19.12.2017 Hohen Strafen entgehen

EU-DSGVO: So weit ist der Mittelstand

Von: Lea Sommerhäuser

Im Interview erläutert Christoph Spitzer, Senior Systems Engineer bei Tintri, inwieweit sich der Mittelstand bereits mit der EU-DSGVO befasst und welche Strafen auf die Unternehmen zukommen, wenn sie die Regelungen nicht befolgen.

Christoph Spitzer, Tintri

Christoph Spitzer, Senior Systems Engineer bei Tintri: „Die DSGVO betrifft in Bezug auf Storage insbesondere die Wiederherstellbarkeit von Daten.“

ITM: Herr Spitzer, wie gewährleisten entsprechende Storage-Lösungen die Sicherheit der Daten?
Christoph Spitzer:
Heutige Storage-Lösungen bieten bereits ein hohes Niveau an Sicherheit für die auf ihnen gespeicherten Daten. Vieles davon betrifft die Hardware, die heute auf Array-Ebene doppelte Ausfallsicherheit für alle Komponenten wie Festplatten, Controller oder Netzteile bietet. Um auch den Ausfall ganzer Arrays oder gar des ganzen Rechenzentrums (RZ) abzusichern, spiegeln viele Unternehmen ihre Daten in ein zweites Rechenzentrum oder in die Cloud. Hier kommt dann die Software ins Spiel, die z.B. über moderne Replikationstechnologie gewährleistet, dass Daten so sicher wie möglich sind.

Im Enterprise-Segment wird hier oft ein synchroner Spiegel eingesetzt, der allerdings sehr teuer ist. Einfachere und sicherere Konzepte gibt es aber auch schon für Mittelständler, die sich keinen teuren und komplexen SAN-Speicher leisten können oder wollen.

ITM: Ab dem 25. Mai 2018 gilt die Europäische Datenschutz-Grundverordnung (EU-DSGVO). Ist der Mittelstand hierauf vorbereitet oder hat er das Thema bisher links liegengelassen?
Spitzer:
Hier besteht tatsächlich akuter Handlungsbedarf für Unternehmen, die die DSGVO noch nicht umgesetzt haben. Bitkom hat jüngst Zahlen vorgelegt, die erschreckend sind. Danach haben nur etwas mehr als ein Drittel der Unternehmen bereits erste Maßnahmen ergriffen oder schon umgesetzt. Das Schlimme daran ist, dass es jetzt fast schon zu spät ist, da die Vorlaufzeit, sich auf die EU-DSGVO einzustellen, auch einige Zeit benötigt. Neben den technischen Dingen sind etwa Audits nötig oder Datenschutzbeauftragte müssen trainiert werden.

ITM: Inwieweit berücksichtigen oder unterstützen die aktuellen Storage- und Archivierungslösungen am Markt bereits die EU-DSGVO-Regelungen?
Spitzer:
Die DSGVO betrifft in Bezug auf Storage insbesondere die Wiederherstellbarkeit von Daten, die heute vornehmlich über Backups oder Snapshots garantiert wird. Die sind wiederum Teil einer BC/DR-Strategie (Business Continuity /Disaster Recovery). Technisch werden hier Daten vom Hauptspeicher auf einen Backup-Speicher an einem anderen Ort repliziert. Dies sollte möglichst so geschehen, dass auch bei einem Ausfall keine Daten verloren gehen und die Daten schnell wiederhergestellt sind. Stichwort: kurze RTO und „null“ RPO. Hierfür eignet sich eigentlich nur synchrone Replikation, die sich technisch von asynchroner darin unterscheidet, dass der Schreibprozess immer erst dann abgeschlossen ist, wenn sowohl auf dem Primärmedium als auch auf den Sekundärmedien das Schreiben der Daten beendet ist. Ein zeitlicher Versatz im Sichern der Daten wie bei der asynchronen Replikation wird verhindert und ein Datenverlust auf dem Primärmedium kann vollständig über die Sekundärmedien wiederhergestellt werden.

Das Problem bei synchroner Replikation besteht vor allem darin, dass hier viele Lösungen sehr komplex sind und auf sehr teuren Speicherlösungen basieren. Damit sind sie keine Option für mittelständische Unternehmen, die über keine entsprechenden Budgets und große IT-Teams verfügen.

ITM: Mit welchem Aufwand können bereits seit langem im Einsatz befindliche Speicher- und Archivierungslösungen entsprechend angepasst werden?
Spitzer:
Ein Unternehmen benötigt ein umfassendes Audit, um den Ist-Zustand festzustellen und daraus abzuleiten, welche Maßnahmen ergriffen werden müssen. In den meisten Fällen wird dies auch Infrastruktur und damit auch Storage betreffen. Inwieweit Storage ausreicht, erweitert oder gar komplett erneuert werden muss, kann man nicht generell sagen.

ITM: Was kann einem Mittelständler im schlimmsten Fall passieren, wenn die EU-DSGVO-Regelungen bei der Datenarchivierung nicht berücksichtigt werden?
Spitzer:
Die Strafen sind ja gesetzlich geregelt. Somit kann sich das Management jedes Unternehmens das Risiko, die Regelungen nicht rechtzeitig umzusetzen, selbst ausrechnen. Die maximale Geldbuße beträgt bis zu 20 Mio. Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Es gilt der Jahresumsatz des gesamten Konzerns und nicht der der einzelnen juristischen Personen. Es kann also durchaus sehr teuer werden, die Regelungen auf die leichte Schulter zu nehmen.

ITM: Wie sollten Unternehmen demnach bei der Auswahl ihres Storage-Anbieters zukünftig vorgehen? Welche Kriterien sind neben der EU-DSGVO besonders wichtig?
Spitzer:
Um die DSGVO einzuhalten, benötigen auch Mittelständler fortschrittliche Technologie, um eine geeignete BC/DR-Strategie umzusetzen. Aber gerade im Mittelstand ist es wichtig, dass sich die Lösung leicht umsetzen und ohne Experten-Know-how planen und betreiben lässt. Man benötigt also die eierlegende Wollmilchsau, die volle Flexibilität, Agilität, Skalierbarkeit, wenig Aufwand, volle Compliance und Schutz vor Datenverlust bietet. Cloud-Technologie kann hier helfen, wobei man mit der Public Cloud hier auch nicht auf der sicheren Seite ist. Eine Unternehmens-Cloud bietet hier das Beste aus beiden Welten. Gepaart mit synchroner Replikation bietet sie alle Vorzüge der Cloud mit voller Kontrolle über die Daten im eigenen Rechenzentrum.

Bildquelle: Tintri

©2018 Alle Rechte bei MEDIENHAUS Verlag GmbH