Datenschutz

Was ist Datenschutz?

Datenschutz bezeichnet die Maßnahmen, um Daten vor Verlust, Diebstahl oder Beschädigung zu schützen. Dazu gehört auch die Möglichkeit, sie in einer nutzbaren Form wiederherzustellen, wenn sie durch schädliche Ereignisse unzugänglich oder unbrauchbar geworden sind.

Datenschutz umfasst Menschen, Datensicherheitsprozesse sowie Datenschutztools und -technologie. Dazu gehören die folgenden Anwendungsfälle:

• Datensicherung und -wiederherstellung – Dieser wesentliche Teil des Datenschutzes besteht darin, Daten zu kopieren und im Falle eines Verlusts oder einer Beschädigung an einem sicheren Ort zu speichern, um sie dann entweder am ursprünglichen oder an einem sicheren alternativen Ort wiederherzustellen, damit sie wieder für den Betrieb verwendet werden können.
• Sofortige Massenwiederherstellung – Mit dieser Datensicherungslösung können Unternehmen Daten und Anwendungen umgehend und in großem Umfang wiederherstellen und die Recovery Point Objectives (RPOs) auf wenige Minuten reduzieren.
• Datenresilienz / Geschäftskontinuität / Cyber-Resilienz – Daten-, Geschäfts- und Cyber-Resilienz sind die Grundpfeiler des Datenschutzes – die Fähigkeit, den Geschäftsbetrieb fortzusetzen und schnell wiederherzustellen, wenn unerwartete Störungen auftreten oder Daten unverfügbar werden.
• Kontinuierliche Datensicherung – Eine Sicherungsmethode, die ein kontinuierliches und automatisches Backup von Daten gewährleistet und Änderungen in Echtzeit oder nahezu in Echtzeit erfasst. Dies ermöglicht Unternehmen eine schnelle Wiederherstellung zu jedem Zeitpunkt und die Erholung von Datenverlustvorfällen mit nur minimaler Betriebsunterbrechung.
• Langfristige Aufbewahrung – Eine Richtlinie, die es Kunden ermöglicht, ihre Backup-Daten für Referenz-, Compliance-, rechtliche oder historische Zwecke über einen langen Zeitraum aufzubewahren oder zu archivieren. Dieser Zeitraum kann sich über Monate bis Jahrzehnte erstrecken.

Was sind die Grundsätze des Datenschutzes?

Wenn Organisationen Daten verarbeiten, sollten sie dies auf der Grundlage der sieben Grundsätze des Datenschutzes tun. Diese sind in Artikel 5.1-2 der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) aufgeführt:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz – Jede Nutzung oder Verarbeitung der Daten muss rechtmäßig, nach Treu und Glauben und für die betroffene Person nachvollziehbar sein.
2. Zweckbindung – Organisationen dürfen Daten nur für legitime Zwecke verwenden, die der betroffenen Person bei ihrer Erhebung ausdrücklich mitgeteilt wurden.
3. Datenminimierung – Organisationen sollten nur die Mindestmenge an Daten sammeln und verwenden, die für den/die kommunizierten Zweck(e) unbedingt erforderlich ist.
4. Richtigkeit – Unternehmen müssen Daten sachlich richtig und auf dem neuesten Stand halten.
5. Speicherbegrenzung – Persönlich identifizierbare Informationen (PII) dürfen nur so lange aufbewahrt werden, wie es für den angegebenen Zweck erforderlich ist. Sie müssen sicher gelöscht oder anonymisiert werden, wenn sie nicht mehr benötigt werden.
6. Integrität und Vertraulichkeit – Bei der Nutzung oder Verarbeitung von Daten müssen Organisationen geeignete Maßnahmen hinsichtlich ihrer Sicherheit, Integrität und Vertraulichkeit ergreifen.
7. Rechenschaftspflicht – Organisationen müssen in der Lage sein, die Einhaltung aller oben genannten Grundsätze nachzuweisen.

Warum ist eine Datenschutzstrategie wichtig?

Unternehmen speichern häufig sensible Daten, um sie im Rahmen ihrer Geschäftstätigkeit zu verarbeiten oder zu nutzen. Diese Daten – Mitarbeiterdaten, Kundendaten, geistiges Eigentum (IP), Treueprogramme, Verkaufstransaktionen und mehr – müssen verwaltet und geschützt werden: vor dem Missbrauch durch böswillige Akteure (sowohl interne als auch externe), die aus finanziellen Gründen, um Berühmtheit zu erlangen, aus Rache oder aus anderen Gründen handeln, und die sowohl den betroffenen Personen als auch der Organisation schaden können.

Datenschutz ist unerlässlich, um den unbefugten Zugriff, die Nutzung oder die Offenlegung privater Daten zu verhindern. Er minimiert negative Folgen, wenn wichtige Daten verloren gehen, gestohlen, kompromittiert, missbraucht oder beschädigt werden. Zu den bewährten Techniken für den Datenschutz gehören z. B.: eine möglichst kontinuierliche Sicherung von Daten, um sicherzustellen, dass kritische Daten erhalten bleiben und mit minimalen Betriebsunterbrechungen wiederhergestellt werden können, das Schaffen eines virtuellen Air Gaps zwischen Daten und nach außen gerichteten direkten Netzwerkverbindungen zur Isolation kritischer Daten und, was außerdem sehr wichtig ist, die Möglichkeit einer sofortigen Wiederherstellung von Daten mit dem geringsten Datenverlust. Dies kommt beispielsweise im Falle eines Hurrikans bei einer Notfallwiederherstellung oder nach einem Cyberangriff bei einer Ransomware-Wiederherstellung zum Tragen. Eine robuste Datenschutzstrategie hilft Unternehmen nicht nur bei der Wiederherstellung nahezu in Echtzeit, sondern sorgt auch dafür, dass aufgabenkritische Anwendungen betriebsbereit sind und Geschäftstüren offen bleiben.

Was ist das Datenschutzgesetz?

Weltweit wurden eine Reihe von Gesetzen erlassen, um Fragen des Datenschutzes und der Privatsphäre zu regeln.

Die Datenschutz-Grundverordnung (DSGVO) gilt für viele als das schärfste Datenschutzgesetz der Welt. Obwohl es von und für die Europäische Union (EU) verfasst wurde, erlegt es weltweit Organisationen, die Daten über EU-Bürger sammeln, Verpflichtungen auf. Die Verordnung trat am 25. Mai 2018 in Kraft. Die EU zögert nicht, jede Organisation, die gegen ihre Datenschutzstandards verstößt, mit Geldstrafen zu belegen, die viele Millionen Euro betragen können.

In den Vereinigten Staaten gibt es eine Reihe von nationalen und regionalen Gesetzen, die auf verschiedene Branchen und Aspekte des Datenschutzes abzielen, beispielsweise Gesundheitsdaten (HIPAA), Finanzinformationen (PCI) oder Daten, die von oder über Kinder gesammelt werden. Einige Bundesstaaten, insbesondere Kalifornien mit dem California Consumer Privacy Act (CCPA), haben strenge Datenschutzgesetze erlassen. Allerdings unterscheidet sich der Datenschutz in den USA erheblich von dem in der EU, da er dezentralisiert ist – es gibt keine zentrale Regierungsbehörde, die die Einhaltung vorschreibt. Von den Organisationen wird daher erwartet, dass sie sich selbst regulieren. Tatsächlich können Unternehmen aufgrund dieser etwas laschen Herangehensweise an Datenschutzbestimmungen in vielen Staaten Daten nutzen, verkaufen oder weitergeben, ohne die Betroffenen zu benachrichtigen oder sie überhaupt zu berücksichtigen.

Im Juni 2022 wurde im US-Repräsentantenhaus der American Data Privacy and Protection Act eingeführt. Dieser Gesetzentwurf enthält Vorgaben, wie Unternehmen Verbraucherdaten speichern und nutzen dürfen. Das Gesetz umfasst viele gleiche Grundsätze wie die DSGVO, z. B. Datenminimierung, individuelles Eigentum und privates Klagerecht. Die Last der Evaluierung der Programme jeder Organisation liegt jedoch bei der Organisation selbst. Das heißt mit anderen Worten: Selbstregulierung. Seitdem der Gesetzentwurf in den Ausschuss gelangt ist, wurden keine weiteren Maßnahmen ergriffen.

Im Vereinigten Königreich regelt der Data Protection Act 2018 den Datenschutz. Er ersetzt ein früheres Gesetz aus dem Jahr 1998, das auf der DSGVO der EU basiert.

Die Datenschutzgesetze und -vorschriften in asiatischen Ländern variieren ebenfalls. Jedes Land hat seinen eigenen Governance-Rahmen. Da diese sich ständig weiterentwickeln, ist es für Organisationen von entscheidender Bedeutung, die Anforderungen jedes Landes zu verfolgen, um innerhalb dieser Gerichtsbarkeiten tätig zu sein. Im Jahr 2020 haben beispielsweise China, Kambodscha und Sri Lanka Cybersicherheitsvorschriften und -gesetze mit Schwerpunkt auf personenbezogenen Daten vorgeschlagen oder eingeführt. Chinas Gesetz zum Schutz personenbezogener Daten (PIPL) ist am 1. November 2021 in Kraft getreten. Der Datenschutz in Japan wird durch das Gesetz zum Schutz personenbezogener Daten (APPI) geregelt. In Singapur wiederum gilt der PDPA (Personal Data Protection Act), während Indien 2019 das Personal Data Protection Bill zum Schutz personenbezogener Daten erlassen hat.

Welche Beispiele für Datenschutz gibt es?

Einige Beispiele für Datenschutz beziehen sich auf die häufigsten Anwendungsfälle. Sie beinhalten alle eine Kombination aus Menschen, Prozessen und Technologie:

Datensicherung und -wiederherstellung – Naturkatastrophen wie der Hurrikan Florence verursachten im September 2018 in North und South Carolina katastrophale Schäden. Als Hurrikan der Kategorie 4 mit Windgeschwindigkeiten von fast 240 Kilometern pro Stunde und einem Schaden von über 24 Milliarden US-Dollar überraschte Florence die Unternehmen im Landesinneren mit der Geschwindigkeit, mit der die Überschwemmungen anstiegen. Nur wenige dachten daran, ihre Backup-Medien vor Ort zu retten, als sie sich in Sicherheit brachten. Später erkannten die Unternehmen, wie wichtig mehrschichtige Backup-Lösungen waren, denn die Unternehmen, die am schnellsten wieder in Betrieb genommen werden konnten, waren diejenigen mit modernen Backup- und Wiederherstellungslösungen wie der Cloud. Da sich ihre Daten in der Cloud befanden, konnten sie diese von überall aus wiederherstellen, selbst wenn ihre Räumlichkeiten beschädigt wurden.

Ransomware-Schutz, -Erkennung und -Wiederherstellung – Das einfache Sichern von Daten ist nur die halbe Arbeit, wenn es um den Schutz von Daten geht. Von entscheidender Bedeutung ist auch, wie schnell Daten im Falle von Cyberkriminalität oder Naturkatastrophen wiederhergestellt werden können. Eine ESG-Studie zu Ransomware zeigt, dass 79 % der befragten Unternehmen im letzten Jahr einen Ransomware-Angriff erlebt haben. Es ist also keine Frage des Ob oder Wann wie bei einer Naturkatastrophe, und es geschieht ohne Vorwarnung. Unternehmen sind sich darüber im Klaren, dass der Schutz von Backups angesichts von Ransomware-Angriffen, die speziell auf diese Workloads und Prozesse abzielen, die Norm ist. Durch eine schnelle Datenwiederherstellung können Unternehmen jedoch darüber hinaus Ausfallzeiten und Datenverluste minimieren und sicherstellen, dass sie weiterhin effizient und effektiv arbeiten können. Je länger Daten unzugänglich bleiben, desto größer ist das Risiko ihrer Zerstörung und von potenziellen Folgen für die Einhaltung gesetzlicher Vorschriften ebenso wie von Verletzungen der SLAs, die zu Problemen bei der Kundenzufriedenheit führen. Nach einem Ransomware-Angriff konnte ein großes Immobilienunternehmen alle seine Kunden- und Unternehmensdaten innerhalb von drei Stunden schützen und wiederherstellen und außerdem die Lösegeldzahlung vermeiden.

Einhalten der Datenvorschriften – Organisationen mit diesem Anwendungsfall benötigen eine Datensicherheitslösung, die auf Zero-Trust-Prinzipien basiert. Sie sollte eine Kombination aus Unveränderlichkeit, Quorum-Kontrollen, Datenverschlüsselung, Multifaktor-Authentifizierung und granularer rollenbasierter Zugriffskontrolle umfassen, damit nicht autorisierte Anwendungen und böswillige Akteure Daten weder ändern noch löschen können.

Notfallwiederherstellung und Geschäftskontinuität – Continuous Data Protection liefert RPOs von nahezu Null für aufgabenkritische virtuelle VMware-Maschinen, minimiert Datenverluste und erhöht die Fähigkeit, die Geschäftskontinuität sicherzustellen. Anstatt Daten einmal am Tag oder sogar einmal pro Stunde zu sichern, nutzte eine landesweite Restaurantkette eine kontinuierliche Datenmanagement-Strategie, bei der Daten jedes Mal dann gesichert wurden, wenn eine Änderung an ihrem Point-of-Sale-System (POS) vorgenommen wurde. Dies bedeutete, dass jede Transaktion, die in einem der landesweit verteilten Restaurants stattfand, in einem Remote-Cloud-Repository aufgezeichnet wurde. Da die Lösung mehrere Versionen jeder Datei speichert, kann die Kette problemlos auf frühere Versionen zurückgesetzt werden, falls Daten mit Malware infiziert sind.

Langfristige Aufbewahrung und Archivierung – Eine Richtlinie, die es Kunden ermöglicht, ihre Backup-Daten für Referenz-, Compliance-, rechtliche oder historische Zwecke über einen langen Zeitraum aufzubewahren oder zu archivieren. Dieser Zeitraum kann sich über Monate bis Jahrzehnte erstrecken. Eine bekannte Anwaltskanzlei musste Daten langfristig aufbewahren, um sie für ein laufendes Gerichtsverfahren vorzuhalten. Man entschied sich für die Cloud, um im Falle einer dringenden Mandantenanfrage schnell und einfach darauf zugreifen zu können.

Cohesity und Datenschutz

Organisationen auf der ganzen Welt stehen vor erheblichen Herausforderungen, was die Geschäftskontinuität ihrer aufgabenkritischen Abläufe betrifft. Der 24/7-Betrieb von Unternehmen in Verbindung mit der wachsenden Bedrohung durch Cyberangriffe führt dazu, dass Kunden zunehmend Wert auf die Ausfallsicherheit ihrer Daten legen. Datensilos und mangelnde Sichtbarkeit der Daten im gesamten Unternehmen (lokal und in der Cloud), Inkonsistenzen bei der Speicherung und Verwaltung von Daten sowie mangelnde Interoperabilität zwischen älteren Backup-Lösungen und vorhandenen Technologien setzen Unternehmen dem Risiko eines Datenverlusts im Falle eines Cyberangriffs oder Ausfalls aus. Dieses erhöhte Risiko hat in Kombination mit der enormen Größe und der Bedeutung der Unternehmensdatenbestände zu einem dringenden Bedarf an skalierbaren Lösungen (z. B. Cloud-Hosting) geführt, und das alles bei gleichzeitig niedrigeren Datenkosten.

Cohesity DataProtect ist eine branchenführende, moderne Datensicherungs- und -wiederherstellungslösung. Mit Cohesity können Kunden Unternehmensdaten skalierbar schützen, die Datenresilienz erhöhen, indem sie RPO und RTO bei einem Cyberangriff oder Ausfall deutlich minimieren, und gleichzeitig ihre Datenkosten senken. DataProtect ist Teil einer umfassenden Datensicherheits- und management-Plattform, der Cohesity Data Cloud, und bietet die folgenden wesentlichen Vorteile:

Erhöhung der Datenresilienz – Moderne Unternehmen benötigen granulare, nahezu Null-Recovery Point Objectives (RPOs) sowie nahezu sofortige Recovery Time Objectives (RTOs).​ Cohesity ermöglicht es Unternehmen, Daten im großen Maßstab in der Größenordnung von Minuten statt Stunden wiederherzustellen. Mit Cohesity erhalten Unternehmen vollständig hydrierte Snapshots, kontinuierliche Datensicherung (CDP) und Wiederherstellungsflexibilität, um ihre SLAs zu übertreffen.

Geringere Gesamtbetriebskosten – Cohesity reduziert die Gesamtbetriebskosten drastisch, indem es den Schutz von Unternehmensdaten auf einer zentralen Plattform mit unbegrenzter Skalierbarkeit konsolidiert, den Overhead minimiert und die Datenspeicherkosten erheblich senkt. Siehe dazu folgende Studie: The Total Economic Impact of Cohesity

Schutz von Unternehmensdaten in unbegrenztem Umfang – Cohesity bietet eine End-to-End-Datensicherung und -wiederherstellungslösung, die unbegrenzte Skalierbarkeit für Unternehmensdaten über lokale, Cloud- und Edge-Workloads hinweg bietet. Unternehmen können mit unbegrenzten Aufbewahrungsrichtlinien eine große Anzahl von Snapshots erstellen und die Cohesity-Snapshots für eine schnelle, parallele Datenerfassung nutzen, sodass Unternehmen Daten und Anwendungen beliebig oft schützen können.

Unsere Lösung steht für Datenverfügbarkeit, Zugriff und Wiederherstellung nahezu in Echtzeit. Sie ermöglicht auf skalierbare Weise den sofortigen Zugriff auf Daten und Anwendungen über die gesamte Datenlandschaft hinweg, ohne auf die Reparatur oder Wiederherstellung des ursprünglichen Speichers oder auf die Verschiebung der Daten an einen anderen Ort warten zu müssen. Nur mit Cohesity lassen sich Tausende von VMs sofort wiederherstellen und die Recovery-Zeiten für Datenbanken auf nahezu Null senken. Mehr über diese einzigartigen Fähigkeiten erfahren Sie hier:

• Sofortiger NAS-Zugriff
• Sofortige Massenwiederherstellung (VMs)
• Sofortige Wiederherstellung von Datenbanken (Oracle mit PostgreSQL und andere)
• Kostengünstige Klone (Entwicklung/Test)