Fotolia

Schutzmaßnahmen für den Lebenszyklus von Datenträgern

Die hohe Verbreitung von Cloud-Storage sollte nicht vergessen lassen, dass lokale Datenträger als Speichermedien einen umfassenden Schutz benötigen.

Cloud-Storage hat viele Vorteile, doch der starke Fokus auf die Cloud führt dazu, dass man schnell vergessen könnte, dass die Cloud kein Ersatz für Speichermedien ist. Sie bildet letztlich einen Zugang zu entfernten Speichermedien. Es ist deshalb nicht richtig zu glauben, dass Datenträger ein verstaubtes Thema aus dem Zeitalter vor Cloud Computing sind.

Wie aktuell Datenträger auch im sogenannten Cloud-Zeitalter sind, zeigt zum Beispiel AWS Snowball. AWS Snowball ist ein Speichergerät für den Datentransport im Petabyte-Bereich. AWS sieht dies als Lösung, große Mengen an Daten sicher zur AWS-Cloud zu transferieren. Als Vorteile werden eine hohe Geschwindigkeit und geringere Kosten genannt im Vergleich zu einer Übertragung via Internet.

Ein weiterer Punkt unterstreicht, wie wichtig Datenträger auch aus Compliance-Sicht sind. So gibt es in der Datenschutz-Grundverordnung (DSGVO) der EU eine explizite Forderung zur Kontrolle der Datenträger. Artikel 29 (Sicherheit der Verarbeitung) enthält als Vorgabe die „Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern (Datenträgerkontrolle)“. Weiterhin gibt es die Forderung nach „Verhinderung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle)“.

EU-Datenschutz betont Datenträgerkontrolle

Bereits das Bundesdatenschutzgesetz (BDSG) enthält entsprechende Vorgaben, betont allerdings die Datenträgerkontrolle nicht so explizit. Vielmehr wird als Weitergabekontrolle (Nr. 4 der Anlage zu § 9 Satz 1 BDSG) verlangt, dass „personenbezogene Daten bei der elektronischen Übertragung oder während des Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist“.

Aus Datenschutzsicht müssen Datenträger somit gegen unbefugtes Lesen, Kopieren, Verändern, Löschen oder Entfernen geschützt werden, sowohl bei der Lagerung als auch bei der Nutzung und beim Transport.

Schutz der Datenträger gehört zur Compliance im Storage-Bereich

Doch nicht nur der Datenschutz hat sich den Schutz der Datenträger auf die Fahnen geschrieben. Man findet die Absicherung von Datenträgern natürlich auch im IT-Grundschutz nach BSI (Bundesamt für Sicherheit in der Informationstechnik). Ein weiteres Beispiel: Die Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis besagen, dass auszumusternde Datenträger unter Beachtung des Datenschutzes fachgerecht unbrauchbar gemacht werden müssen. Ebenso heißt es dort, dass die Datenträger sicher aufbewahrt werden müssen.

Entscheidend für die Compliance in Verbindung mit Datenträgern ist aber, dass man sich nicht auf Einzelforderungen wie die sichere Entsorgung und die sichere Aufbewahrung konzentriert, sondern dass der ganze Lebenszyklus der Datenträger geschützt wird. Unternehmen brauchen für ihre Datenträger ein vollständiges Datenträger-Management.

Was zum Datenträger-Management dazu gehört

Compliance bei Datenträgern bedeutet, dass Datenträger zu jedem Zeitpunkt und an jedem Ort gegen unbefugtes Lesen, Kopieren, Verändern, Löschen oder Entfernen geschützt sind. Deshalb muss von der ersten Nutzung bis hin zur sicheren Entsorgung jeder Schritt kontrolliert erfolgen.

In der Praxis werden jedoch viele Schwachstellen im Datenträger-Management sichtbar, so dass Unternehmen insbesondere darauf achten sollten, dass

  • die Datenträger zugriffssicher aufbewahrt werden und nicht etwa in unverschlossenen Schubladen,
  • die Datenträger nicht einfach in den Müll wandern, weil sie scheinbar unbrauchbar geworden sind,
  • die Datenträger hinsichtlich ihres Inhaltes identifiziert werden können, so dass der Schutz der Datenträger zum Schutzbedarf der Daten passt,
  • die Datenträger bei dem Aufbewahrungs- und Löschkonzept berücksichtigt werden,
  • fremde Datenträger tatsächlich mit Vorsicht eingesetzt werden (definiertes Kontrollverfahren),
  • Datenträger, die als Backup dienen, nicht neben den Datenträgern liegen, die damit gesichert werden sollen,
  • die Ausgabe von Datenträgern kontrolliert und nachvollziehbar erfolgt (Protokollierung),
  • auch Papierdokumente als Datenträger eingestuft und behandelt werden,
  • ein Verfahren für den Datenträgeraustausch und -versand besteht, das auch geschult, dokumentiert und überwacht wird,
  • die Transportart für Datenträger dem Schutzbedarf entsprechend
  • die Datenträger zugriffssicher aufbewahrt werden und nicht etwa in unverschlossenen Schubladen.

Studien wie die von BITKOM zu „Digitale Wirtschaftsspionage, Sabotage und Datendiebstahl“ weisen den Diebstahl von Daten und Datenträgern als häufigstes Delikt aus. Die Compliance-Forderung nach einem umfassenden Datenträger-Management kann deshalb nicht ernst genug genommen werden.

Folgen Sie SearchStorage.de auch auf TwitterGoogle+Xing und Facebook!

Nächste Schritte

EU-Datenschutz: Cloud-Sicherheit und die GDPR – erste Schritte für die Compliance

Von Compliance über Sicherheit bis SLA: Grundlagen zur Planung eine Hybrid Cloud

Compliance-Vorgaben in Unternehmen mit SIEM umsetzen

Kostenloses E-Handbook: Sicherheit und Datenschutz im Internet der Dinge

Artikel wurde zuletzt im August 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Sichere Datenspeicherung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close