4 Methoden zur Sicherstellung der Konformität Ihres Datensicherungsprozesses

Starke Backup- und Wiederherstellungsprozesse waren schon immer ein wesentlicher Bestandteil jeder umsichtigen Unternehmensstrategie, aber die Gründe dafür, in diesem Bereich die Führung zu behalten, sind heute stärker denn je. In einem Umfeld, in dem Datenschutz und Sicherheit sowohl für die Kunden als auch für die Aufsichtsbehörden oberste Priorität haben, werden die Compliance-Gesetze zur Sicherung sensibler Daten immer strenger.

Eine der größten Änderungen in der Datenschutz-Gesetzgebung ist die Allgemeine Datenschutzverordnung (DSGVO) der EU, die ab dem 25. Mai 2015 anzuwenden ist und eine Vielzahl von geänderten und verschärften Vorschriften mit sich bringt, die festlegen, wie Unternehmen mit personenbezogenen Daten sowohl ihrer Kunden als auch ihrer Mitarbeiter umgehen müssen.

Da auch viele andere Regulierungsbehörden ihre Datenschutzbestimmungen verschärfen, zahlt es sich jetzt schnell aus, die Einhaltung dieser Vorschriften in den Vordergrund zu stellen. Hier einige der wichtigsten zu berücksichtigenden Punkte.

1. Wo sind Ihre Daten?

Bei herkömmlichen Backup-Methoden werden die Daten typischerweise auf ein Band, eine Festplatte oder ein anderes physisches Medium kopiert, das dann an einen sicheren externen Ort gebracht wird. Dies wird jedoch immer unpraktischer für viele Unternehmen, so dass Lösungen wie Cloud-Backups der Vorzug gegeben wird. Dies kann aber auch eigene Probleme mit sich bringen, da dies im Gegensatz zu älteren Methoden dazu führen kann, dass die Unternehmen vielleicht gar nicht mehr wissen, wo genau ihre Daten liegen.

Dies kann zu ernsthaften Compliance-Problemen führen, wenn Daten an einem Gerichtsstand mit abweichenden Datenschutz- und Sicherheitsvorschriften aufbewahrt werden. Daher ist es wichtig, dass die Unternehmen genau wissen, wo ihre Daten gespeichert werden. Der Idealfall ist die Aufbewahrung im gleichen rechtlichen Umfeld wie das der primären Datenbanken, da dies Konflikte reduziert. Informieren Sie sich daher bei Drittanbietern unbedingt darüber, wo sich deren Server physisch befinden.

2. Frühzeitige Sicherung, häufige Sicherung

Verordnungen wie die DSGVO geben den Bürgern das Recht, genau zu wissen, welche Daten Unternehmen von ihnen haben, was bedeutet, dass diese Informationen genau und aktuell sein müssen. Wenn Sie diese Daten nur einmal pro Woche oder gar nur monatlich sichern, kann Ihr Unternehmen in die Gefahr der Verletzung von Compliance-Regeln geraten, wenn Sie sich aus irgendeinem Grund einmal auf solch seltene Backups verlassen müssen.

Daher sollten Sie Ihren Ansatz für die Häufigkeit Ihrer Backups überdenken und, wenn möglich, sicherstellen, dass den unter den Datenschutz fallenden Daten besonders hohe Priorität eingeräumt wird. Moderne Cloud-Systeme machen dies viel einfacher als ältere physikalische Medien, so dass es in der heutigen Umgebung keine Entschuldigung mehr dafür gibt, die Aufzeichnungen in Ihren Backup-Systemen nicht aktuell zu halten.

3. Testen, Testen, Testen

Eine der besten Möglichkeiten, um zu zeigen, dass Ihr Unternehmen den Vorschriften entspricht - in allen Bereichen, nicht nur bei Backups -, ist ein häufiges angewendetes, gut dokumentiertes Testprogramm, das den Behörden beweist, dass Sie mit den möglichen Problemen Schritt halten und immer die neuesten Regeln auf Ihre Betriebsabläufe anwenden.

Ganz allgemein empfiehlt es sich, Backup- und Disaster-Recovery-Tests so oft wie möglich durchzuführen. Doch viele Unternehmen tun dies derzeit nicht. Eine Studie von Kroll Ontrack aus dem Jahr 2017 ergab zum Beispiel, dass fast ein Viertel der Unternehmen (24 Prozent) ihre Backup-Verfahren nie testen, während 14 Prozent es nur einmal im Jahr tun. In der heutigen Umgebung ist das bei weitem nicht genug. Außerdem ist ein regelmäßiger Prüfplan nicht nur gut für die Einhaltung der Vorschriften - Kroll Ontrack fand heraus, dass bei einem Viertel der Unternehmen, die Datenverluste erlitten, die Backups nicht richtig funktioniert hatten

4. Vergessen Sie nicht das Recht, vergessen zu werden.

Eine neue Vorschrift, die für Unternehmen auf der ganzen Welt besonders wichtig wird, ist Artikel 17 der DSGVO, der das „Recht einer Person, vergessen zu werden“ regelt, d.h., dass ihre Daten gelöscht werden müssen, sobald sie nicht mehr relevant sind. Dieses Recht wurde bereits von europäischen Gerichten in Bezug auf Bereiche wie die Suchergebnisse von Google durchgesetzt, aber alle Bürger der EU haben nun das Recht, von jedem Unternehmen die Löschung ihrer Daten zu verlangen.

Dies kann beim Backup komplex sein, da es möglicherweise schwierig oder sogar unmöglich ist, einzelne Datensätze von Backup-Servern zu entfernen. Wenn veraltete Daten im Rahmen eines Standard-Speicherungsplans eines Unternehmens jedoch automatisch ausgemistet werden, kann dies alle gesetzlichen Anforderungen erfüllen. Daher sollten Unternehmen darüber nachdenken, wie lange sie ihre Backups wirklich aufbewahren und wann sie auf andere Lösungen wie Archivierung zurückgreifen müssen.