Fehlerhaftes Backup kann sehr teuer werden

Der Laden läuft und es gilt das vermeintlich wichtigere Tagesgeschäft zu bewältigen. Oft kümmert sich ein Mitarbeiter nur nebenbei und nur, wenn gerade Zeit ist, um das Backup. Dabei kostet keine vernünftige Backup-Lösung auch nur annähernd so viel wie die Wiederherstellung von Daten, die verloren gegangen sind. Von den Ausfallzeiten von Kunden, deren Daten man hostet, ganz zu schweigen.

Eine zentrale Frage: Wann greift in solchen Fällen eine Berufshaftpflicht bzw. Betriebshaftpflichtversicherung?

Der Hintergrund dieser Frage: Es gibt die Schadenfälle, die nicht eine einzelne vorhersehbare Ursache haben, sondern durch eine unglückliche Verkettung mehrerer Faktoren zustande kommen. Die Auslegung von schwammig formulierten Zusatzklauseln in der Berufshaftpflichtversicherung kann im (Unglücks-)fall über die weitere Existenz einer Agentur entscheiden.

Denn: Nicht jede Berufs- und Betriebshaftpflicht bietet die Absicherung, die man erwartet. Auf welche Formulierungen müssen also Medienschaffende beim Versicherungsabschluss besonders achten?

Anworten dazu liefert die nähere Betrachtung eines Schadenfalles.

Der Auftrag: Internet-Agentur für Datensicherung verantwortlich

Eine versicherte Internet-Agentur hatte sich auf Dienstleistungen im Bereich der Webseitenerstellung und als Internet Service Provider spezialisiert, weshalb unter anderem Internetauftritte sowohl auf eigenen Servern als auch auf Kundenservern gehostet werden.

Kleinere Projekte und Webseiten laufen dabei auf den eigenen Servern, bei denen die Internet-Agentur auch für die Datensicherung verantwortlich war.

Der Zwischenfall: Server fahren nicht hoch

Unerwartet kam es zu einem Ausfall der Stromversorgung, von der auch die betriebenen hauseigenen Server betroffen waren. Die Server waren über drei parallel laufende USV-Anlagen gegen Spannungsschwankungen und -abfall abgesichert und sollten für diese Fälle das korrekte Herunterfahren der Server sicherstellen.

Als man nach dem tatsächlichen Ausfall die Server wieder sukzessive hochfahren wollte, stellte man jedoch fest, dass sich ein Server nicht mehr hochfahren ließ. Die USV-Anlage, die diesen Server versorgte, war ebenfalls ausgefallen.

Daraufhin wurde der Server an den noch freien Steckplatz einer anderen USV angeschlossen – vergeblich. Das Endergebnis: Die Daten waren durch den plötzlichen Stromausfall und das erneute Hochfahren zerstört worden.

Der Schadenfall: Daten zerstört

Beim Versuch, die Daten auf Basis der vorhandenen Datensicherung auf einer USB-Festplatte wiederherzustellen, stellte sich dann heraus, dass einige Sicherungsordner leer waren, d.h. keine Daten enthielten. Wie konnte das passieren?

Der Ablauf des Sicherungsskripts erfolgte pro zu erstellender Sicherung wie folgt:
1. Überprüfung ob alte Sicherungsdatei vorhanden
 » wenn ja, neue Sicherungsdatei (Ordner) anlegen
 » wenn nein, Fehlermeldung

2. Überprüfung ob neue Sicherungsdatei vorhanden ist
 » wenn ja, alte löschen

Hierbei wurde bei der zweiten Überprüfung jedoch lediglich kontrolliert, ob die entsprechende Datei vorhanden war, nicht jedoch deren Inhalt bzw. Größe. Ferner wurde systembedingt bei nicht ausreichendem Speicherplatz zwar eine neue Sicherungsdatei angelegt, der Sicherungsvorgang der Daten jedoch ohne Fehlermeldung abgebrochen. Zu einem derartigen Abbruch kam es vor dem Spannungsausfall.

Dadurch, dass alle weiteren Sicherungen auf der gleichen fehlerhaften bzw. unvollständigen Sicherung basierten, war somit eine Rücksicherung und Wiederherstellung der Internetauftritte allein auf Basis dieser Sicherungen nicht möglich.

Siehe dazu auchder Artikel: Die 12 Gebote der Datensicherung

Die Abwicklung: Versicherer übernimmt Schaden

Die Internet-Agentur hatte seit mehreren Jahren eine spezielle Berufshaftpflicht inklusive Vermögensschadenversicherung sowie Betriebshaftpflichtversicherung abgeschlossen. Sie informierte diese sofort: Vom Datenverlust waren die Internetauftritte von 13 Kunden betroffen. Sie gab an, dass die Daten wiederbeschafft, die Inhalte der Webseiten neu aufgebaut und verknüpft werden müssten.

Der Versicherer beauftragte umgehend einen Sachverständigen, der den Aufwand für die Wiederherstellung der Webseiten schätzte und wichtige Hinweise für die schnelle Umsetzung gab.

Da der Versicherungsnehmer am schnellsten die Wiederbeschaffung, Aufbau und Verknüpfung der Daten sicherstellen konnte und den Kontakt mit den Kunden hatte, wurde er mit der Schadenbehebung beauftragt.

Der Zeitaufwand hierfür betrug 300 Stunden. Der Versicherer verhandelte mit dem Dienstleister einen reduzierten Stundensatz. Auf dieser Basis errechnete sich ein Schadenaufwand von € 18.000,-- die vom Versicherer übernommen wurden.

Versichert, aber aufgepasst!

Natürlich stellt sich die Frage, ob bei einer dem „Stand der Technik“ entsprechenden Datensicherung der Schaden nicht vermeidbar gewesen wäre. Die Frage ist nicht abschließend zu beantworten – aber genau hier können Fallstricke in den Versicherungsbedingungen einiger Versicherer dazu führen, dass die Leistungen verweigert werden.

So finden sich in den Versicherungsbedingungen, meist bei den Regelungen zu den Vermögensschäden, insbesondere in Verbindung mit Erstellung, Wartung und Pflege von Software, folgende Klauseln:

Sinngemäß: … Versicherungsschutz besteht nur für Schäden, die trotz Beachtung des anerkannten Standes der Technik und Methodik, der Einhaltung branchenüblicher Qualitätssicherungsverfahren (insbesondere Test- und Abnahmeverfahren) oder sonst anerkannter Regeln des Software-Engineerings eingetreten sind.

Es braucht nicht viel Fantasie um sich vorzustellen, dass eine derartige Klausel im beschriebenen Schadenfall der Internet-Agentur einige Diskussionen mit dem Versicherer eingebracht hätte. Um dieses Risiko zu vermeiden, sollte man Versicherer wählen, die ohne derartige Klauseln auskommen.

Schadenpotential war noch höher

Dieser Schadenfall schildert sehr anschaulich, dass oft die Verkettung mehrerer Umstände zu einem Schaden führt: Stromausfall Ausfall USV fehlerhafte Datensicherung.

Letztlich kann der Webdesigner noch von Glück sprechen, dass als Schaden nur die Wiederherstellung der Webseiten geltend gemacht wurde.

Dies lässt sich damit erklären, dass die 13 gehosteten Webseiten nur Präsenzauftritte der Kunden waren. Hätte es sich dabei um Webshops, Portale oder zumindest um Webseiten mit Kontakt und Bestellmöglichkeiten gehandelt, hätten sich zum primären Schaden der Datenwiederherstellung auch der Umsatz- und Gewinnausfall der Kunden addiert. Dieser Folgeschaden hätte leicht die Kosten für die Datenwiederherstellung um ein Vielfaches übersteigen können.

Wichtig ist auch hier, dass in den Versicherungsbedingungen (Vermögens-)Folgeschäden wie Umsatz- und Gewinnausfall nicht ausgeschlossen sind.

Die Datenwiederherstellung kann deutlich teurer werden, wenn die zerstörte Datenbank umfangreicher ist. Schadenssummen können leicht in den sechsstelligen Bereich gehen. Damit ist die Existenz bedroht.

Die finanziellen Folgen von fehlerhaften Backups sind im Vorfeld kaum abzusehen. Sie lassen sich jedoch durch eine spezielle Berufshaftpflichtversicherung für Medienschaffende - wie die Media-Haftpflichtversicherung über exali - weitgehend absichern.

Zum Schmunzeln: Video-Tipp

Das Backup zu vernachlässigen, kann auch psychisch schlimme Folgen haben.

Dazu gibt es sogar einen kurzen Lehrfilm aus England: Wer The Institute for Backup Trauma jetzt allerdings zu ernst nehmen sollte, dem sei verraten, dass der Hauptdarsteller, Dr. Twain Weck, verblüffend an das ehemalige Monty Python-Mitglied John Cleese erinnert.

Unser Tipp: Lassen Sie es nicht soweit kommen!

Weiterführende Informationen

• Texte, Layouts, Bilder: Interview mit Dr. Jurij Ivastsuk-Kienbaum über Datensicherung für Medienschaffende