Free1970 - stock.adobe.com
Disaster-Recovery-Regeln erschweren die Compliance
Viele Firmen haben Probleme bei der Einhaltung der jüngsten Datenvorschriften. Disaster Recovery stellt eine zusätzliche Schwierigkeit bei der Erfüllung dieser Anforderungen dar.
Regulierungen und Vorgaben in der IT sind nichts Neues. HIPAA und der Sarbanes-Oxley Act zum Beispiel gibt es schon seit Jahrzehnten. Neuere Vorschriften wie die EU-DSGVO und der California Consumer Privacy Act sind jedoch weitaus weitreichender in ihrem Geltungsbereich und in den Verpflichtungen, die sie denjenigen auferlegen, die Daten verwalten. Da sich immer mehr Gerichtsbarkeiten dem Trend anschließen, Vorschriften rund um Daten zu erlassen, wird es wahrscheinlich noch komplexer werden und Firmen müssen sich diesem Umstand stellen.
Da sich die IT-Vorschriften im Allgemeinen darauf konzentrieren, wie Unternehmen sicherstellen, dass Systeme zur Verwaltung personenbezogener Daten betriebsbereit und verfügbar sind, stellen sie potenziell ein Problem für die Geschäftskontinuität (Business Continuity) und Disaster-Recovery-Prozesse (DR) dar.
Traditionelles DR ist oft entweder mit doppelten Rechenzentren mit redundantem Failover oder mit der Beauftragung einer dritten Partei für die redundante Infrastruktur verbunden. Sowohl nach dem kalifornischen Consumer Privacy Act als auch nach der DSGVO erfordert nun jeder Antrag auf Zugriff oder Löschung von Daten, dass diese im redundanten Speicher gesicherten Daten ebenfalls gelöscht werden, um sicherzustellen, dass die persönlich identifizierbaren Daten auch dort eliminiert werden, sagt Ryan O'Leary, leitender Forschungsanalyst im Programm für Recht, Risiko und Compliance bei IDC.
Modernes DR verkompliziert Vorschriften
„Das andere Problem ist, dass die Vorschriften für Disaster Recovery nicht nur auf physische Katastrophen beschränkt sind, sondern auch auf Malware und andere Cyberattacken“, erklärt O'Leary. „Wir werden wahrscheinlich einen erhöhten Betrag an Investitionen in Cyberversicherungen sehen, was natürlich vom Ausgang des Falles Mondelez gegen Zürich abhängt.“ Dies ist ein hochkarätiger Testfall, bei dem es um Cyberverluste ging, die von einer führenden amerikanischen multinationalen Süßwaren-, Lebensmittel- und Getränke-Holdinggesellschaft und ihrem Versicherer erlitten wurden.
O'Leary sagt, dass das Analystenunternehmen IDC die Geldbußen und Fälle im Zusammenhang mit GDPR im ersten Jahr untersucht habe. Der Grund für die bei weitem größte Zahl der Bußgelder waren unzureichende Sicherheitsmaßnahmen, die sich auf insgesamt 319 Millionen Euro (ca. 344 Millionen Dollar) beliefen.
Das deutet darauf hin, dass Unternehmen, die in der Europäischen Union tätig sind, in Sicherheitsmaßnahmen investieren müssen, um sich nicht nur vor Cyberbedrohungen, sondern auch vor den Kosten zu schützen, die die Disaster-Recovery-Vorschriften mit sich bringen können. „Ein Ransomware-Angriff ist schlimm, aber es kann noch schlimmer werden, wenn man eine Multimillionen-Euro-Strafe draufsetzt“, betont er.
Der leitende ESG-Analyst Christophe Bertrand fügt an, dass die neue Art von Disaster-Recovery-Vorschriften die Grundidee gemeinsam hätten, dass Daten eine Erweiterung der individuellen Rechte einer Person darstellen.
Während einige diesen Punkt vielleicht argumentieren möchten, ist die Realität, dass dies die Richtung ist, in die das Gesetz geht. Eine spezifische Facette der DSGVO, die Organisationen große Kopfschmerzen bereitet, ist das „Recht, vergessen zu werden“, was bedeutet, dass Sie verlangen können, dass Ihre Daten anderen nicht mehr zur Verfügung gestellt werden.
Aber in den meisten Fällen, so Bertrand, „kann man die Daten nicht einfach loswerden, denn meistens verlangen andere Vorschriften, dass man sie aufbewahrt“. Ein offensichtliches Beispiel ist eine Bank, bei der Sie einen Kredit haben. Sie können nicht einfach darum bitten, vergessen zu werden, denn das würde den Sinn der Transaktion, die Sie vorgenommen haben, zunichte machen.
In der Praxis bedeute das Recht, vergessen zu werden, dass Unternehmen, die Daten besitzen, diese mit Sorgfalt und Vorsicht verwalten und sie nur denjenigen zur Verfügung stellen müssen, die ein berechtigtes Bedürfnis haben, auf sie zuzugreifen, erläutert Bertrand.
Datenvolumen und -format bringen Herausforderungen
Eine weitere Herausforderung bei der Einhaltung moderner Disaster-Recovery-Vorschriften besteht darin, dass die Organisationen oft nicht wirklich wissen, welche Daten sie haben, wo sie sind oder wie viel davon vorhanden sind. „Die Organisationen werden immer besser darin, aber sie haben noch einen langen Weg vor sich“, meint Bertrand. Das ist der erste Teil der Herausforderung. Der zweite ist, dass selbst wenn es ihnen gelingt, eine Aufzeichnung zu löschen oder sie innerhalb der Primärquelle oder der Primärquellen ordnungsgemäß zu kontrollieren, die Chancen gut stehen, dass sie auch irgendwo in zusätzlichen Backups vorhanden ist. Und auch die dort aufbewahrten Daten müssen angemessen geschützt oder eben vernichtet werden.
„Es muss einen Mechanismus geben, der sicherstellt, dass Informationen nicht sichtbar sind, weshalb es im Zusammenhang mit der kalifornischen Vorschrift viele Diskussionen über Maskierung und Anonymisierung und Pseudoanonymisierung gegeben hat“, führt Bertrand an.
Für strukturierte Daten ist all dies relativ unkompliziert. Zum Beispiel ist es eine leicht zu definierende Aufgabe, Sozialversicherungsnummern zu erkennen und dann zu schützen. Bei unstrukturierten Daten wie E-Mails und Word-Dokumenten „braucht der Markt Werkzeuge, um Daten wirklich zu analysieren, zu identifizieren und zu klassifizieren, damit auf sie reagiert werden kann“, so Bertrand.
Dieser Prozess wird nicht einfach sein, warnt Greg Schulz, Gründer und Senior Advisory Analyst bei StorageIO. Je nachdem, wo und wie die Daten geschützt werden, wird wahrscheinlich ein gewisses Maß an administrativem Zugriff erforderlich sein, was im Hinblick auf die strengste Definition von Compliance ein Problem darstellen könnte. „Es kann sein, dass die Daten in einem Format oder Container gespeichert werden müssen, das nur durch einen ganz bestimmten Mechanismus oder eine ganz bestimmte Anwendung freigeschaltet werden kann, vorzugsweise ohne zu viel Komplexität zu verursachen“, sagt er.
Auf der positiven Seite meint Schulz, es sei wahrscheinlich, dass bestehende Anbieter Tools entwickeln würden, die helfen, aber in der Zwischenzeit würden sie wahrscheinlich „am Thema vorbeilaufen“. „Eine Möglichkeit ist, mit Anbietern eine Geheimhaltungsvereinbarung einzugehen und herauszufinden, wie deren Roadmap aussieht, um zu sehen, wie und wann das Problem angegangen wird“, sagt er. „Hoffentlich müssen Sie nicht alles in der Infrastruktur ersetzen, um diese Herausforderung zu lösen.“
Sprechen Sie in der Zwischenzeit mit Ihrer Rechtsabteilung über die möglichen Auswirkungen von Disaster-Recovery-Vorschriften auf Ihre Organisation. „Definieren Sie, was jetzt getan werden kann und was nicht, und stellen Sie sicher, dass sie sich der potentiellen Gefährdung bewusst sind“, sagt Schulz. Und vor allem, ignorieren Sie es nicht einfach. „Das ist das Schlimmste, was Sie tun können.“
Bertrand meint abschließend, obwohl einige Softwarefirmen beginnen, Werkzeuge anzubieten, werde es wahrscheinlich Jahre dauern, bis größere Organisationen mit vielen Daten wirklich sicher sein können, dass sie die neuen Herausforderungen in Bezug auf Datenschutz und Compliance gemeistert haben.
