderungen beziehen.

    Schau mal in das BSI-Grundschutzkompedium. Das liest sich dann so:
    "Der Verantwortliche SOLLTE ein Verfahren wählen, das die Gefährdung ausreichend berücksichtig"
    "Der Verantworliche MUSS ..."
    "Der Verantwortliche KANN ..."

    Da es verschiedene Verfahren gibt muss er selbst eine Risikobewertung vornehmen oder auf die Aussagen eines Dritten verweisen, wenn dieser bestätigt, dass das Verfahren (ggfs. mit besonderen Einstellungen) geeignet ist, das (geforderte) Schutzniveau zu erfüllen.

    im alten BSI-Grundschutz gab es einen Maßnahmenkatalog, den konnten die Anwender "einfach" abarbeiten. Der war aber so statisch, dass neuere Maßnahmen viel zu lange brauchten (5-6 Jahre) um umgesetzt zu werden.

    Aber das wird hier jetzt etwas OffTopic.

    M.

    Zitat von MatthiasJ

    Schau mal in das BSI-Grundschutzkompedium. Das liest sich dann so:

    Wobei ja BSI-Grundschutzkompendium für nationale Infrastruktur nicht ausreichend ist. Soweit ich verstanden habe, kommen die Anforderungen aus dem BSI-Gesetz, der Kritis-Verordnung und dem IT-Sicherheitsgesetz. Und da läuft es dann wieder auf etwas ähnliches hinaus, wie Du geschrieben hast, Empfehlungen des BSI für Kritis-Betreiber. Mit den Nachweispflichten und der Rolle bei der Genehmigung branchenspezifischer Sicherheitsstandards zur Erfüllung der Anforderungen nach Kritis ist die Stellung des BSI m.E. schon stärker als wie nur Empfehlung. Und eine Novellierung des IT-Sicherheitsgesetzes steht m.W. derzeit gerade an. Wobei ich noch nicht verstanden habe, warum im Entwurf der Novellierung auf die regelmäßige Evaluierung verzichtet werden solle, während das BSI-Gesetz eine solche regelmäßige Evaluierung verlangt.

    Zitat von Crazyhorse

    Finde ich halt mega unverständlich, warum hier alles zerschreddert werden muss, aber auf der anderen Seite verlassene Kliniken inkl. vollem Archiv einfach so in der Gegend als lost places rumstehen und es keinen der Verantworlichen in irgendeiner Weise kratzt.

    Die einen halten sich halt an die Vorschriften und die anderen nicht. Übrigens hast Du etwas unpräzise formuliert: statt "verlassene Kliniken" müsste es korrekt heißen: "eine verlassene Klinik".

    Zitat von chef1

    Wobei ja BSI-Grundschutzkompendium für nationale Infrastruktur nicht ausreichend ist. Soweit ich verstanden habe, kommen die Anforderungen aus dem BSI-Gesetz, der Kritis-Verordnung und dem IT-Sicherheitsgesetz. Und da läuft es dann wieder auf etwas ähnliches hinaus, wie Du geschrieben hast, Empfehlungen des BSI für Kritis-Betreiber. Mit den Nachweispflichten und der Rolle bei der Genehmigung branchenspezifischer Sicherheitsstandards zur Erfüllung der Anforderungen nach Kritis ist die Stellung des BSI m.E. schon stärker als wie nur Empfehlung.

    Auch da steht aber nicht drin "die Platte muss geschreddert werden" sondern "es muss sichergestellt werden, dass die Daten nicht mit vertretbarem Aufwand wiederhergestellt werden können". Wenn Du eine begründete Risikoabschätzung hast, aus der hervorgeht, dass das dadurch erfüllt ist, dass Du von einer verschlüsselten Platte den Schlüssel wegwirfst, wird der Auditor das durchaus akzeptieren.