Illustration: Absmeier, Allyartist
Im Rahmen der Datenschutzgrundverordnung (DSGVO/GDPR) der EU treten in den Mitgliedsstaaten am 25. Mai 2018 gesetzliche Änderungen in Kraft. Ebenso aber sind auch Unternehmen in Nicht-EU-Ländern betroffen, die Daten von EU-Bürgern verarbeiten. Die europäischen Bürger erhalten damit umfassende Rechte hinsichtlich personenbezogener Daten, die von Unternehmen gespeichert und verarbeitet werden. Die DSGVO ist aber auch eine zusätzliche Herausforderung für Unternehmen – prozessual, personell und technologisch. Den Unternehmen, die ihren umfassenden Pflichten nicht nachkommen, drohen hohe Bußgelder.
Die Frist naht in schnellen Schritten, aber viele Unternehmen haben trotzdem noch nicht mit der Vorbereitung begonnen, ihre IT-Systeme entsprechend anzupassen. Es gibt nicht die spezielle Lösung, um die Einhaltung der DSGVO zu gewährleisten, da die Vorschriften sehr weitreichend sind und verschiedenste Elemente der IT betreffen.
Bei der Evaluation der eingesetzten Technologie für Data Management, empfiehlt Rubrik die folgenden vier Schlüsselkomponenten zu berücksichtigen:
Unified Management
Unternehmen halten häufig persönliche Daten über Kunden, Mitarbeiter, Lieferanten, Auftragnehmer und Partner vor. Diese Daten können über eine Vielzahl von Quellen wie virtuelle Maschinen, Datenbanken, Dateien und Exchange-Postfächer verteilt werden. Leider macht diese fragmentierte Infrastruktur das Management und den Schutz von Workloads zu einer großen Herausforderung.
Ein Patchwork von punktuellen Lösungen kann nicht nur aufwändig in der Handhabung sein, sondern auch die DSGVO-Compliance erschweren. Mithilfe einer einzigen umfassenden Lösung könnten Benutzer jedoch eine Datenverwaltungsrichtlinie in ihrer gesamten Infrastruktur definieren und durchsetzen. Im Falle einer Cloud-Data-Management-Lösung unterstützt eine Plattform alle gängigen Datenverwaltungsszenarien (Backup, Disaster Recovery, Archivierung etc.) und schützt eine Vielzahl von Workloads wie virtuelle Maschinen (VMs), physische Server, Datenbanken, NAS-Freigaben und öffentliche Clouds. Diese breit gefasste, mitwachsende Matrix unterstützt Unternehmen bei der Durchsetzung ihrer IT-Richtlinien von einer einzigen Oberfläche aus.
Richtliniengesteuerte Automatisierung
Unter dem DSGVO-Regime müssen Unternehmen Richtlinien definieren, in denen die Daten gespeichert werden und wie lange sie auf der Grundlage von Geschäftsanwendungsfällen beibehalten werden. Bei Rubrik erfolgt das gesamte Datenmanagement über kundendefinierte Service-Level-Agreements (SLAs). Mit diesen SLAs können Kunden die Häufigkeit von Sicherungen, Aufbewahrungszeiten, ebenso wie die Dauer, wie lange Backups vorgehalten werden müssen, und den Speicherplatz festlegen. Darüber hinaus sorgt die Auto-Discovery-Funktion für die Sicherheit, dass ein SLA automatisch auf jede neu hinzugefügte VM angewendet wird. Dies hilft den Unternehmen dabei, Richtlinien zu automatisieren und die Compliance zu vereinfachen, während ihre Umgebung wächst.
End-to-End-Verschlüsselung
Ein Hauptprinzip der DSGVO ist »Security by Design«, was bedeutet, dass eine Lösung von Grund auf im Hinblick auf Sicherheit erstellt werden muss. Die DSGVO sieht die Verschlüsselung als Möglichkeit vor, um die Risiken für Einzelpersonen aufgrund von Datenverletzungen oder -verlusten zu reduzieren. Eine moderne Plattform verschlüsselt Daten sowohl im Ruhezustand als auch in Bewegung. Es sollte dabei softwarebasierte AES-256-Verschlüsselung für alle von der Appliance geschützten Daten unterstützt werden. Die Appliance bietet außerdem hardwarebasierte Verschlüsselung nach dem Standard FIPS-240-2 Level 2. Die Verschlüsselung ist für alle unterstützten Archivierungsstandorte Standard.
Rollenbasierter definierter Zugriff
Sicherheit bezieht sich auch auf den Schutz vor internen Bedrohungen durch Mitarbeiter. Um diesem Prinzip gerecht zu werden, können Mitarbeiter innerhalb eines Unternehmens nur auf relevante Daten zugreifen. Mit der rollenbasierten Zugriffssteuerung (RBAC) können Unternehmen Zugriffsrichtlinien für verschiedene Teilmengen von Ressourcen definieren und festlegen, welche Aktionen ausgeführt werden können. Dadurch wird sichergestellt, dass jeder Benutzer nur mit den Daten in Berührung kommt, die er besitzt. So wird das Risiko für persönliche Daten durch menschliches Versagen oder böse Absicht verringert.
»Zu sagen, dass die DSGVO eine umfassende Regelung ist, ist sogar noch eine Untertreibung – und der Stichtag zur Umsetzung dieser Vorschriften nähert sich rasch. Die Erstellung eines IT-Aktionsplans für die Umsetzung der DSGVO kann wie eine entmutigende Aufgabe erscheinen«, so Roland Stritt, Director Channels EMEA bei Rubrik. »Mit einer zeitgemäßen Lösung für Date Management ist der Weg zur Compliance jedoch wesentlich einfacher, indem das Datenmanagement in der gesamten IT-Infrastruktur zentralisiert wird.«
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
Datensicherheit 2018: Ransomware, RPO/RTO, Cloud und DSGVO 2018 im Trend
EU-DSGVO & personenbezogene Daten: Diese sechs Fragen müssen Unternehmen sich jetzt stellen
Schärfere Vorgaben beim Datenschutz: Endspurt für die Vorbereitung auf die DSGVO