München, Starnberg, 14. Juli 2017 - Eine Datenschutzregelung mit vielfältigen Auswirkung auf die IT. Spezialist Rubrik benennt Cloud Data Management als wichtiges Element...

Zum Hintergrund: Wie derzeit überall zu lesen ist, wird am 25. Mai 2018 jedes Unternehmen das Daten von EU-Bürgern verarbeitet, unabhängig vom Standort des Unternehmens, von der Datenschutz-Grundverordnung (DSGVO) betroffen sein. Die DSGVO – oder in der international gebräuchlichen Bezeichnung „General Data Protection Regulation“ (GDPR) – ist eine weitreichende Regulierung. Sie zielt darauf ab, die Datenschutzgesetze in ganz Europa zu standardisieren, den Datenschutz der EU-Bürger zu gewährleisten und den Umgang der Unternehmen mit privaten Daten neu zu definieren. Welche Rolle dem Cloud Data Management in diesem Zusammenhang zufällt, erklärt nachfolgend Data Management- und Protection-Spezialist Rubrik.

A) Um den Weg zur GDPR-Compliance zu erleichtern, sollten Unternehmen in Lösungen investieren, die folgenden Anforderungen gerecht werden:

1. Abdeckung moderner Enterprise-IT-Umgebungen vom Rechenzentrum bis zur Cloud bei gleichzeitiger Gewährleistung der End-to-End-Datensicherheit (durch Datenverschlüsselung).
2. Bewältigung des digitalen Datenwachstums, so dass Daten in einem System verwaltet werden können.
3. Automatisierung von Datenschutzrichtlinien und der Stilllegung von Daten im Rahmen von SLAs und angemessenen Aufbewahrungsfristen.
4. Bereitstellung von Sichtbarkeit und Berichterstattung über Datenaufbewahrung, Compliance sowie System-, Benutzer- und Log-Ereignisse.
5. Definition und Umsetzung einer feinkörnigen Überwachung des Benutzerzugriffs auf die Daten.

Auswirkungen der GDPR auf das Datenmanagement

Im Folgenden findet sich eine Zusammenfassung der wichtigsten GDPR-Änderungen, die das Datenmanagement beeinflussen und wie ein Plattform-Ansatz für Cloud Data Management dabei helfen kann, die GDPR-Vorgaben zu erfüllen:

• Unternehmen müssen dafür verantwortlich sein, wie sie den Datenschutz und die Datensicherung durch technische und organisatorische Maßnahmen (Art. 5) umsetzen. Mittels einer Lösung mit umfangreichen Reporting-Fähigkeiten können Unternehmen ihre Compliance demonstrieren.

• Unternehmen sollten Plattformen mit Tools verwenden, die eine benutzerdefinierte visuelle Berichterstattung über Aufbewahrung, Compliance und Kapazität liefern. Benutzerdefinierte Berichte müssen mit wenigen Klicks konfiguriert werden, um die gesamte Umgebung, lokal vor Ort bis in die Cloud, zu erfassen. System-, Benutzer- und Log-Ereignisse müssen ebenfalls leicht zugänglich sein.

• Die Definition von Anwendungsfällen und die Verwaltung der Einwilligung (Art. 6) ist erforderlich, damit Unternehmen einheitlich vorgehen bei der Erhebung von Daten und beim Einholen der

• Zustimmung seitens der EU-Bürger. Die Daten sollten gelöscht werden, wenn der jeweilige Anwendungsfall abgeschlossen ist. Um dem zu entsprechen, müssen Unternehmen die erforderlichen Richtlinien zur Datenaufbewahrung und Datenlöschung von der Datenerfassung bis zur Speicherung umsetzen.

• Mit einem Plattform-Modell für Cloud Data Management können Unternehmen den Prozess für die Speicherung und Löschung von Daten vereinfachen. Die Benutzer definieren erstens Aufbewahrungsrichtlinien, die den Business-SLAs oder Datennutzungsfällen entsprechen, und zweitens, für welche Datensätze diese Richtlinien gelten. Idealweise läuft die Durchführung dieser Richtlinien automatisiert und die Berichterstattung zeigt auf, ob die Compliance erfüllt ist.

• Das Recht, vergessen zu werden (Art. 17), verlangt, dass Unternehmen personenbezogene Daten löschen, wenn Betroffene die Löschung von personenbezogenen Daten verlangen.

B) Cloud Data Management beschleunigt die Datenerfassung für abgelaufene Daten durch eine globale prädiktive Suchtechnologie. Rubrik beispielsweise indiziert alle Daten innerhalb des Systems und verwaltet Metadaten für alle Daten, die vor Ort oder in der Cloud vorgehalten werden. Benutzer führen Google-ähnliche Suchvorgänge durch, geben ihre Abfrage ein und eine Plattform liefert sofort prädiktive Suchergebnisse aus dem ganzen System.

• „Standardmäßiger Datenschutz nach dem Stand der Technik“ (Art. 25) verlangt, dass der Datenschutz in die Entwicklung von Geschäftsprozessen für Produkte und Dienstleistungen integriert ist, anstatt den Datenschutz zu einem späteren Zeitpunkt zu ergänzen. Artikel 23 fordert, dass Unternehmen nur die Daten vorhalten und verarbeiten sollten, die für die Abwicklung des Anwendungsfalls unbedingt notwendig sind (Datenminimierung). Sie sollten zudem den Zugang zu personenbezogenen Daten auf die Mitarbeiter begrenzen,  die diese Daten zur Verarbeitung benötigen. Datenschutzeinstellungen müssen standardmäßig auf einem hohen Niveau vorgenommen werden.

• Mittels Cloud Data Management können Unternehmen End-to-End-Verschlüsselung zur Durchsetzung der Datensicherheit und Privatsphäre einsetzen. Benutzer können wählen zwischen hardware- oder softwarebasierter Verschlüsselung sowie Verschlüsselung von Daten im Ruhezustand. Für die hardwarebasierte Verschlüsselung bietet sich eine FIPS 140-2 Level-2-zertifizierte Lösung an. Für softwarebasierte Verschlüsselung eignet sich die AES-256-Verschlüsselung. Alle Daten, die an die öffentliche oder private Cloud (Objektspeicher, NFS) geschickt werden, werden in Bewegung („in-flight“) und im Ruhezustand („at-rest“) verschlüsselt, um den Datenschutz unabhängig vom Standort der Daten zu gewährleisten. Unternehmen können idealerweise auch eine granulare Überwachung von Benutzerdaten über rollenbasierte Zugriffskontrolle (spezifische Rollen werden Datenobjekten zugeordnet) definieren und umsetzen. Dies beschränkt den Datenzugriff auf diejenigen Benutzer, die die Daten verarbeiten.

• Unternehmen müssen das Risiko der Verarbeitung und des Zugriffs auf personenbezogene Daten beurteilen und Maßnahmen für ein angemessenes Sicherheitsniveau umsetzen (Art. 32). Dazu gehört auch die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten umgehend wiederherzustellen. Die Erfüllung dieser Sicherheitsmaßnahmen sollte regelmäßig getestet und evaluiert werden.

• Eine Plattform für Cloud Data Management beschleunigt die Wiederherstellung nach Sicherheitsverletzungen, einschließlich Ransomware-Angriffen. Die Daten werden in einem unveränderlichen Format gespeichert. Unternehmen sind somit schnell wieder handlungsfähig – ohne Datenverlust, Ausfallzeiten und Lösegeldzahlung. Gut ist auch die Nutzung von Instant Recovery- (Live Mount) und einer API-first-Plattform, um die Wiederherstellung von Dateien und Anwendungen zu automatisieren. Unternehmen können eine Live Mount- Funktion auch nutzen, um ihren Disaster-Recovery-Plan zu testen, ohne dabei Produktions-Workloads zu beeinträchtigen. Zudem ist dann keine Erstellung einer separaten Kopie für Dev/Test oder Disaster Recovery erforderlich.

• Unternehmen, die Cloud-Dienste nutzen, sollten verstehen, welche Daten in der Cloud gespeichert werden, wo diese liegen und wie die Compliance erfüllt wird. Datenübertragungen in Länder außerhalb der EU sollten in Länder mit ähnlichen Standards im Datenschutz erfolgen (Art. 44-50).

• Eine zeitgemäße Cloud Data Management-Lösung muss für das Cloud-Zeitalter entwickelt sein. Wenn Unternehmen Cloud-Dienste nutzen, benötigen sie eine benutzerdefinierte Berichterstattung. Benutzer müssen erkennen, welche Daten in der Cloud gespeichert sind, wo sie vorgehalten werden und ob die Compliance erfüllt ist."

Querverweis: Download > Rubrik Backup Buyer's Guide (Leitfaden zu Backup und Rubrik's Technologieansatz), PDF 605 KB