Benutzungsrichtlinien

Richtlinien zur Nutzung des Archiv- und Backupsystems

Stand: N.N.

Version: 2.3

Diese Richtlinien beschreiben fachspezifische Aspekte des Betriebs und Vorgaben, die bei der Nutzung des Dienstes zu beachten sind. Sie ergänzen die Benutzungsrichtlinien für Informationsverarbeitungssysteme des LRZ, sowie die jeweiligen Benutzungsrichtlinien der Hochschule oder Organisation, die der Nutzer angehört.

Geltungsbereich und nutzungsberechtigte Personen und Einrichtungen

Diese Richtlinien gelten für alle Nutzer des Dienstes und die vom LRZ dafür bereitgehaltene IT-Infrastruktur. Nutzungsberechtigt sind Mitarbeiter und Studierende der Technischen Universität München, der Ludwig-Maximilians-Universität München und der Bayerischen Akademie der Wissenschaften, sowie weitere registrierte bayerische Hochschulen und Institutionen gemäß LRZ Dienstleistungskatalog.

Lesbarkeit der Daten

Das Leibniz-Rechenzentrum bemüht sich nach Kräften, mit den zur Verfügung stehenden Mitteln die bestmöglichen technischen Voraussetzungen für eine hohe Lebensdauer und Sicherheit der Daten zu schaffen. Dazu gehören auch adäquate klimatechnische Voraussetzungen und der Gebäudeschutz.

Haftung

Eine hundertprozentige Garantie für die unbefristete Lesbarkeit der Daten auf den Speichersystemen gibt es nicht. Weder der Hersteller der Speichersysteme bzw. der genutzten Software noch das LRZ als Dienstleister können im Fehlerfall haftbar gemacht werden. Die genannten Sicherungsmaßnahmen schaffen zuverlässige Rahmenbedingungen. Sie sind dennoch kein garantierter Schutz etwa gegen Bedienfehler. Die korrekte Anwendung und Konfiguration des Diensts liegt in der Verantwortung des Nutzers.

Verantwortung für Dateiinhalte

Für die Rechts- und Verfassungskonformität der Inhalte der gespeicherten Daten ist alleinig der Nutzer des Dienstes verantwortlich. Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) ist ausgeschlossen. Für die Sicherstellung der Interpretierbarkeit der Daten ist der Kunde selbst verantwortlich.

Datensicherheit, Verschlüsselung

Die primären Daten werden ausschließlich auf LRZ-eigenen Geräten in den Datenräumen des Rechenzentrums unverschlüsselt gespeichert. In bestimmten Fällen, typischerweise um eine zweite Kopie der Daten zu bilden, z.B. bei Archivdaten, werden die Daten zusätzlich auf LRZ-eigenen Geräten in den Datenräumen eines zweiten Rechenzentrums in Bayern gespeichert. Das LRZ trifft generell angemessene Vorsichtsmaßnahmen, dass die Sicherheit und Unversehrtheit der Daten gewahrt wird. Weiterhin sorgt das LRZ mit den ihm zur Verfügung stehenden Mitteln dafür, dass kein unberechtigter Zugriff von außen auf die im Speichersystem liegenden Daten möglich ist. Die Daten werden nur dann an Dritte weitergegeben, wenn gesetzliche Verpflichtungen eingehalten werden müssen.

Transport der Daten vom Client zum Server und zwischen den Servern findet generell unverschlüsselt statt.  Vom Kunden kann zusätzlich eine AES 256-bit Verschlüsselung am ISP-Client aktiviert werden. In diesem Fall werden die Client-Daten am LRZ verschlüsselt gespeichert. Die Verwahrung und Verwaltung des Schlüssels liegt in diesem Fall komplett beim Kunden. Bei Verlust des Schlüssels ist eine Dechiffrierung nicht mehr möglich.

Datenschutz gemäß DSGVO

Der Umgang mit personenbezogenen Daten ist in der LRZ Datenschutzerklärung geregelt.

Verfügbarkeit, Wartungszeiten

Das LRZ bemüht sich nach besten Kräften die höchstmögliche Verfügbarkeit sicherzustellen. Aus diesem Grund sind die wichtigsten Komponenten des Systems redundant konfiguriert. Eine jährliche Verfügbarkeit der Systeme von mindestens 95% wird angestrebt. Arbeiten an der Behebung von Störungen sind nur werktags zu den üblichen Geschäftszeiten garantiert. Für alle Hard- und Software-Komponenten wurden Wartungsverträge mit den Herstellern abgeschlossen. Die vereinbarten SLAs decken im Regelfall nur die üblichen Geschäftszeiten an Werktagen mit einer Vorort-Reaktion innerhalb des nächsten Arbeitstages ab. Durch geplante Wartungsarbeiten an Hard- und Software notwendige Betriebsunterbrechungen werden in den aktuellen LRZ-Informationen mit mehreren Tagen Vorlauf angekündigt. In Ausnahmefällen (Notfallwartung) kann auch eine sofortige Betriebsunterbrechung angekündigt werden.

In der Regel gelten folgende Vorlaufzeiten für die Ankündigung:

  • Unterbrechung kürzer als 1 Stunde: 1 Arbeitstag
  • Unterbrechung kürzer als 1 Tag: 5 Arbeitstage
  • Unterbrechung länger als 1 Tag: 15 Arbeitstage

Aufbewahrungsdauer, Löschung von Daten

Lebensdauer eines Nodes
Archiv- und Backupdateien werden in so genannten Nodes verwaltet. Ein Node entspricht in der Regel einem Rechner, von dem gesichert oder archiviert werden soll. Nodes werden auf den ISP-Servern zusammen mit einer nutzungsberechtigten Kennung, die einem LRZ-Projekt zugeordnet ist, registriert. Diese Kennung ist in der Regel personenbezogen, der Inhaber der Kennung ist maßgeblicher Ansprechpartner für das LRZ und als Eigentümer der archivierten, bzw. gesicherten Daten alleinig für die Inhalte verantwortlich. Insbesondere kann das Löschen eines Nodes und seiner Daten in der Regel ausschließlich durch Kennungsinhaber veranlasst werden.

Wird die für einen Node verantwortliche Kennung gelöscht und vorher keine neue verantwortliche Kennung benannt, wir der Node gesperrt und es ergeht eine Information an den Master User des entsprechenden LRZ-Projektes. Wird von diesem innerhalb von 6 Monaten keine neue verantwortliche Kennung benannt, wird der Node und damit die Daten gelöscht. Wird das LRZ-Projekt nicht verlängert bzw. dessen Löschung beantragt, werden auch die zugehörigen Kennungen, die ISP-Nodes und die darunter gespeicherten Daten gelöscht.  Diese Regelungen haben Vorrang vor der im nächsten Punkt dargestellten Fristenregelung und schränkt damit die Aufbewahrungsdauer von Dateien zusätzlich ein. Das LRZ behält sich vor, dieses Konzept im Bedarfsfall nach entsprechender Ankündigung und Vorlaufzeit zu ändern.

Leere Nodes

Wir behalten uns vor, leere Nodes 1 Jahr nach Ihrer Registrierung ohne Rückfrage bei dem Eigentümer zu löschen.


Aufbewahrungsdauer der Archivdaten
Während der Lebensdauer eines Nodes (siehe oben) werden Archiv-Dateien per Voreinstellung für 10 Jahre lang aufbewahrt. Nach Ablauf der 10 Jahre, gerechnet vom Zeitpunkt der Archivierung, werden die Daten automatisch ohne vorherige Rückfrage gelöscht. Auf rechtzeitige Anfrage VOR der Speicherung der Daten kann die Aufbewahrungsdauer in besonderen begründeten Fällen auch für einen noch längeren Zeitraum festgelegt werden (Langzeitspeicherung). Nachträgliche Änderungen sind nicht möglich.Wenn die Aufbewahrung der Daten am LRZ nicht mehr gewährleistet werden kann, (z.B. bei Einstellung des Archivierungsdiensts oder einem Systemwechsel), wird der Kunde frühzeitig darüber informiert.


Kopien der Archivdaten
Von Archiv-Dateien wird am LRZ per Voreinstellung eine zusätzliche Kopie auf einem weiteren Magnetband angelegt. Somit liegen Archivdateien auf mindestens zwei unterschiedlichen Magnetbändern. Soweit wirtschaftlich sinnvoll machbar wird die zusätzliche Archivkopie an einem geographisch entfernten Rechenzentrum aufbewahrt, um das Risiko eines Datenverlusts weiter zu minimieren. Das LRZ behält sich vor, dieses Konzept im Bedarfsfall nach entsprechender Ankündigung zu ändern. Die Erstellung der Zweitkopie erfolgt zeitverzögert. Um einem Datenverlust bei Medienfehlern auf der Erstkopie vorzubeugen empfiehlt es sich, die Daten nach dem Archiverungsvorgang nicht sofort aus dem eigenen Datenbestand zu löschen, sondern die Generierung der Zweitkopie abzuwarten (in der Regel < 1 Woche).


Aufbewahrungsdauer der Backupdaten
Von Backup-Dateien werden am LRZ per Voreinstellung von jeder Datei bis zu 3 Versionen aufbewahrt. Auf Nachfrage kann die Anzahl der Versionen auch erhöht werden. Die inaktiven, sprich am Client nicht mehr vorhandenen Versionen einer Datei werden nach 6 Monaten automatisch gelöscht, aktive Versionen werden einzeln nie gelöscht. Die Lebensdauer der aktiven Versionen richtet sich nach der Lebensdauer des zugehörigen Nodes.

Sperrung

Das LRZ behält sich das Recht vor, die Nutzung des Diensts und damit den Zugang zu den gespeicherten Daten in Einzelfällen zu sperren. Der Dienst wird zum Beispiel gesperrt, wenn der Nutzer gegen geltendes Recht oder die hier genannten Richtlinien verstößt. Eine Sperrung kann ferner erfolgen, wenn vom Node Owner keine gültige Mailadresse hinterlegt wird.

Beschränkung der Datenmenge

Zurzeit wird die Datenmenge, die im Backup- und Archivsystem abgelegt werden darf, nicht beschränkt. Bei der Anmeldung eines Nodes wird lediglich eine Abschätzung der zu erwartenden Datenmenge verlangt. Größere spätere Änderungen im zu speichernden Datenumfang müssen über den LRZ-Servicedesk rechtzeitig mitgeteilt werden. Bei übermäßiger Abweichung vom angegebenen Datenvolumen behält sich das Leibniz-Rechenzentrum vor, regulierende Schritte einzuleiten. Es liegt in der Verantwortung des Kunden, in Absprache mit dem LRZ die Größe des Datenbestands innerhalb eines Nodes auf ein sinnvolles Maß zu beschränken. Nodes mit sehr großem Datenumfang, bzw. mit sehr starkem Datenwachstum müssen u. U. aufgeteilt werden. Die sinnvolle Auswahl der Dateien und Dateisysteme, die gesichert werden sollen, wird allein vom Kunden vorgenommen. Der Kunde löscht oder veranlasst die Löschung von Daten und Nodes, die nicht mehr benötigt werden. Der Kunde verpflichtet sich, den Backup- und Archivdienst hinsichtlich des Datentransfers und des zu sichernden Datenvolumens kontinuierlich zu überwachen und zu prüfen. Der Kunde kann sich jeder Zeit einen Überblick über seine gesicherten und archivierten Daten und den Zustand der Serversysteme über das Service-Portal DATWeb des LRZ verschaffen. Zusätzlich erhält der Ansprechpartner eines Nodes jeden Monat eine Statusmeldung via E-Mail.

Bereitstellung von Lizenzrelevanten Informationen

Die vom LRZ eingesetzte Backupsoftware, IBM Storage Protect, ist nach der sog. Processor Value Unit (PVU) Methode lizensiert. Dabei bemisst sich die Höhe der fälligen Lizenzgebühren abhängig von Anzahl und Typ der Prozessorkerne auf denen die Software installiert wird. Der Kunde verpflichten sich, die nötigen Softwareteile von IBM Storage Protect, welche für die automatische Übermittlung der nötigen Lizensierungsinformationen vom Client an den Server nötig sind, stets mit zu installieren und auch auf Nachfragen des LRZ wahrheitsgemäß Auskunft über Lizensierungsrelevante Informationen innerhalb höchsten einer Woche zu geben.

Weitere Pflichten des Kunden

  • Der First Level Support obliegt dem Nutzer selbst bzw. dem lokalen ISP-Verwalter in den Instituten.
    Das LRZ kann nur sehr eingeschränkt Hilfestellung bei der Installation/Konfiguration der Client-Software und bei auftretenden Problemen geben und versteht sich als Second Level Support bei auftretenden Problemen.
  • Es liegt in der Verantwortung des Kunden durch regelmäßige Updates für einen aktuellen Stand seines Systems und des ISP-Clients zu sorgen, um die Gesamtkompatibilität zu gewährleisten.
    Grundsätzlich kann das Leibniz-Rechenzentrum Supportanfragen nur bearbeiten, wenn der ISP-Client vom Hersteller für die eingesetzte Hardware und Software freigegeben ist und sich auf einem vom Hersteller unterstützen Release Level befindet.

  • Der Nutzer ist verpflichtet, die an ihn versandten Service-Mitteilungen zur Kenntnis zu nehmen und im Bedarfsfall zeitnah zu beantworten bzw. Einspruch zu erheben. Die Mitteilungen gelten als akzeptiert, wenn nicht innerhalb eines Monats Einspruch erhoben wird.
  • Der Nutzer ist für die Korrektheit und Aktualität der Angaben, die er bei der Registrierung eines Nodes macht, und die das LRZ benötigt, um seinen Lizenzverpflichtungen nachzukommen, verantwortlich. Solche Angaben sind z.B. Architektur und Verwendungszweck (Server/Desktop) des Systems, für das ISP genutzt wird.

  • Wir empfehlen das Zurückholen von Daten (Restore/Retrieve) gelegentlich zu testen um für den Ernstfall vorbereitet zu sein.
  • Das sorgfältige Management der Authentifizierungsinformationen (Nodename + Nodepasswort) liegt in der Verantwortung des Kunden. Das LRZ empfiehlt das Nodepasswort bedarfsgetrieben (z.B. bei bekanntwerden den Passworts in sog. Leaks oder bei Ausscheiden eines Mitarbeiters mit Kenntnis des Nodepassworts, etc.) zu ändern.

Salvatorische Klausel

Sollten einzelne Bestimmungen dieser Richtlinie unwirksam oder undurchführbar sein oder nach Inkrafttreten unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit der Regelungen dieser Richtlinie im Übrigen unberührt.

Schlussbestimmungen

Das LRZ behält sich das Recht vor, diese Richtlinien zu ändern. Änderungen können unter anderem wegen zwingender gesetzlicher Vorschriften notwendig werden. Es wird empfohlen, sich die jeweils aktuellen Nutzungsrichtlinien von Zeit zu Zeit erneut durchzulesen. Diese Richtlinie ist unmittelbar gültig und ersetzt alle früheren Richtlinien.