Maßnahmen und Technik beim Backup[Gesponsert]

Datensicherheit in Zeiten der DSGVO

| Autor: Andreas Mayer

Ineinandergreifen der SEP-Sicherheitsmechanismen
Ineinandergreifen der SEP-Sicherheitsmechanismen (Bild: SEP)

Obwohl seit dem 25.05.2018 nach einer zweijährigen Übergangsfrist die DSGVO nun unmittelbar anwendbar ist, haben eine Vielzahl der Unternehmen diese noch nicht umgesetzt.

Nach einer Studie von Carmao haben 43 Prozent der befragten Unternehmen zu Ende Mai 2018 die Maßnahmen zur Umsetzung der DSGVO abgeschlossen, jedoch werden 39 Prozent diese erst bis Ende 2018 abgeschlossen haben und 18 Prozent sogar erst 2019 oder später. Das EU-DSGVO Thema ist und bleibt also brandaktuell.

Wirkungsbereich der DSGVO

Der Wirkungsbereich der DSGVO gilt für alle Unternehmen, die geschäftlich von der EU aus tätig sind bzw. Geschäftsbeziehungen zu Unternehmen/ Organisationen mit Sitz in der EU unterhalten oder Daten in EU-Mitgliedsstaaten sammeln, verarbeiten und speichern. Die DSGVO betrifft zudem Unternehmen außerhalb der EU, welche Geschäftsbeziehungen zu Unternehmen oder EU Bürgern in der EU mit personenbezogener Datenverarbeitung betreiben. Die Auswirkungen der DSGVO sind somit schon fast als weltweit anzusehen. Auftragsdatenverarbeiter (MSP/ Cloud-Provider) sind nun auch in der Pflicht die Daten rechtskonform zu behandeln und nicht wie bisher nur der Auftraggeber. Auftraggeber und Service-Provider müssen beide gemeinsam dafür sorgen, dass die Daten DSGVO-konform verarbeitet/ gehalten werden.

Personenbezogene Daten

Dies sind Daten, welche sowohl berufliche als auch private Informationen über eine Person beinhalten wie z.B. Namen, Fotos, E-Mail-Adressen, Bankdaten, Beiträge auf Social-Networking-Websites, medizinische Daten sowie auch die IP-Adressen.

Erforderliche Maßnahmen

Datenschutz- und Datensicherheitskonzepte sowie Datenschutz-Folgeabschätzungen sind zu machen. Die Datenschutzkonzepte müssen durch technisch-organisatorische Strategien und deren Umsetzung sicherstellen und nachweisen können, dass die DSGVO eingehalten wird. Dies soll auf der Grundlage einer Risikobewertung erfolgen, die zu dokumentieren ist, wie auch die hieraus abgeleiteten Maßnahmen in Bezug auf IT-Sicherheit und die von der IT ausgehenden unternehmensgefährdenden Risiken durch Datenverlust/ Verletzungen des Datengeheimnisses. Die technische Umsetzung muss dem aktuellen Stand der Technik entsprechen und dem Datenschutzniveau sowie den Risiken angemessen sein. Eine regelmäßige Soll-/ Ist-Analyse mit Risikobewertung und einer entsprechenden Datenschutz-/ Datensicherheits-Folgeabschätzung soll durchgeführt werden, um den Transparenz-, Dokumentations-, ADV- und Sicherheitsmanagementpflichten der DSGVO gerecht zu werden. Die organisatorischen Anforderungen der DSGVO werden um Datenschutz durch Technik ergänzt, was auf den gesamten Lebenszyklus der Daten und Technologien anzuwenden und zu dokumentieren ist.

Backup Software – die technische Komponente

Die Backup-Software stellt die technische Lösungskomponente zur Datensicherheit dar und muss entsprechende technische Anforderungen erfüllen sowie technische Mechanismen zur DSGVO-Konformität bereitstellen.

RPO und RTO basierte Business Continuity Strategie
RPO und RTO basierte Business Continuity Strategie (Bild: SEP)

Die Backup & Recovery Software SEP sesam liefert die technische Sicherheit, die zur Umsetzung der DSGVO benötigt wird. SEP sichert herstellerkonform und zertifiziert mit einer einzigen Lösung businesskritische Informationen in Applikationen, Datenbanken und Systemen (SAP, Oracle, Micro Focus, Red Hat, SUSE, Citrix, Microsoft, VMware, IBM, Fujitsu, Intel, …) sowohl in physikalischen als auch in virtuellen Umgebungen on-premise und in der Cloud. Aufgrund der immensen Wichtigkeit der businessrelevanten Daten wird eine umfassende Business Continuity Strategie benötigt, die auf Recovery Point Objectives (RPOs) und Recovery Time Objectives (RTOs) fokussiert, welche essentiell bei einem Disaster Recovery Szenario sind.

Die SEP sesam Hybrid Backup und Bare Metal Recovery Lösung verhindert Datenverlust und kann die gesamte Umgebung nach einem Disaster Szenario wiederherstellen z. B. bei:

Technologie-Bausteine: Umfassende Unterstützung und Abdeckung für das Business Continuity On-Premise und in der Cloud.
Technologie-Bausteine: Umfassende Unterstützung und Abdeckung für das Business Continuity On-Premise und in der Cloud. (Bild: SEP)

  • Höherer Gewalt
  • Hardware Fehlern
  • Menschlichen Fehlern
  • Datenkorruption
  • Logischen und Software Fehlern

Medienbruch: Offline-Medien (Bsp. Tape) für die Speicherung der SEP-Backup-Daten sind bei einer Ransomware-Attacke oft die einzige Möglichkeit nicht infizierte Daten wiederherzustellen, falls die Backup-Daten auf den Disksystemen befallen sein sollten.

Verschlüsselung ist ein zentrales Element, welches auch für die SEP Si3-Deduplizierung und -Replikation möglich ist. Nach Zerlegen des Datenstroms in Blöcke und der Komprimierung jedes Blocks, lässt sich jeder einzelne Block durch einen beliebig definierbaren Key verschlüsseln. Zum Recovery der Daten kann der Key in der Datenbank des Backupservers hinterlegt werden oder der Dateneigentümer muss eine Rücksicherung mit seinem persönlichen Key autorisieren. Diese Verschlüsselung garantiert BSI-Konformität.

Vielzahl technologischer Ansätze für die gesetzeskonforme Datensicherheit:

  • Verschlüsselung:
    – der Backups auf Sicherungsmedien (Band, DataStore, Si3 DedupStore)
    – des Datenstromes (on-premise und in die Cloud)
    – der Kommunikation
  • Externes Passwort für Rücksicherung nach 4-Augen-Prinzip
  • Effizientes DR für Windows und Linux
  • Frei von Spyware/Backdoors („Made in Germany“)
  • Medienbruch: unterstützt Offline- und WORM Medien
  • Gesetzeskonforme Sicherung der Daten auf verschiedenen Ebenen (z. B. auf Hypervisor- und Applikationsebene) und standortübergreifend möglich
  • Automatische Migration bzw. Kopie von Sicherungsdaten auf unterschiedliche Sicherungsmedien
  • Volle Unterstützung von Open-Source Betriebssystemen auf Backupclient- und Backupserver-Seite
  • Netzwerksicherheit in Firewall-Umgebungen durch Einschränken der Kommunikation und des Datentransports auf wenige, dedizierte Ports
  • Geplanter, automatischer Restore auf Stand-by-Systeme zum Verifizieren der Backups (für Audits verwendbar bzw. dokumentierbar)
  • DR-Tests im laufenden Betrieb inklusive Reporting bei physikalischen Umgebungen (mittels Test-Target Server) und virtuellen Umgebungen

Ganzheitliche Lösung ist entscheidend

Die technologische Lösung kann nur einen Teil der gesamten “Compliance-Lösung” darstellen und muss nahtlos an die vorher beschriebenen organisatorischen Maßnahmen, Prozesse, Konzepte, Risiko-Analysen, Dokumentationen, etc. gekoppelt werden, um so zu einer ganzheitlichen “rechtskonformen” Lösung zu werden. Mehr Informationen dazu finden Sie im Whitepaper von Rechtsanwalt und Fachanwalt für IT-Recht Dr. Jens Bücking.

Weiterführende Informationen:

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45406812 / Advertorials)