Nutzungsbedingungen
Richtlinie zur Nutzung des ISP-Backup-Services des RRZ
Version: 2024-02-27
Begriffsdefinitionen
- ISP-Server: Das RRZ betreibt mehrere zentrale IBM Storage Protect (ISP, auch bekannt als TSM) Server zur Sicherung von Daten, die nach einem Festplattenschaden bzw. nach einem versehentlichen Löschen nicht über Neuinstallation des Betriebssystems bzw. der Anwendungsprogramme wiederhergestellt werden können.
- ISP-Knoten: Jeder an einem der Server registrierte Client (VM oder Server) wird vom ISP-System als Knoten geführt. Auf jedem Knoten wird dazu vom Benutzer:in die ISP-Client-Software installiert und konfiguriert. Das RRZ stellt die Software und Installationsanleitungen für Linux und Windows Betriebssysteme bereit. Sollte Bedarf für spezielle Sicherungsmethoden (SQL Agent, VMWare, Exchange u. ä.) bestehen, kann das RRZ die notwendige Lizenz, und teilweise auch dokumentierte Backup-Verfahren, bereitstellen.
- Backup: Als Backup wird vom ISP-System ein regelmäßiges (in der Regel tägliches) und zeitgesteuertes Kopieren aller seit der letzten Sicherung veränderten Daten betrachtet.
- Benutzer:in: Als Benutzer:in wird die Person bezeichnet, die den ISP-Knoten lokal verwaltet. Die Benutzer:in verfügt über Administrationsrechte bzw. "Backup-Operator"-Rechte auf dem lokalen Server und ist in der Regel eine IT-Administrator:in, die den Server betreibt.
Nutzungsbedingungen
- Nutzendengruppe: Das ISP-Backup-System steht jeder Server-Administrator:in oder jeder Einrichtung der Universität Hamburg zum Sichern von o.a. Daten zur Verfügung. Institutionen außerhalb der UHH können nach Genehmigung durch die RRZ-Leitung Zugang zum Service erhalten. Mit der Beantragung der Zugangsdaten erkennt die Benutzer:in diese „Richtlinie zur Nutzung des ISP-Backup-Services des RRZ“ ausdrücklich an.
- Zugangsdaten: Jeder ISP-Knoten erhält eine eindeutige Kennung und ein Passwort zum Zugriff auf den ISP-Server. Das Passwort ändert der Client automatisch alle 1 - 7 Tage. Bei notwendigen Konfigurationsänderungen kann das Passwort vom RRZ zurückgesetzt werden. Die Registrierung eines Knotens ist zudem personenbezogen, es werden zu jedem Knoten die Kontaktdaten einer Ansprechpartner:in (E-Mail, idealerweise ein Funktionspostfach) benötigt. Daten wie die Betriebssystemversion und der Hardwaretyp werden automatisch im ISP-Server gespeichert. Änderungen an den Kontaktdaten sind dem RRZ unverzüglich mitzuteilen. Die Benutzer:in erklärt sich ausdrücklich damit einverstanden, dass diese personenbezogenen Daten vom RRZ elektronisch gespeichert und ggf. für Abrechnungs- oder statistische Zwecke verarbeitet werden dürfen. Eine Weitergabe an Dritte erfolgt nicht.
Jeder neu beantragte ISP-Knoten ist innerhalb von 30 Tagen in Betrieb zu nehmen. Sollte ein neuer ISP-Knoten innerhalb dieser Frist nicht mit der Sicherung von Daten auf dem ISP-Server begonnen haben, ist das RRZ berechtigt, den Knoten wieder zu löschen. Das RRZ wird vorher per E-Mail auf die bevorstehende Löschung hinweisen. - Zugriffsschutz: Nach 5-maliger falscher Eingabe des Passwortes wird der Zugang für den Knoten automatisch gesperrt. Die Benutzer:in muss die Reaktivierung beim RRZ formlos beauftragen und erhält bei Bedarf / auf Wunsch ein neues Passwort.
Das RRZ stellt durch geeignete Betriebsabläufe sicher, dass der Zugang zum ISP-System und den Daten nur den dafür autorisierten Administrator:innen bzw. den registrierten Knoten möglich ist. - Sperrung des Knotens: Besteht zwischen ISP-Knoten und -Server über einen Zeitraum von mehr als 180 Tagen kein Kontakt, so wird der Zugang für den Knoten automatisch gesperrt.
- Löschung des Knotens: Die Benutzer:in kann das Löschen seines Knotens und der dazu gespeicherten personenbezogenen Daten jederzeit verlangen, dabei werden sowohl die personenbezogenen als auch die mit dem ISP-Client gesicherten Daten endgültig vom ISP-Server entfernt.
- Automatische Löschung des Knotens: Knoten, die nach einer Sperrung nicht innerhalb von weiteren 180 Tagen durch den Benutzer:in wieder reaktiviert werden, werden automatisch vom ISP-Server gelöscht, wodurch auch alle gesicherten Daten endgültig entfernt werden. Die Benutzer:in wird 30 Tage vor Ablauf der Aufbewahrungsfrist täglich per E-Mail auf die anstehende Löschung hingewiesen.
- Sicherungszeiten: Standard ist eine tägliche Datensicherung zwischen 20:00 Uhr und 06:00 Uhr. Der Startszeitpunkt wird vom Backup-Service für einen optimalen Betriebsablauf festgelegt. Eine Änderung des Startzeitpunktes der Sicherung ist auf Wunsch möglich, soweit es der Betriebsablauf ermöglicht.
Zwingende Uhrzeiten, die sich aus der Art des Servers bzw. aus den Daten auf diesem ergeben, werden, soweit es der Betrieb zulässt, berücksichtigt und nur nach Absprache mit dem Nutzer:in verändert. - Verfügbarkeit des ISP-Dienstes: Das RRZ betreibt den ISP-Dienst 24h × 7 Tage die Woche und strebt durch geeignete Betriebsabläufe sowie Redundanzen eine Verfügbarkeit der ISP-Server von 96 % an. Anstehende Wartungsunterbrechungen werden, soweit möglich, rechtzeitig auf den Internetseiten des RRZ bekannt gegeben. Fehlermeldungen oder Ausfälle werden werktäglich montags bis freitags zu den üblichen Kernzeiten bearbeitet bzw. behoben.
- Nutzung des ISP-Dienstes von außerhalb des UHH-Netzes: Sicherungen können von außerhalb des UHH-Netzes nur durchgeführt werden, sofern statische IP-Adressen verwendet werden und diese dem RRZ-Backup-Service bekannt gegeben wurden.
- Nutzung von Verschlüsselung: Für alle Sicherungen ist die vom RRZ angebotene Transportverschlüsselung zu nutzen. Für die Sicherung von Daten mit hohem Schutzbedarf ist darüber hinaus ggf. die lokale Datenverschlüsselung im ISP-Client zu nutzen (siehe auch „Zuständigkeit für die Sicherung“).
- Nicht zu sichernde Daten: Temporäre Dateien und Verzeichnisse, sowie Browser-Caches o.ä. brauchen nicht gesichert zu werden, da es sich dabei um kurzlebige (nur zwischengespeicherte) und für den Rechnerbetrieb nicht notwendige Daten handelt. Das RRZ ist berechtigt, solche Daten per Server-Policy von der Sicherung grundsätzlich auszunehmen. Die mit Hilfe einer solchen Policy ausgeschlossenen Dateien / Verzeichnisse werden in der Dokumentation des jeweiligen Backup-Verfahrens bekannt gegeben.
- Umfang der Daten: Das bereitgestellte Sicherungsvolumen richtet sich nach dem Bedarf des zu sichernden Systems. Sofern das Sicherungsvolumen eines Knotens 25 TiB überschreitet, ist dies vorab mit dem RRZ-Backup-Service abzustimmen. Bei einer deutlichen Überschreitung sind die erhöhten Betriebskosten ggf. in Zusammenarbeit mit dem RRZ-Backup-Service bei der Universität zu beantragen. Zudem sind alle Sicherungsläufe mit einem Datenvolumen von mehr als 20 TiB innerhalb von 3 Tagen mit dem RRZ-Backup-Service vorher abzusprechen, um negative Auswirkungen auf den Serverbetrieb zu vermeiden.
- Aufbewahrung der Daten: Im Backup werden standardmäßig gelöschte Dateien oder alte Versionen geänderte Dateien eines Knotens für 3 Monate aufbewahrt. Nach Ablauf dieser Fristen werden die Daten automatisch aus dem ISP-Server entfernt und können nicht mehr wiederhergestellt werden. Aktive, d.h. auf dem Client vorhandene, Daten werden grundsätzlich nie entfernt. Von allen gesicherten Daten (unabhängig vom Alter) werden 2 Kopien an unterschiedlichen Standorten vorgehalten. Da das Erzeugen der 2. Kopie teilweise asynchron erfolgt, kann dies bis zu 3 Tage benötigen. Das RRZ übernimmt jedoch keine Haftung für den Verlust von Daten, wenn trotz Einhaltung der Betriebsabläufe beide Kopien nicht mehr lesbar sind.
- Fehler bei der Sicherung: Sollte die tägliche Sicherung fehlerhaft sein, so informiert der RRZ-Backup-Service den Benutzer:in darüber automatisch per E-Mail. Detaillierte Fehlermeldungen finden sich jedoch ausschließlich in den Logdateien des ISP-Knotens. Diese Dateien und die Fehlermeldungen sollte die Benutzer:in kontrollieren, bevor der RRZ-Support unter rrz-serviceline(at)rrz.uni-hamburg.de(rrz-serviceline"AT"uni-hamburg.de?subject=Anfrage Backup (RRZ#SRQ-Backup)) kontaktiert wird.
- Status der gesicherten Daten: Auf Wunsch informiert das RRZ den Benutzer:in zu Beginn eines jeden Monats über die Anzahl und den Umfang der im ISP-System gesicherten Daten.
- Zuständigkeit für die Sicherung: Der Benutzer:in obliegt es, dass die Sicherungen regelmäßig, vollständig und fehlerfrei erstellt werden. Das RRZ übernimmt keine Gewähr dafür, dass die gesicherten Daten bei einem Totalausfall / Schaden des Knotens zu einer vollständigen Systemwiederherstellung ausreichen. Die Benutzer:in stellt durch geeignete Maßnahmen (z. B. durch Aktivieren der Datenverschlüsselung im ISP-Client) sicher, dass die aktuell gültigen Datenschutzbestimmungen für die zu sichernden Daten eingehalten werden, und dass ein ggf. für die Verschlüsselung generierter Schlüssel sicher aufbewahrt und für eine Rücksicherung zur Verfügung steht.
Die Benutzer:in reagiert auf die vom ISP-System versendeten Warn- oder Fehler-E-Mails in einem angemessenen Zeitrahmen. Eventuelle Fristen in den E-Mails werden vom Benutzer:in akzeptiert, wenn er nicht binnen 30 Tagen widerspricht. - Rücksichern von Daten: Sobald mehr als 20 TiB Daten restauriert werden muss ist der RRZ-Backup-Service darüber zu informieren um keine Störung im Betriebsablauf sicherzustellen. Dem Benutzer:in wird ausdrücklich empfohlen, das Sichern und Rücksichern gezielt und regelmäßig zu testen, um die notwendigen Arbeitsabläufe vorab zu üben.
- ISP-Client-Software: Es sollten vom Benutzer:in nur offiziell von IBM unterstützte ISP-Client-Versionen auf den Knoten installiert / betrieben werden. Entsprechende Informationen werden auf der RRZ-Homepage veröffentlicht. Treten in Folge des Einsatzes einer nicht (mehr) unterstützten Client-Version Probleme beim Sichern oder Wiederherstellen auf, kann das RRZ möglicherweise keine Unterstützung leisten, sodass dann auch ein Datenverlust nicht auszuschließen ist.
- Aktualisierung der ISP-Client-Software: Das RRZ kann bei Bedarf die Aktualisierung der ISP-Client-Software fordern damit Sicherheitslücken in der Software geschlossen oder gravierende Fehler behoben werden. Diese Aktualisierungsaufforderung wird (soweit möglich) rechtzeitig per individueller E-Mail an die für einen Knoten hinterlegten Kontaktdaten angekündigt. Die Aktualisierung ist in solchen Fällen spätestens nach 30 Tagen durchzuführen. Widerspricht die Benutzer:in dieser Aktualisierung oder führt sie nicht durch, so ist das RRZ berechtigt, den Zugang des Knotens so lange zu sperren, bis die Benutzer:in selbständig ein Update auf die geforderte Version vorgenommen hat.
- Schlussbestimmungen und Übergangsvorschriften: Mit Bekanntgabe dieser "Richtlinie zur Nutzung des ISP-Backup-Systems des RRZ" verlieren alle vorherigen Versionen ihre Gültigkeit. Sollte eine oder mehrere Bestimmungen vorstehender Richtlinie unwirksam sein oder unwirksam werden, so hat dies keinen Einfluss auf die Gültigkeit der übrigen Richtlinie bzw. Bestimmungen.
Das RRZ behält sich vor, diese Richtlinie jederzeit anzupassen oder zu ändern, insbesondere dann, wenn gesetzliche Vorschriften dies erfordern. Änderungen werden dem Benutzer:in per E-Mail mitgeteilt. Sie gelten als anerkannt, wenn ein Benutzer:in nicht innerhalb von 4 Wochen nach Bekanntgabe widerspricht. Der Widerspruch bedarf der Schriftform. Da die Daten immer nur unter der aktuell gültigen Richtlinie im ISP-System abgelegt werden können, erhält die Benutzer:in nach einem rechtzeitig eingegangenen Widerspruch weitere 4 Wochen Zeit, um die Daten aus dem System zurückzusichern, bevor sie endgültig gelöscht werden.