JRB - stock.adobe.com
So richten Sie erfolgreiche Data-Protection-Strategien ein
Eine Datensicherungsstrategie zielt darauf ab, Verluste zu minimieren, die durch eine fehlende Integrität und Verfügbarkeit der Daten entstehen. 20 Schritte führen zu diesem Ziel.
Die Data Protection hat das Ziel, Verluste eines Unternehmens, die durch den Mangel an nachweisbarer Datenintegrität und Verfügbarkeit entstehen, zu minimieren. Zu den Verfahren und Techniken, die bei der Entwicklung einer Strategie für die Datensicherung zu berücksichtigen sind, gehören unter anderem das Management des gesamten Datenlebenszyklus.
Daten werden in ihrem „Leben“ erzeugt, kopiert, importiert, verändert, gespeichert, analysiert, auf Offline-Medien kopiert, an andere Nutzer verteilt, zweckgemäß und unsinnig dupliziert, gesichert sowie archiviert und gelöscht.
Wichtige Schritte beim Management des Datenlebenszyklus sind dabei das automatisierte Verschieben kritischer Daten in den Online- und Offline-Speicher, die Risikommanagement (Data Risk Management), die Vermeidung von Datenverlusten (Data Loss Prevention) sowie Backup und Recovery.
Bei der Entwicklung einer Strategie mit allen Aspekten veranschlagen das Identifizieren des gewünschten Ergebnisses der Strategie und das Bestimmen der zum Erreichen des Ziels erforderlichen Maßnahmen einen großen Anteil der Arbeit für sich.
Im Falle einer Data-Protection-Strategie ist das Ziel, dass die Daten vor Beschädigung oder Zerstörung durch interne oder externe Bedrohungsrisiken geschützt sind. Wenn man bedenkt, wie wichtig Daten jeglicher Art für eine Organisation sind, ist eine gut durchdachte Schutzstrategie ein wesentlicher Bestandteil eines umfassenden Datenmanagementprogramms.
Da ist es zunächst wichtig, die notwendigen Komponenten einer Datensicherungsstrategie zu identifizieren. Im Folgenden haben wir für Sie 20 wichtige Schritte, die zu einer Gesamtstrategie führen, zusammengestellt.
Auch wenn vielleicht nicht alle Komponenten in Ihrem Unternehmen umgesetzt werden (was ganz verschiedene Gründe haben kann) sollte es das Ziel sein, so viele dieser Schritte umzusetzen, wie es Ihnen möglich ist. Denn sie sind in der Unternehmens-IT durchaus sinnvoll und es wäre gut, die nötigen Komponenten einsatzbereit zu haben.
Grundsätzlich müssen, sobald Daten und Informationen erstellt wurden, immer auch mehrere Aktivitäten rund um deren Lebenszyklus stattfinden. Dazu gehören Vorkehrungen für Primär- und Backup-Speicher, die Auswahl der zu verwendenden Speichertypen und -medien sowie der geeigneten Speicherinfrastruktur, das Zugriffsmanagement und die damit verbundenen Zugriffskontrollen sowie die Festlegung von Datensicherungsmaßnahmen und einer Sicherheitsstrategie zum Schutz der Daten vor unberechtigtem Zugriff und Angriffen.
In den folgenden Abschnitten werden die einzelnen Komponenten einer Datenschutzstrategie kurz vorgestellt. Bei der Umsetzung sorgen Sie zunächst dafür, dass die Geschäftsleitung alle Maßnahmen versteht und unterstützt – und die nötigen Beschaffungen genehmigt. Als nächstes prüfen Sie, ob die festgelegte eine Strategie den Geschäftsprozessen Ihres Unternehmens enstpricht.
Noch ein kleiner Hinweis: Die Reihenfolge, in der die folgenden Aktivitäten aufgeführt sind, sollen keine Rangfolge hinsichtlich ihrer Wichtigkeit oder Präferenz darstellen.
1. Data Lifecycle Management
Die Festlegung und Verwaltung des Lebenszyklus der Daten hilft bei der Spezifikation der Maßnahmen rund um die Daten – von der Erstellung über die Speicherung und Archivierung bis hin zur Löschung nach Erreichen des Verfallsdatums.
Interessante Randnotiz: Das VMS-Betriebssystem von DEC bereits Ende der 1970er Jahre standardmäßig ein Verfallsdatum in den Dateieigenschaften enthielt. Damit konnten im Dateien nach ihrem Verfallsdatum gesucht und dann archiviert oder eben einfach auch automatisiert gelöscht werden. Ein definierter Datenlebenszyklus gilt als grundlegender Teil der Datensicherungsstrategie.
2. Data Risk Management
Die Identifizierung und Bewertung von Risiken und Bedrohungen für Daten ist bei der Formulierung der meisten Aspekte einer Datenschutzstrategie unerlässlich. Wenn die Datenschutzstrategie darauf abzielt, die Wahrscheinlichkeit des Auftretens von Risiken zu minimieren, mildert das auch die Auswirkungen der tatsächlich eintretenden Ereignisse.
3. Data Loss Prevention – Vermeidung von Datenverlusten
Diese Aktivitäten stellen sicher, dass alle erstellten Daten vor potenziellem Verlust oder Schaden durch Maßnahmen wie Speicherung und Archivierung und Sicherung der Datenintegrität mit Verschlüsselungstechnologien geschützt werden.
4. Backup und Recovery
Sobald Daten erstellt worden sind, müssen sie, sofern sie nicht mehr benötigt werden, an einem sicheren und geschützten Ort für die zukünftige Verwendung verwahrt werden. Falls die Daten benötigt werden, werden sie durch einen Wiederherstellungsprozess aus dem sicheren Backup freigegeben und auf ihre Verwendbarkeit hin überprüft. Diese Aktivitäten sind auch Schlüsselkomponenten von Business-Continuity- und Disaster-Recovery- (BCDR-) Initiativen.
5. Management der Datenzugriffe
Zu den wichtigsten Komponenten einer Datenschutzstrategie gehört der Prozess für den sicheren Zugriff auf und die Nutzung von Daten. Datenzugriffsverwaltung wird typischerweise von Experten im Rahmen eines IT-Audits untersucht.
6. Speichermanagement
Hierzu gehören alle Aktivitäten und Maßnahmen rund um das sichere Verschieben von Produktivdaten an einen sicheren Speicherort. Das kann zum Beispiel die Speicherung On-Premises (lokal) oder extern in einer Cloud-Umgebung zur aktiven oder zu einer späteren Nutzung sein. In Situationen, in denen die Daten zu einem späteren Zeitpunkt benötigt werden könnten, verschiebt das Speichermanagement die Daten in ein Archiv.
7. Verletzung der Datensicherheit verhindern
Diese Maßnahmen sollen den unbefugten Zugriff auf Daten durch einen Cybersecurity-Angriff oder eine andere bösartige Aktion verhindern, indem beispielsweise Komponenten für die Netzwerksicherheit des externen Zugriffs und Datensicherungssysteme zur Blockierung des unbefugten internen Datenzugriffs eingesetzt werden.
8. Schutz der Datenhoheit
Weltweit agierende Unternehmen mit Daten an Standorten in anderen Ländern müssen außerdem Maßnahmen zum Schutz der Datenhoheit (Data Sovereignty) ergreifen, damit diese nicht durch interne oder externe Angriffe beschädigt werden.
9. Information Lifecycle Management
Zusammen mit der Verwaltung des Datenlebenszyklus beschreibt dieser Prozess den Schutz von Informationen entlang ihres gesamten Lebenszyklus von der Erstellung bis zur Vernichtung.
10. Vertraulichkeit, Integrität und Verfügbarkeit
Dies sind die Eckpfeiler des Datenschutzes und insbesondere der Data Protection. Eine umfassende Datensicherungsstrategie umfasst Lösungsbausteine für jedes dieser Merkmale.
11. Cybersecurity-Management
Diese Aktivitäten verhindern unbefugte Angriffe auf Netzwerkkomponenten, interne Netzwerke und sowohl im Transfer befindliche (Data in Motion) als auch ruhende Daten (Data at Rest). Dazu gehören Software für die Zugriffsverwaltung, Software und Hardware für die Sicherheit der Außengrenzen einer IT-Infrastruktur, Antivirensoftware und Lösungen zur Abwehr von Ransomware-Attacken.
12. Schutz vor Ransomware
Diese Maßnahmen verhindern Situationen, in denen der Zugriff auf Daten und Systeme durch Cyberkriminelle kompromittiert wird. Der legale Zugang zu den Daten wäre nur noch gegen ein Lösegeld, zum Beispiel eine Zahlung von Bitcoins oder einer anderen Kryptowährung, möglich. Der Schutz vor Ransomware ist zu einer Schlüsselkomponente der Cybersicherheit geworden.
13. Passwortverwaltung
Die Verwaltung von Passwörtern ist nach wie vor eine weit verbreitete Technik zur Verhinderung unbefugten Zugriffs und wird als Faktor bei der Zugangsauthentifizierung verwendet.
14. Richtlinien und Ablaufanweisungen
Richtlinien legen das „Was“ im Zusammenhang mit Datenschutzaktivitäten fest und Ablaufanweisungen, Prozeduren und Prüflisten definieren das „Wie“ der Maßnahmen. Beide sind in einer Datenverwaltungsstrategie unerlässlich und werden bei Auditierungen in der Regel als Teil des Prozesses untersucht.
15. Standards und Einhaltung von Vorschriften
Eine gute Datenschutzpraxis setzt die Kenntnis und Anwendung der verschiedenen Standards und Vorschriften, die regeln wie Daten geschützt werden sollten, voraus. Eine der bekanntesten davon ist die Allgemeine Datenschutzverordnung der Europäischen Union (DSGVO). In den USA wurden zahlreiche ähnliche Maßstäbe vom National Institute for Standards and Technologies und anderen festgelegt.
16. Berichterstattung an das Management
Regelmäßige Berichte an die Geschäftsleitung zu allen Aspekten der Datenschutzprogramme stellen sicher, dass die Geschäftsleitung genau weiß, wie die Daten und Informationen des Unternehmens geschützt und verwaltet werden.
17. Testen und Üben
Das regelmäßige Testen und Üben von Aktivitäten des Datenmanagementprogramms, beispielsweise Datensicherung und -wiederherstellung, Datenzugriffsmanagement und Aktivitäten zur Cybersecurity, stellen sicher, dass diese wichtigen Tools und Abläufe ordnungsgemäß funktionieren und die dafür verantwortlichen Mitarbeiter ihre Rollen und Verantwortlichkeiten kennen. Diese Aktivitäten sind auch Bestandteile von BC/DR-Initiativen.
18. Schulung und Aufmerksamkeit
Damit lässt sich umsetzen, dass die für Datenschutzaktivitäten verantwortlichen Personen ihre Aufgaben kennen. Auch alle Mitarbeiter sollten wissen, wie ihre Daten verwaltet und geschützt werden, und wie ihr Verhalten die Sicherheit ihrer Daten beeinflusst.
19. Auditierung und Bewertung
Um sicherzustellen, dass die Datenschutzstrategien befolgt werden und alle damit verbundenen Datenverwaltungsprogramme ordnungsgemäß funktionieren, müssen sie regelmäßig untersucht, bewertet und auditiert werden. Dies gilt insbesondere, um die Einhaltung relevanter Standards und Vorschriften zu gewährleisten.
20. Überwachen und Prüfen
Ein gut organisiertes Datenmanagementprogramm bietet eine laufende Überwachung aller Aspekte der Datenerstellung, -übertragung, -speicherung, -archivierung und -vernichtung. Diese Aktivitäten liefern wesentliche Nachweise für Auditoren, die Datenschutz- und Managementkontrollen untersuchen.
Sobald eine Strategie festgelegt wurde, erfolgt ihre Entwicklung und Umsetzung auf der Grundlage der Geschäftsanforderungen des Unternehmens, der verfügbaren Mittel, der Personalausstattung und des Engagements der Unternehmensleitung für eine sichere Dateninfrastruktur.