Ein Versteckspiel – das Mysterium moderner Daten
Philip Bridge, Präsident bei Ontrack teilt seine Einblicke in die Datenlöschung auf Top Business Tech, diesmal mit Schwerpunkt auf den verschiedenen Arten von Daten, die ein Unternehmen speichert, und wie Sie eine Richtlinie zur Datenlöschung effektiv implementieren können.
Heutzutage hat jedes Unternehmen, von großen multinationalen Blue Chips bis hin zu kleinen familiengeführten Start-ups, Daten als Kernstück; und auf beispiellosem Niveau. 2018 wurde das weltweite Datenvolumen auf 33 Zettabyte (ZB) geschätzt. IDC prognostiziert jedoch, dass sich diese Zahl bis Mitte des Jahrzehnts verfünffachen wird.
Während Unternehmensdaten einen großen Wert haben, bergen sie auch ein großes Risiko. Je mehr Daten Ihre Organisation verarbeitet, desto größer ist das Risiko ihrer Offenlegung. Wo sich diese Daten befinden, ist jedoch oft ein Rätsel. Von Word-Dokumenten zu Excel Tabellenkalkulationen, E-Mails an SQL-Datenbanken, Dateien können beliebig kopiert und verschoben werden. Das bedeutet, dass eine vollständige Bestandsaufnahme Ihrer Daten fast unmöglich ist. Es ist zu einem Versteckspiel geworden, das IT-Abteilungen lieber nicht spielen würden.
Die Notwendigkeit, Daten zu schützen
Die sichere Aufbewahrung sensibler Daten sollte für jedes Unternehmen Priorität haben. In letzter Zeit gibt es eine Fülle von immer strengeren Vorschriften zum Schutz von Daten, an die sich Unternehmen halten müssen. Eine dieser Vorschriften ist die Datenschutz-Grundverordnung (DSGVO), die bereits 2018 in Kraft getreten ist. Sie hat eine weite Verbreitung gefunden und wird von vielen als Auslöser dafür angesehen, warum Unternehmen ihre Datenerfassungs- und -speichersysteme bewerten wollen. Und das aus gutem Grund. Die finanziellen Strafen bei Nichteinhaltung der DSGVO sind erheblich. Unternehmen, die einer Datenpanne zum Opfer fallen, müssen mit einer Geldstrafe von 20 Millionen Euro oder 4 % des Jahresumsatzes rechnen (je nachdem, welcher Betrag höher ist).
Die DSGVO ist jedoch nur die Spitze des Eisbergs. Jede Branche hat eine Vielzahl eigener Regeln und Vorschriften, die IT-Manager kennen und sicherstellen müssen, dass ihr Unternehmen diese einhält.
Die drei Arten von Daten
Bevor Sie Ihre Daten finden, müssen Sie wissen, wonach Sie suchen. Obwohl jedes Unternehmen anders ist, fällt die Art der Daten, die sie besitzen, im Allgemeinen in drei verschiedene Bereiche. Erstens gibt es Kundendaten. Dazu gehören personenbezogene Daten (PII) wie Name, Adresse, Kontonummern, Finanzdaten und – je nach Branche – Gesundheitsinformationen wie Krankenakten. Zweitens gibt es Mitarbeiterdaten, das ähnlich ist, aber auch Gehalts- und Leistungsbeurteilungsinformationen enthält. Schließlich gibt es Unternehmensdaten wie geistiges Eigentum (IP), Forschungs- und Entwicklungsdaten, Details zu Fusionen und Übernahmen, Finanzergebnisse und andere sensible Betriebsinformationen.
Sobald Sie wissen, welche Arten von Daten Sie in Ihrer Organisation haben, sollten Sie sie nach ihrer Vertraulichkeit kategorisieren. Dadurch wird sichergestellt, dass es korrekt behandelt wird, wenn es nicht mehr benötigt wird. Das vom National Institute for Standards and Technology in den USA herausgegebene „NIST 800-88“ ist dafür das maßgebliche Dokument. Es enthält Richtlinien dazu, wie Organisationen weltweit Medien effektiv bereinigen sollten, damit Daten unwiederbringlich sind, wenn die Daten oder Datenspeichergeräte das Ende ihrer Lebensdauer erreichen.
Die Grundlagen einer Datenlöschrichtlinie
Insbesondere in stark regulierten Branchen ist die Erstellung einer klaren Richtlinie zur Datenlöschung unerlässlich. Es sollte alle gängigen Speichertechnologien abdecken – ob magnetisch oder Flash-basiert. Darüber hinaus sollte es die Fülle von „Endpunkten“ abdecken, die in einer modernen Organisation wie Server, USB-Laufwerke, Laptops, Tablets und andere mobile Geräte zu finden sind.
An dieser Stelle ist es wichtig, sich daran zu erinnern, dass „Löschen“ nicht dasselbe bedeutet wie „Löschen“. Es gibt ein weit verbreitetes Missverständnis, dass das einfache Neuformatieren des Speichermediums oder das Drücken der Löschtaste sichere Löschmethoden sind, aber das sind sie selten. Die Datenlöschung lässt Daten wiederherstellbar, während die Datenlöschung dauerhaft ist. Die Verwechslung der beiden kann dazu führen, dass Organisationen sich selbst anfällig machen.
Die in NIST 800-88 beschriebenen Datenebenen der Desinfektion sind:
- Auswahl aufheben – Dies gilt für logische Techniken zum Bereinigen von Daten zum Schutz vor einfachen nicht-invasiven Datenwiederherstellungstechniken. Typischerweise gilt dies für das Überschreiben mit einem neuen Wert oder die Verwendung einer Menüoption zum Zurücksetzen des Geräts auf den Werkszustand.
- Säuberung – was für aktuelle physikalische oder logische Techniken gilt, die eine Datenwiederherstellung unmöglich machen.
- Zerstören – was nicht nur die Datenwiederherstellung unmöglich macht, sondern auch dazu führt, dass die Medien später nicht mehr für die zukünftige Speicherung von Daten verwendet werden können.
Stellen Sie sicher, dass Sie die richtige Bereinigungsmethode für Ihre Daten auswählen.
Schneiden Sie keine Ecken
In Zeiten, in denen das Arbeiten von zu Hause aus für viele zur Normalität geworden ist, sind die Daten eines Unternehmens verstreuter und schwieriger zu überblicken als je zuvor. Die Notwendigkeit einer effektiven Datenlöschung war noch nie so wichtig. Leider hält die Verwirrung darüber, was die richtige Datenbereinigungsmethode ausmacht, an. Dies führt dazu, dass Unternehmen zunehmend davon betroffen sind, dass sie von einer Datenschutzverletzung oder einem Cyberangriff betroffen sind.
Stellen Sie sicher, dass Ihr Unternehmen ein bewährtes Datenlöschtool verwendet, um Ihre kritischen Daten zu schützen, damit sie nicht in die falschen Hände geraten. Nur so können Sie Ihre Daten und die Ihrer Kunden sicher verwahren, um revisionssichere und Compliance-konforme Löschzertifikate zu erhalten.