Die EU-Kommission hat die Regeln für die Datenwirtschaft weiter modernisiert. Die Rekord-Bußgelder bei der DSGVO aus den vergangenen zehn Monaten legen offen, dass Firmen bereits überfordert sind, bestehende Regeln einzuhalten.
Die Aufgabe wird schwerer, da neue Vorgaben hinzukommen und die Menge der Daten wächst. Es ist Zeit, dass Firmen ihr Datenmanagement grundsätzlich überdenken, um endlich die Kontrolle zurückzugewinnen und Compliance-Risiken einzudämmen.
DSGVO: Bereits 1,6 Milliarden Euro Bußgeld
Etwa 1,6 Milliarden Euro, auf diese Zahl summieren sich alle Bußgelder, die seit der Einführung der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 gegen Firmen verhängt wurden. Organisationen aus der ganzen Welt wurden für Verstoße geahndet. Allein in den vergangenen 12 Monaten haben europäische Datenschutzbehörden schwere Strafen gegen fünf prominente amerikanische Unternehmen aus dem Technologiebereich verhängt. Diese fünf Fälle stehen für Geldstrafen in Höhe von mehr als 1,2 Milliarden Euro.
Auch die Zahl der gemeldeten Verstöße gegen die DSGVO ist im gleichen Zeitraum von 639 auf 1037 schneller denn je gestiegen. Wenn die Verordnung am 25. Mai ihren vierten Jahrestag feiert, wird 2021 Rekorde bei den Bußgeldern aufstellen. Wer wegen der Pandemie eine laschere Auslegung der Richtlinien erhofft hatte, wird überrascht sein.
Über 1.000 gemeldete Verstöße
Während dieser Zeit haben sich andere starke Trends herausgebildet. Die rasante Digitalisierung, die Pandemie und Remote-Working als schnelle und kluge Antwort darauf haben mehr Daten an immer mehr Orten entstehen lassen. Firmen kommen offensichtlich nicht mehr hinterher, diese Explosion an Daten und Datensilos in den Griff zu kriegen, zumal sich die Rahmenbedingungen erneut stark ändern.
Im März haben Ursula von der Leyen, Präsidentin der EU-Kommission, sowie Joe Biden, US-Präsident, gemeinsam angekündigt, eine neue Regelung für den transatlantischen Datenverkehr zu verabschieden. Wann dieses Trans-Atlantische Data Privacy Framework, auch „Privacy Shield 2.0 Abkommen“ genannt, als neue Rechtsgrundlage in Kraft tritt, blieb noch offen. Aber auch diese Regel wird sich darauf auswirken, wie Firmen mit internationalem Geschäft mit ihren Daten handhaben, wie sie personenbezogene Daten verarbeiten, transferieren, speichern und archivieren. Und just einen Monat vorher hat die EU-Kommission mit dem „EU Data Act“ neue Ansätze vorgestellt, um den Datenmarkt in Europa zu regulieren.
Blick auf die Daten verzerrt
Viele Firmen haben ihre Daten auf viele Speicherorte verteilt. Und wie die Zahl der Verstöße zeigt, fällt es ihnen zunehmend schwer, dieses Archipel aus proprietären isolierten Dateninseln zu verwalten. IT-Teams müssen viel Zeit und Ressourcen einsetzen, um Fragen der Governance, Archivierung und Compliance zu regeln. Das Zerrbild verursacht dabei eine Reihe eklatanter Probleme, die mit der Datenmenge und der Zahl der Regularien mitwachsen. So ist kaum ersichtlich, ob Daten redundant vorhanden, kritische personenbezogene Daten an riskanten Speicherorten abgelegt oder im Backup-Plan übersehen worden sind.
Ein Unternehmen kann diese Inseln mit Prozessen und Einzeltools in den Griff zu bekommen, muss allerdings mit hohen Infrastruktur- und Betriebskosten, mangelnder Integration zwischen den Produkten und einer immer komplexen Architekturen rechnen. Und es ist fraglich, ob in solch einer fragmentierten Umgebung alle Daten vor Ransomware geschützt und wichtige Aufgaben wie eine schnelle Recovery in der nötigen Zeit und Qualität überhaupt umsetzbar sind, um den Betrieb am Laufen zu halten.
Wolfgang Huber, Regional Director DACH bei Cohesity, empfiehlt Unternehmen daher, sich vom Archipel zu lösen und nach einem Ansatz der nächsten Generation für das Datenmanagement zu suchen. Auf dieser Grundlage können Firmen die Datensilos aufbrechen und zusammenführen und komplexe Architekturen radikal vereinfachen. Alle darin gespeicherten Daten lassen sich viel strenger nach Compliance-Vorgaben verwalten und stärker vor Ransomware schützen.
Den Wert der Daten erkennen
Unternehmen müssen wissen, welche Daten sie besitzen und welchen Wert sie haben. Nur dann können sie Fragen der Governance und Compliance beantworten und beispielsweise steuern, dass bestimmte Datentypen gewisse Speicherorte nicht verlassen dürfen. Und sie müssen genau überblicken, wer auf diese Daten zugreifen kann, um beispielsweise überzogen privilegierte User zu entdecken. Und sie können KI/ML-Technologie nutzen, um ungewöhnliche Sicherungs- oder Zugriffsmuster oder anderes anormales Verhalten aufzuspüren. Diese Indizien helfen, mögliche interne und externe Angriffe wie Ransomware frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten.
Einheitlichen Blick auf die Daten gewinnen
Idealerweise sind all diese Funktionen und der Überblick über die Datenlandschaft über eine Konsole zu erreichen, auf die nur autorisierte User dank Multifaktor-Authentifizierung und Access-Control-Lists zugreifen können – und zwar unabhängig davon, ob die Daten in einer hybriden Cloud oder in einem SaaS-Dienst abgelegt sind.
Widerstandsfähige Infrastruktur etablieren
Die Daten selbst sollten in einer zentralen Datenmanagement-Plattform, idealerweise auf Basis eines hyperconverged Filesystems, zusammengeführt werden, die hochskaliert und das Zero-Trust-Modell noch weiterführt. Neben den bereits erwähnten strengen Zugriffsregeln und der Multifaktor-Authentifizierung sollte die Plattform unveränderliche so genannte Immutable Snapshots erzeugen. Keine externe Anwendung und unbefugte User können diese Snapshots nicht verändern.
Unternehmen sollten die Daten sowohl beim Transport als auch beim Ablegen stark verschlüsseln, damit sie besser vor Manipulationsversuchen und Cyberattacken wie Ransomware geschützt sind.
Data Management as a Service
Einige Unternehmen wollen heute Aufgaben nicht mehr komplett selbst abwickeln, sei es weil sie die Investitionen scheuen, ihre IT-Teams sich auf andere wichtigere Aufgaben konzentrieren wollen oder sie schlicht Hilfe suchen. In diesen Fällen sollten sie auf einen Anbieter setzen, der so genannte Data Management as a Service (DMaaS) anbietet. Dieses Portfolio von „Software as a Service“ (SaaS)-Angeboten wurde entwickelt, damit Unternehmen und mittelständischen Kunden ihre Daten auf radikal einfache Weise sichern, verwalten und analysieren können.
Mehr bei Cohesity.com
Über Cohesity Cohesity vereinfacht das Datenmanagement extrem. Die Lösung erleichtert es, Daten zu sichern, zu verwalten und aus ihnen Wert zu schöpfen - über Rechenzentrum, Edge und Cloud hinweg. Wir bieten eine vollständige Suite von Services, die auf einer Multi-Cloud-Datenplattform konsolidiert sind: Datensicherung und Wiederherstellung, Notfallwiederherstellung, Datei- und Objektdienste, Entwicklung/Test sowie Daten-Compliance, Sicherheit und Analysen. Das reduziert die Komplexität und vermeidet die Fragmentierung der Massendaten. Cohesity kann als Service, als selbst verwaltete Lösung sowie über Cohesity-Partner bereitgestellt werden.