Parradee - stock.adobe.com
Mangelnde Datentransparenz gefährdet Sicherheit und Compliance
Viele Unternehmen verschärfen Risiken unbewusst: Sie speichern Daten weit über die Aufbewahrungsfristen hinaus und verlieren die Kontrolle über unstrukturierte Daten.
Datenschutzverletzungen im großen Maßstab sind nach wie vor an der Tagesordnung. Abgesehen von den schwerwiegenden finanziellen und operativen Auswirkungen, die solche Vorfälle fast zwangsläufig mit sich bringen, leidet auch der Ruf des betroffenen Unternehmens. Zunehmend werden Datenlecks auch Gegenstand von Sammelklagen, weil die geschädigten Kunden oder Partner ihre Ansprüche auf rechtlichem Weg geltend machen wollen.
Eine wachsende Herausforderung für Unternehmen ist, dass eine zu lange Datenaufbewahrung die Auswirkungen von Datenschutzverletzungen noch verschärft. Viele Unternehmen speichern Informationen weit über gesetzliche oder interne Aufbewahrungsfristen hinaus, ohne sich über die damit verbundenen Risiken und Konsequenzen im Klaren zu sein. Denn: Werden ältere, unnötig vorgehaltene Daten kompromittiert, vervielfacht sich dadurch nicht nur das Ausmaß des jeweiligen Verstoßes, sondern auch der potenzielle Schaden im Falle eines nachfolgenden Rechtsstreits. Unternehmen sollten deshalb unbedingt vermeiden, dass redundante Daten ihr Risikoprofil vergrößern.
Leider haben es sich viele Unternehmen zur schlechten Angewohnheit gemacht, standardmäßig einfach sämtliche Daten zu speichern. Manche tun dies als Vorsichtsmaßnahme, um eventuelle Compliance-Verstöße durch fehlende Informationen zu vermeiden. Für andere wiederum spielt der potenzielle Wert der Daten eine Rolle, insbesondere im Zeitalter von generativer künstlicher Intelligenz (GenAI). Viele Unternehmen sammeln Daten aus allen verfügbaren Quellen, weil sie diese grundsätzlich als wertvoll erachten, selbst wenn sie noch keine spezifische Verwendung dafür haben.
Auf Dauer kostspielig
Ungeachtet der Beweggründe hat die langfristige Datenaufbewahrung Konsequenzen. Zunächst einmal ist sie auf Dauer kostspielig. Anstatt ihr Datenmanagement zu verbessern, vergrößern Unternehmen oft lediglich ihre Speicherkapazitäten, um die steigenden Datenmengen unterzubringen. Das kann teuer werden, denn mit der Einführung von KI-Anwendungen wachsen auch die Datenvolumen immer schneller. Maschinell generierte Inhalte, Edge-Systeme, IoT-Lösungen sowie GenAI-Workloads sorgen ununterbrochen für die Entstehung neuer Datensätze. Auch deshalb machen unstrukturierte Daten mittlerweile mit geschätzten 80 bis 90 Prozent des Gesamtvolumens den Großteil der gespeicherten Unternehmensinformationen aus. Viele Firmen verwalten bereits Daten im Petabyte-Bereich.
Hinzu kommt, dass die Architektur, die modernen Datenlandschaften zugrunde liegt, im Allgemeinen gleich mehrere Speicheranbieter, Cloud-Plattformen und Anwendungsumgebungen umfasst. Das erschwert eine zentralisierte Verwaltung, denn viele Datenmanagement-Tools sind speziell für anbieterspezifische Ökosysteme ausgelegt und eignen sich nicht für hybride oder Multi-Cloud-Umgebungen. Die mangelnde Integration zwischen Standorten und Plattformen führt zu inkonsistenten Datenrichtlinien und operativen Reibungsverlusten. In hybriden Umgebungen ist es zudem aufwendiger, duplizierte Daten zu erkennen und zu konsolidieren.
Auswirkungen auf Governance und Compliance
Damit entstehen gravierende Governance- und Compliance-Herausforderungen. Wenn sich unstrukturierte Daten unkontrolliert ansammeln, dann verlieren Unternehmen schnell den Überblick darüber, welche Daten ihnen eigentlich vorliegen, wie alt diese sind, wer für sie jeweils verantwortlich ist und ob sie überhaupt noch einen geschäftlichen Zweck erfüllen.
Die unmittelbare Folge unzureichender Transparenz: unzureichende Governance. Große Mengen veralteter, inaktiver oder verwaister Dateien bleiben in Produktionssystemen liegen, weil niemand über die erforderlichen Informationen oder Befugnisse verfügt, um zuverlässige Entscheidungen zu ihrem Lebenszyklus zu treffen. Kurz, es wird immer schwieriger nachzuvollziehen, wie die Daten zu klassifizieren und zu verwalten sind.
„Unternehmen bleibt nichts anderes übrig, als die Kontrolle über ihre Daten zurückgewinnen. Dazu brauchen sie einen neuen Ansatz beim Datenmanagement, der unternehmensweite Transparenz bezüglich der gespeicherten Daten ermöglicht. Eine solche solide Grundlage ist die Voraussetzung für langfristig effektive Governance-Prozesse.“
Sascha Hempe, Datadobi
Governance-Frameworks erfordern überdies ein regelmäßiges Auditing. Doch viele Unternehmen sind gar nicht in der Lage, Audits im benötigten Umfang durchzuführen. Lebenszyklusregeln werden kaum durchgesetzt, weil die Governance-Prozesse unzulänglich sind. Selbst Dateien, die schon über lange Zeiträume weder abgerufen noch geändert wurden, verbleiben neben den aktiven Daten weiter in den IT-Systemen. Das treibt die Speicherkosten in die Höhe – und bringt vermeidbare Risiken mit sich. Mit der Zeit steigt bei fehlender Daten-Governance das Risiko eines Compliance-Verstoßes erheblich.
Wie problematisch das sein kann, zeigt das Beispiel eines bekannten Unternehmens. Es erlitt eine Datenschutzverletzung, die mehrere Sammelklagen zur Folge hatte. Internen Audits zufolge waren in den Produktionssystemen Informationen weit über die vorgeschriebene Aufbewahrungsfrist von zehn Jahren hinaus gespeichert. Dadurch hatte sich der Umfang der vom Vorfall betroffenen Daten erheblich vergrößert.
Das Unternehmen führte daraufhin monatliche Überprüfungen ein, um Daten zu identifizieren, deren Aufbewahrungsfrist abgelaufen war, und sie in eine von den Produktionssystemen getrennte Archivumgebung zu verschieben. Dank der Durchsetzung klar definierter Lebenszyklusrichtlinien konnte es die Menge nicht mehr benötigter Daten in seinen aktiven Systemen reduzieren. Zugleich verringert der neue Datenmanagement-Ansatz das Risiko, dass ruhende oder veraltete Daten die Auswirkungen künftiger Vorfälle verschärfen.
Umdenken gefordert
Unternehmen bleibt nichts anderes übrig, als die Kontrolle über ihre Daten zurückgewinnen. Dazu brauchen sie einen neuen Ansatz beim Datenmanagement, der unternehmensweite Transparenz bezüglich der gespeicherten Daten ermöglicht. Eine solche solide Grundlage ist die Voraussetzung für langfristig effektive Governance-Prozesse. Unter anderem gilt es zu entscheiden, welche Dateien aus primären Speichern in Archivspeicher verschoben und welche Daten vollständig gelöscht werden können.
Unternehmen sollten außerdem versuchen, ihre Daten aus unterschiedlichen Quellen zu integrieren, um einen zentralen Überblick über ihre unstrukturierten Datenbestände zu erlangen. So können sie konsistente Richtlinien durchsetzen und die Entstehung von Duplikaten sowie ein unkontrolliertes Datenwachstum eindämmen. Mit richtlinienbasiertem Lifecycle-Management lässt sich das Aufbewahren, Archivieren und Löschen von Daten nach definierten Geschäftskriterien automatisieren. Dabei helfen anbieterunabhängige Tools, die sich in heterogenen, anbieterübergreifenden und hybriden Umgebungen einsetzen lassen.
Weltweit stehen Unternehmen unter permanentem Druck, immer mehr Daten zu erfassen und zu verarbeiten. In diesem Umfeld ist ein besseres Datenmanagement die einzige sinnvolle Möglichkeit, um Compliance-Verstöße und unnötige Sicherheitsrisiken zu vermeiden. Wer dieses Thema weiter ignoriert, wird sich früher oder später mit komplexen und teuren Problemen konfrontiert sehen.
Über den Autor:
Sascha Hempe ist Regional Sales Manager DACH & Nordics bei Datadobi. Er ist ein Vertriebsprofi mit 18 Jahren Erfahrung in der Technologie- und Softwarebranche. Seit Juli 2021 ist er als Regional Sales Manager bei Datadobi für die Umsetzung strategischer Vertriebsinitiativen und den Aufbau starker Kundenbeziehungen in der Region verantwortlich und trägt maßgeblich zum Unternehmenswachstum bei.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
