Roman Milert - Fotolia

Beim Backup das Thema Datenschutz berücksichtigen

Mit Wirksamkeit der DSGVO ist für viele Unternehmen die Umsetzung der Datenschutz-Richtlinien keineswegs abgeschlossen. Insbesondere das Thema Backup spielt da Schlüsselrolle.

Ab dem 25. Mai 2018 müssen sich alle Unternehmen, die personenbezogene Daten von Bürgern der Europäischen Union (EU) verarbeiten, an die neuen, weit strengeren Regeln zum Schutz dieser Daten halten. Die Datenschutz-Grundverordnung (DSGVO/GDPR) der EU setzt einerseits neue Maßstäbe beim Schutz von Konsumentendaten, andererseits stellt sie Unternehmen vor die Herausforderung, ihre Storage-Systeme zu aktualisieren und an die neuen Vorgaben angepasste Prozesse einzuführen.

Unternehmen, die die wesentlichen Schritte noch nicht vollzogen haben, um ihre Datenverarbeitung und ihre Speichersysteme an die neuen Regelungen anzupassen, finden im Folgenden fünf Schritte, die so schnell wie möglich durchgeführt werden sollten.

Eine Bestandsaufnahme erstellen

Um die Backup- und Storage-Vorgaben der DSGVO einzuhalten und die Risiken für den Schutz dieser Daten abschätzen zu können, sollten Unternehmen zunächst eine umfassende Bestandsaufnahme der vorhandenen Daten und ihrer Informationsflüsse erstellen.

Nur ein zuverlässiges und detailliertes Mapping von Applikationen und Storage stellt sicher, dass jede Anwendung genau mit dem physischen Speicher verbunden werden kann, auf dem sie sich wirklich befindet. Das gilt sowohl für LUN-Dateisysteme (Logical Unit Number) als auch für objektbasierte Speicher. Genauso wichtig ist, dass auch die vorhandenen Backups nachträglich einer bestimmten Anwendung zugewiesen werden können.

Rechenschaftspflicht einführen

Die DSGVO legt großen Wert auf Rechenschaftspflichten beim Schutz personenbezogener Daten. Sie betreffen alle Unternehmen, die Daten von EU-Bürgern sammeln und verarbeiten.

Darüber hinaus soll die DSGVO auch sicherstellen, dass klar ist, von wem die Daten stammen und wer für ihre Speicherung verantwortlich ist. Diese Anforderung an Backup und Storage sind relativ leicht umzusetzen, wenn die folgenden Fragen beantwortet werden können:

  • Warum wurden die Daten gesammelt?
  • Wie werden die Daten gespeichert?
  • Warum wurden die Daten gespeichert?
  • Wie lange ist geplant, die Daten aufzubewahren?
  • Welche Maßnahmen wurden ergriffen, um die Daten zu schützen?
  • Ist geplant, die Daten mit anderen Parteien zu teilen?
  • Aus welchen Gründen könnten die Daten mit anderen geteilt werden?

Existierende Maßnahmen zum Schutz der Daten bewerten

Auch unabhängig von der DSGVO muss sichergestellt sein, dass strikte Maßnahmen zum Schutz der vorhandenen Daten ergriffen wurden. Audit-Logs können Unternehmen dabei unterstützen, Datendiebstähle festzustellen und die zur Behebung des Schadens nötigen Schritte zu ergreifen.

Diese Prozesse zur Reaktion auf Datendiebstähle oder -verluste sind ein wichtiger Teil der Datenschutz-Grundverordnung, weil betroffene Unternehmen innerhalb von 72 Stunden nach Bekanntwerden eines Vorfalls eine Meldung an die Regulierungsbehörden abgeben müssen. Die Nichteinhaltung dieser Vorgabe kann zu hohen Strafen führen. Letzteres trifft auch auf viele andere Teile der DSGVO zu.

In den Daten suchen können

Einer der wichtigsten Punkte in der DSGVO ist das Recht eines Individuums, „vergessen“ zu werden. Um diese Vorgabe einzuhalten, müssen Unternehmen garantieren können, dass technische Fähigkeiten vorhanden und funktional sind, Daten zu finden, zu ändern und auf Verlangen auch zu löschen.

Unternehmen sollten darüber hinaus darauf vorbereitet sein, Kunden aus der EU auf Anfrage eine komplette Liste ihrer personenbezogenen Daten auszuhändigen. Das betrifft alle Daten, die sie speichern oder verarbeiten. Dazu gehören aber auch juristische Informationen über die rechtliche Grundlage, diese Daten überhaupt zu speichern. Außerdem darf nicht übersehen werden, dass auch die Backups dieser Daten gelöscht werden müssen, sofern dies vom Kunden gewünscht wird.

Tape-Backups und der Zugriff

Unternehmen, die momentan noch Bandlaufwerke für ihre Backups verwenden, sollten jetzt eine Migration zu einem Cloud-basierten Dienst in Erwägung ziehen. Der Grund dafür ist einfach: Es ist schwierig beziehungsweise sehr zeitaufwändig, auf einem Tape eine bestimmte Information zu finden, die gelöscht werden muss.

Bandspeicher sind ein lineares System, das nicht gut für quasi zufällige Zugriffe geeignet ist. Auf der anderen Seite ist die Technik aber auch eine bewährte Offline-Lösung, die einen soliden Schutz gegen zum Beispiel Angriffe durch Ransomware bieten kann.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Das müssen Firmen zur DSGVO wissen

Tipps für bessere Backups

Verschlüsselung ist beim Backup unabdingbar

Erfahren Sie mehr über Datensicherheit