Sechs Anforderungen der EU-DSGVO zeitnah erfüllen Cloud Data Management als wichtiges Element

10. Juli 2017

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) – oder in der international gebräuchlichen englischen Bezeichnung „General Data Protection Regulation“ (GDPR) – ist eine weitreichende Regulierung. Sie zielt darauf ab, die Datenschutzgesetze in ganz Europa zu standardisieren, den Datenschutz der EU-Bürger zu gewährleisten und den Umgang der Unternehmen mit privaten Daten neu zu definieren. Welche wichtige Rolle dem Cloud Data Management in diesem Zusammenhang zufällt, erklärt das Unternehmen Rubrik.

GDPR-Compliance

Quelle: Rubrik

Durch die Nutzung moderner Datenmanagement-Lösungen lässt sich eine GDPR-Compliance einfacher erreichen. Dazu sollten Unternehmen an Datenmanagement-Lösungen denken, die folgenden Anforderungen gerecht werden:

•    Abdeckung moderner Enterprise-IT-Umgebungen vom Rechenzentrum bis zur Cloud bei gleichzeitiger Gewährleistung der End-to-End-Datensicherheit (durch Datenverschlüsselung).
•    Bewältigung des digitalen Datenwachstums, so dass Daten in einem System verwaltet werden können.
•    Automatisierung von Datenschutzrichtlinien und der Stilllegung von Daten im Rahmen von SLAs und angemessenen Aufbewahrungsfristen.
•    Bereitstellung von Sichtbarkeit und Berichterstattung über Datenaufbewahrung, Compliance sowie System-, Benutzer- und Log-Ereignisse.
•    Definition und Umsetzung einer feinkörnigen Überwachung des Benutzerzugriffs auf die Daten.

„Dieser Herausforderungen könnten mit einem Plattform-Ansatz bewältigt werden, der eine komplexe Landschaft von punktuellen Lösungen ersetzt, die mühsam zusammengefügt werden müssen, um den heute erforderlichen Datenschutz zu bieten. Unternehmen können eine einzige Oberfläche verwenden, um den Lebenszyklus ihrer Daten – von der Erstellung bis zur Stilllegung – zu verwalten“, erklärt Roland Stritt, Director Channels EMEA bei Rubrik. „Konventionelle Datensicherungs- und Datenschutzlösungen neigen aufgrund ihrer architektonischen Komplexität und nicht gegebenen Skalierbarkeit dazu, die Datenlandschaft zu fragmentieren. Dies erschwert es für Unternehmen, den Anforderungen seitens der GDPR gerecht zu werden.“

Auswirkungen auf Datenmanagement

Im Folgenden findet sich eine Zusammenfassung der wichtigsten GDPR-Änderungen, die das Datenmanagement beeinflussen und wie ein Plattform-Ansatz für Cloud Data Management dabei helfen kann, die GDPR-Vorgaben zu erfüllen:

Unternehmen müssen dafür verantwortlich sein, wie sie den Datenschutz und die Datensicherung durch technische und organisatorische Maßnahmen (Art. 5) umsetzen. Mittels einer Lösung mit umfangreichen Reporting-Fähigkeiten können Unternehmen ihre Compliance demonstrieren.

Unternehmen sollten Plattformen mit Tools verwenden, die eine benutzerdefinierte visuelle Berichterstattung über Aufbewahrung, Compliance und Kapazität liefern. Benutzerdefinierte Berichte müssen mit wenigen Klicks konfiguriert werden, um die gesamte Umgebung, lokal vor Ort bis in die Cloud, zu erfassen. System-, Benutzer- und Log-Ereignisse müssen ebenfalls leicht zugänglich sein.

Die Definition von Anwendungsfällen und die Verwaltung der Einwilligung (Art. 6) ist erforderlich, damit Unternehmen einheitlich bei der Erhebung von Daten und beim Einholen der Zustimmung seitens der EU-Bürger vorgehen. Die Daten sollten gelöscht werden, wenn der jeweilige Anwendungsfall abgeschlossen ist. Um dem zu entsprechen, müssen Unternehmen die erforderlichen Richtlinien zur Datenaufbewahrung und Datenlöschung von der Datenerfassung bis zur Speicherung umsetzen.

Mit einem Plattform-Modell für Cloud Data Management können Unternehmen den Prozess für die Speicherung und Löschung von Daten vereinfachen. Die Benutzer definieren erstens Aufbewahrungsrichtlinien, die den Business-SLAs oder Datennutzungsfällen entsprechen, und zweitens, für welche Datensätze diese Richtlinien gelten. Idealweise läuft die Durchführung dieser Richtlinien automatisiert und die Berichterstattung zeigt auf, ob die Compliance erfüllt ist.
Das Recht, vergessen zu werden (Art. 17), verlangt, dass Unternehmen personenbezogene Daten löschen, wenn Betroffene die Löschung von personenbezogenen Daten verlangen.

Das Cloud Data Management beschleunigt die Datenerfassung für abgelaufene Daten durch eine globale prädiktive Suchtechnologie. Lösungen wie die von Rubrik indizieren alle Daten innerhalb des Systems und verwalten Metadaten für alle Daten, die vor Ort oder in der Cloud vorgehalten werden. Benutzer führen Google-ähnliche Suchvorgänge durch, geben ihre Abfrage ein und eine Plattform liefert sofort prädiktive Suchergebnisse aus dem ganzen System.

Stand der Technik

Der Terminus „Standardmäßiger Datenschutz nach dem Stand der Technik“ (Art. 25) verlangt, dass der Datenschutz in die Entwicklung von Geschäftsprozessen für Produkte und Dienstleistungen integriert ist, anstatt den Datenschutz zu einem späteren Zeitpunkt zu ergänzen. Artikel 23 fordert zudem, dass Unternehmen nur die Daten vorhalten und verarbeiten sollten, die für die Abwicklung des Anwendungsfalls unbedingt notwendig sind (Datenminimierung). Sie sollten zudem den Zugang zu personenbezogenen Daten auf die Mitarbeiter begrenzen, die diese Daten zur Verarbeitung benötigen. Datenschutzeinstellungen müssen standardmäßig auf einem hohen Niveau vorgenommen werden.

Durch das Cloud Data Management können Unternehmen End-to-End-Verschlüsselung zur Durchsetzung der Datensicherheit und Privatsphäre einsetzen. Benutzer können wählen zwischen hardware- oder softwarebasierter Verschlüsselung sowie Verschlüsselung von Daten im Ruhezustand. Für die hardwarebasierte Verschlüsselung bietet sich eine FIPS 140-2 Level-2-zertifizierte Lösung. Für softwarebasierte Verschlüsselung eignet sich die AES-256-Verschlüsselung.

Alle Daten, die an die öffentliche oder private Cloud (Objektspeicher, NFS) geschickt werden, werden in Bewegung („in-flight“) und im Ruhezustand („at-rest“) verschlüsselt, um den Datenschutz unabhängig vom Standort der Daten zu gewährleisten. Unternehmen können idealerweise auch eine granulare Überwachung von Benutzerdaten über rollenbasierte Zugriffskontrolle (spezifische Rollen werden Datenobjekten zugeordnet) definieren und umsetzen. Dies beschränkt den Datenzugriff auf diejenigen Benutzer, die die Daten verarbeiten.

Unternehmen müssen das Risiko der Verarbeitung und des Zugriffs auf personenbezogene Daten beurteilen und Maßnahmen für ein angemessenes Sicherheitsniveau umsetzen (Art. 32). Dazu gehört auch die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten umgehend wiederherzustellen. Die Erfüllung dieser Sicherheitsmaßnahmen sollte regelmäßig getestet und evaluiert werden.

Eine Plattform für Cloud Data Management beschleunigt die Wiederherstellung nach Sicherheitsverletzungen, einschließlich Ransomware-Angriffen. Die Daten werden in einem unveränderlichen Format gespeichert. Unternehmen sind somit schnell wieder handlungsfähig – ohne Datenverlust, Ausfallzeiten und Lösegeldzahlung. Gut ist auch die Nutzung von Instant Recovery- (Live Mount) und einer API-first-Plattform, um die Wiederherstellung von Dateien und Anwendungen zu automatisieren. Unternehmen können eine Live Mount- Funktion auch nutzen, um ihren Disaster-Recovery-Plan zu testen, ohne dabei Produktions-Workloads zu beeinträchtigen. Zudem ist dann keine Erstellung einer separaten Kopie für Dev/Test oder Disaster Recovery erforderlich.
Unternehmen, die Cloud-Dienste nutzen, sollten verstehen, welche Daten in der Cloud gespeichert werden, wo diese liegen und wie die Compliance erfüllt wird. Datenübertragungen in Länder außerhalb der EU sollten in Länder mit ähnlichen Standards im Datenschutz erfolgen (Art. 44-50).

Eine zeitgemäße Cloud Data Management-Lösung muss für das Cloud-Zeitalter entwickelt sein. Wenn Unternehmen Cloud-Dienste nutzen, benötigen sie eine benutzerdefinierte Berichterstattung. Benutzer müssen erkennen, welche Daten in der Cloud gespeichert sind, wo sie vorgehalten werden und ob die Compliance erfüllt ist. (rhh)

Hier geht es zu Rubrik

Lesen Sie auch