Die EU-Datenschutz-Grundverordnung wirkt sich auch auf die Datensicherung aus. Zu erstellen sind Datenschutz- und Datensicherheitskonzepte sowie Folgeabschätzungen. Gegen das Risiko eines Datenverlusts und gegen Verletzungen des Datengeheimnisses gilt es Vorkehrungen zu treffen und zu dokumentieren. »SEP sesam Backup & Recovery« liefert die technische Sicherheit zur Umsetzung der DSGVO.
von Andreas Mayer, SEP
Ineinandergreifen der SEP-Sicherheitsmechanismen (Grafik: SEP)Die EU-Datenschutz-Grundverordnung (DSGVO) ist seit dem 25.05.2018 auf Unternehmen und Behörden unmittelbar anwendbar. Das heißt, es können hohe Bußgelder fällig werden. Bis zu zehn bzw. 20 Millionen Euro oder bis zu zwei oder vier Prozent des Jahresumsatzes kann die Strafe betragen. Höchste Zeit für Firmen und Organisationen sich damit intensiver auseinander zu setzen, denn sehr viele waren und sind dafür noch nicht bereit, wie eine Studie der Nationalen Initiative für Internetsicherheit (NIFIS) zeigt. 57 Prozent der befragten IT-Sicherheitskräfte erwarteten, dass zum 25. Mai nur 26 bis 50 Prozent der deutschen Unternehmen in der Lage sein werden, die DSGVO-Vorgaben gesetzeskonform umzusetzen.
Die DSGVO wirkt sich auf alle Unternehmen aus, die geschäftlich von der EU aus tätig sind bzw. Geschäftsbeziehungen zu Unternehmen/ Organisationen mit Sitz in der EU unterhalten oder Daten in EU-Mitgliedsstaaten sammeln, verarbeiten und speichern. Unternehmen, auch außerhalb der EU, welche Geschäftsbeziehungen zu Unternehmen in der EU und/oder EU-Bürgern mit der Verarbeitung von personenbezogenen Daten unterhalten, unterliegen der DSGVO. Somit sind die Konsequenzen der DSGVO schon fast als weltweit anzusehen und es gibt auch kein Entrinnen. Neu ist auch, dass sogenannte Auftrags-Datenverarbeiter, wie MSP und Cloud-Provider nun auch in der Pflicht sind, die Daten rechtskonform zu behandeln und nicht wie bisher, dass nur der Auftraggeber in der Pflicht war. Nun müssen beide gemeinsam (Auftraggeber und Service-Provider) dafür Sorge tragen, dass die Daten DSGVO-konform verarbeitet und gehalten werden.
Was sind personenbezogene Daten?
Dies sind Daten, welche sowohl berufliche als auch private Informationen über eine Person beinhalten wie beispielsweise Namen, Fotos, E-Mail-Adressen, Bankdaten, Beiträge auf Social-Networking-Websites, medizinische Daten sowie auch die IP-Adressen.
Maßnahmen
Zur DSGVO gehört auch, dass Datenschutz- und Datensicherheitskonzepte sowie Datenschutz-Folgeabschätzungen zu machen sind. Die Datenschutzkonzepte müssen durch technisch-organisatorische Strategien und deren Umsetzung sicherstellen und nachweisen können, dass die DSGVO eingehalten wird. Dies soll auf der Grundlage einer Risikobewertung erfolgen, die auch zu dokumentieren ist ebenso wie auch die hieraus abgeleiteten Maßnahmen in Bezug auf die IT-Sicherheit und die von der IT ausgehenden, unternehmensgefährdenden Risiken durch Datenverlust oder Verletzungen des Datengeheimnisses.
Die Umsetzung muss durch technische Maßnahmen realisiert werden, die dem aktuellen Stand der Technik entsprechen und dem Datenschutzniveau sowie den Risiken angemessen sind. Dazu sollte eine regelmäßige Soll-/Ist-Analyse mit Risikobewertung und mit einer entsprechenden Datenschutz-/Datensicherheits-Folgeabschätzung kommen, um den Transparenz-, Dokumentations-, ADV- und Sicherheitsmanagementpflichten der DSGVO gerecht zu werden. Datenschutz durch Technik ergänzt die organisatorischen Anforderungen der DSGVO und ist auf den gesamten Lebenszyklus der Daten und Technologien anzuwenden und zu dokumentieren.
Technische Komponente: Backup Software
An dieser Stelle kommt die Backup-Software ins Spiel, die die technische Lösungskomponente zur Datensicherheit darstellt und daher gewisse technische Anforderungen erfüllen sowie technische Mechanismen bereitstellen muss, um DSGVO-konform zu sein.
Eine Business-Continuity-Strategie sollte auf Recovery-Point-Objectives (RPOs) und Recovery-Time-Objectives (RTOs) fokussieren (Grafik: SEP). Die SEP sesam Backup & Recovery-Software liefert die technische Sicherheit, die Sie zur Umsetzung der DSGVO benötigen. SEP sichert herstellerkonform mit einer einzigen Lösung geschäftskritische Informationen in Applikationen, Datenbanken und Systemen sowohl in physikalischen als auch in virtuellen Umgebungen On-Premise und in der Cloud. Aufgrund der immensen Wichtigkeit der business-relevanten Daten wird eine umfassende Business-Continuity-Strategie benötigt, die auf Recovery-Point-Objectives (RPOs) und Recovery-Time-Objectives (RTOs) fokussiert ist, welche essentiell bei einem Disaster-Recovery-Szenario sind. Die umfassende SEP sesam Hybrid Backup– und Bare Metal Recovery-Lösung verhindert Datenverlust und kann die gesamte Umgebung nach einem Disaster-Szenario wiederherstellen, beispielsweise bei:
■ höherer Gewalt,
■ Hardware-Fehlern,
■ menschlichen Fehlern,
■ Datenkorruption,
■ logischen und Software-Fehlern.
Backup-Software mit Verschlüsselung
Die Nutzung des Medienbruchs mittels Offline-Medien (Tape) bei den SEP-Backup-Daten ist bei einer Ransomware-Attacke oft die einzige Möglichkeit, nicht infizierte Daten wiederherstellen zu können, falls die Backup-Daten auf den Disksystemen befallen sein sollten.
Zu den zentralen technischen Elementen gehört die Verschlüsselung. Daher ist zum Beispiel auch bei der technologisch führenden SEP Si3-Deduplizierung und -Replikation eine Verschlüsselung möglich. Nach Zerlegen des Datenstroms in Blöcke und der Komprimierung jedes Blocks, lässt sich jeder einzelne Block durch einen beliebig definierbaren Key verschlüsseln. Zur Wiederherstellung der Daten kann der Key in der Datenbank des Backup-Servers hinterlegt werden oder der Dateneigentümer muss eine Rücksicherung mit seinem persönlichen Key autorisieren. Diese Verschlüsselung garantiert BSI-Konformität.
Zusätzlich beinhaltet die Lösung eine Vielzahl technologischer Ansätze für die gesetzeskonforme Datensicherheit:
■ Verschlüsselung:
- der Backups auf Sicherungsmedien (Band, DataStore, Si3 DedupStore)
- des Datenstromes (On-Premise und in die Cloud)
- der Kommunikation
■ Externes Passwort für Rücksicherung nach dem 4-Augen-Prinzip
■ Effizientes Disaster-Recovery für Windows und Linux
■ Frei von Spyware/Backdoors (Made in Germany)
■ Medienbruch: Unterstützung von Offline- und WORM-Medien
■ Herstellerkonforme Datensicherung und -wiederherstellung
■ Sicherung der Daten auf verschiedenen Ebenen möglich (z.B. auf Hypervisor- und Applikationsebene)
■ Standortübergreifende Datensicherung
■ Automatische Migration bzw. Kopie von Sicherungsdaten auf unterschiedliche Sicherungsmedien
■ Volle Unterstützung von Open-Source Betriebssystemen auf Backup-Client- und Backup-Server-Seite
■ Gesetzeskonforme Sicherung aller Unternehmensdaten
■ Gewährt die Netzwerksicherheit in Firewall-Umgebungen durch Einschränken der Kommunikation und des Datentransports auf wenige, dedizierte Ports
■ Geplanter und automatischer Restore auf Stand-by-Systeme zum Verifizieren der Backups (für Audits verwendbar bzw. dokumentierbar)
■ Disaster-Recovery-Tests im laufenden Betrieb inklusive Reporting bei physikalischen Umgebungen (Voraussetzung: Test-Target-Server) und virtuellen Umgebungen
Mit SEP sesam sind die Daten 24×7 geschützt und immer verfügbar. Diese Backup-Lösung zeichnet sich durch eine Vielzahl an Zertifizierungen für namhafte Applikations-, System- und Hardware-Anbieter aus (u.a. SAP, Oracle, Novell, Red Hat, SUSE, Citrix, Microsoft, VMware, IBM, Fujitsu, Intel). Dies ist sehr wichtig, da diese Zertifizierungen gewährleisten, dass der original Hersteller-Support nicht verloren geht. Die vielseitige und ökonomische Datensicherung von SEP ist bestens geeignet für kleine, mittlere bis hin zu sehr großen Unternehmen und Organisationen und integriert sich nahtlos in jede IT-Umgebung.
Die technologische Lösung kann nur einen Teil der gesamten »Compliance-Lösung« darstellen und muss Hand in Hand an die vorher beschriebenen organisatorischen Maßnahmen, Prozesse, Konzepte, Risiko-Analysen, Dokumentationen, etc. gekoppelt werden, um so zu einer ganzheitlichen »rechtskonformen« Lösung zu werden. Mehr Informationen dazu im White-Paper von Rechtsanwalt und Fachanwalt für IT-Recht Dr. Jens Bücking.
SEP AG
Konrad-Zuse-Straße 5, 83607 Holzkirchen
Tel. +49 (0) 8024/463 31-0
E-Mail: [email protected]