Aug
30

Business Continuity und die Datenschutzgrundverordnung

Business Continuity und die Datenschutzgrundverordnung

August 30
By

Die Angst vor einem Hacker-Angriff oder dem Verlust sensibler Firmendaten bereiten so manchem Geschäftsführer von Unternehmen schlaflose Nächte. Zu Recht, denn die Gefahrenlage hat sich in den letzten Jahre stark zugespitzt. Neben Angriffen von außen – wie die immer noch aktuelle Ransomware-Welle – sind es vor allem Fehler in der Hardware, Software oder Bedienfehler durch Anwender, die zu Datenverlust führen. Die Angst vor Datenverlust sollte Unternehmen aber nicht nur hinsichtlich eines drohenden Datenverlusts  beunruhigen, denn die Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) steht bevor. Das bedeutet, dass Unternehmen in ganz Europa sich darauf vorbereiten müssen, die Verordnung ab Mai 2018 einzuhalten.

Jeder Bürger hat das Recht, selbst zu entscheiden, wer welche Informationen über ihn erhält. Dieser Grundsatz der informellen Selbstbestimmung ist zwar alles andere als neu. Aber wenn am 25. Mai 2018 die EU-Datenschutz-Grundverordnung in Kraft tritt, wird er stärker denn je in das öffentliche Bewusstsein rücken. Neue Transparenz- und Informationspflichten für Unternehmen sollen zu einem deutlich besseren Schutz personenbezogener Daten führen. Die Verordnung gilt für jedes Unternehmen, das Daten zu EU-Bürgern verarbeitet. Der geografische Standort ist dabei unerheblich und die Nichteinhaltung der Verordnung kann mit einer Abgabe von bis zu vier Prozent des erzielten Gesamtumsatzes bestraft werden. Die DSGVO befasst sich auch mit dem Thema Daten-Wiederherstellung. Zu den angemessenen technischen und organisatorischen Mitteln gehören unter anderem laut Artikel 32(1) (a)-(d):

  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Unternehmen tun also gut daran sich zu rüsten – und ihre IT-Infrastruktur, Prozesse und Datenschutz-Richtlinien auf etwaige Verstöße zu prüfen und insbesondere auch hinsichtlich Disaster Recovery im Vorfeld geeignete Maßnahmen zu treffen. Doch wie sieht eine effektive Disaster Recovery-Lösung aus?

Lokale und extern Datensicherung

Backups müssen sicher und dennoch zugänglich aufbewahrt werden. Empfehlenswert ist der Best Practice-Ansatz, beim dem Daten zuerst auf einem lokalen Backup- und Wiederherstellungsgerät zu sichern sind und diese Backups dann an einem Offsite-Speicherort repliziert werden. Auf diese Weise sind Daten im Geschäftsbetrieb schnell vom lokalen Gerät wiederherstellbar und man verfügt auch über Offsite-Backups für den Fall, dass der gesamte Standort ausfällt. Damit hat man eine komplette Business Continuity-Lösung. Folgenden Punkte sollten bei der Auswahl einer Disaster Recovery-Lösung beachtet werden:

  • Lässt sich die lokale Backup- und Disaster Recovery-Infrastruktur skalieren?
  • Lässt sich die Sicherungshäufigkeit flexibel festlegen?
  • Lassen sich die Daten an einem Standort meiner Wahl (möglicherweise ein zweiter Standort im Unternehmen bzw. eine Private oder Public Cloud) und mit einem Zeitplan, der mir passt, replizieren?

Testen

Zudem sollten Unternehmen in der Lage sein, ihren Disaster Recovery-Plan zu testen.

Ein guter Disaster Recovery-Plan ist einfach zu testen. Nur so können Unternehmen verifizieren, dass ihre Ziele für die Wiederherstellungszeit erreicht werden.

Wiederherstellung

Leider versagen zahlreiche sogenannte „Disaster Recovery-Lösungen“ genau an dem Punkt, um den es ja eigentlich geht: Notfallwiederherstellung. Die Disaster Recovery muss in der Lage sein, die Daten jedes Mal und zeitnah wiederherzustellen. Wenn beispielsweise ein Problem wie Ransomware auftritt, müssen sich Administratoren zu 100  Prozent darauf verlassen können, dass sie ihre Daten wiederherstellen und weiterarbeiten können.

Folgende Fragen sind bei der Auswahl einer Lösung zu klären:

  • Wird die Lösung meinen RTOs/RPOs gerecht?
  • Wird die Lösung zuverlässig jedes Mal funktionieren?
  • Kann ich beim Ausfall eines physischen Servers die Daten in einer virtuellen Umgebung wiederherstellen – und umgekehrt?
  • Muss ich die Daten auf derselben Hardware wiederherstellen?

Fazit

Die DSGVO steht in den Startlöchern. Das heißt, Unternehmen in ganz Europa müssen sich darauf vorbereiten, die Verordnung ab Mai 2018 einzuhalten. Der wichtige erste Schritt dahin ist die Implementierung einer effektiven Disaster Recovery-Lösung.