DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Das Daten-Messie-Syndrom

Leiden gerade kleine und mit­tel­stän­dische Unter­nehmen an einem Daten-Messie-Syndrom? Diese Frage habe ich vor einiger Zeit auf einer Big-Data-Ver­­an­staltung dis­ku­tiert. Ohne Zweifel können gut kon­zi­pierte Big-Data-Anwen­­dungen einen wirt­schaft­lichen wie auch gesell­schaft­lichen Mehrwert liefern. Ich will hier also kei­neswegs dem Kli­schee des inno­va­ti­ons­ver­hin­dernden Daten­schützer entsprechen.
Wenn ich vom Daten-Messie-Syndrom spreche, soll nicht Big-Data ver­teufelt werden. Vielmehr geht es mir um ein Plä­doyer für Ordnung in den Daten­spei­chern, als Basis der Daten­si­cherheit. Daten­hor­tungen lassen sich ich der Praxis schließlich schon deutlich länger beob­achten, als Big-Data Dis­kus­sionen geführt werden. 
 

Hat eine all­um­fas­sende Daten­spei­cherung einen Nutzen?
Jeden­falls werden in Unter­nehmen nicht selten Daten gespei­chert, weil man sie viel­leicht irgendwann einmal brauchen könnte. Und schon beginnt das Dilemma: wie hoch darf der Sicher­heits­aufwand für Daten sein, deren Wert sich erst später her­aus­stellen wird? Im Fall der Daten­hortung wird ja auf einen sich in der Zukunft ent­wi­ckelnden Wert der Daten gehofft, er wird nicht wirklich pro­gnos­ti­ziert. Fehlt eine Nut­zen­vor­stellung, scheitern Über­le­gungen zur Wirt­schaft­lichkeit, aber auch zu ange­mes­senen Sicherheitsmaßnahmen.
Ohne Nut­zen­vor­stellung sind vor allem die Prio­ri­täten der Schutz­ziele Ver­füg­barkeit, Ver­trau­lichkeit und Inte­grität für die gehor­teten Daten schwerlich zu defi­nieren. Jetzt will ich nicht kleinlich sein und über­springe die im Ein­zelfall knifflige Frage nach den Prioritäten.

Greifen wir uns nur bei­spielhaft eines der Schutz­ziele heraus, um über Sicher­heits­maß­nahmen für Daten ohne defi­nierten Nutzen nach­zu­denken. Dabei machen wir es uns leicht: Daten die noch keinem bestimmten Ziel dienen, haben keine beson­deren Anfor­de­rungen an die Ver­füg­barkeit. In der Praxis wird nach meiner Beob­achtung diese Kon­se­quenz aller­dings selten gezogen, denn viel­leicht sind die Daten ja doch irgendwann mal wertvoll. Wir wollen jetzt aber kon­se­quent sein und diese Daten aus dem Backup aus­schließen. Das kann funk­tio­nieren, wenn man geson­derte Daten­be­stände hortet, diese also von den üblichen Geschäfts­pro­zessen getrennt sind.
Häufig befinden sich jedoch erfor­der­liche Daten und viel­leicht später mal nütz­liche Daten in der gleichen Anwendung, im gleichen Spei­cher­be­reich. Denken wir bei­spiels­weise an CRM-Systeme mit ihren Kunden- und Inter­es­sen­ten­daten, die zum Teil natürlich erfor­derlich für den über­le­bens­wich­tigen Ver­triebs­prozess sind, zum Teil aber wertlose Daten­sätze enthält.
 

Und welchen Aufwand hat dies zur Folge?
Welchen Aufwand will das Unter­nehmen jetzt betreiben? Den Aufwand zur Dif­fe­ren­zierung der Daten im Back­up­konzept? Oder lieber mehr Aufwand für das Backup, das dann erfor­der­liche und gehortete Daten vereint enthält? Ich plä­diere für eine Dif­fe­ren­zierung, zumindest in wichtige und unwichtige Daten. In der Praxis ver­führt aber bspw. die Ent­wicklung der Spei­cher­preise dazu, nicht erfor­der­liche Daten lieber einmal mehr zu sichern, kostet ja scheinbar nichts.
Kostet halt doch, denn das Volumen des Backups muss zum Bei­spiel über ein Netzwerk über­tragen werden, womit anderen Anwen­dungen die Band­breite fehlt oder zusätzlich in Band­breite inves­tiert werden muss. Daneben steigt mit dem Volumen des Backups auch noch die Feh­ler­wahr­schein­lichkeit im Back­u­per­stel­lungs­prozess. In kon­kreten Ein­satz­sze­narien werden sicher weitere Kos­ten­po­si­tionen zu berück­sich­tigen sein.

Am wich­tigsten ist aber die Dauer und Feh­ler­freiheit der Wie­der­her­stellung eines Backups. Für diesen hof­fentlich nie not­wen­digen Fall der Fälle ist das Backup ja über­haupt angelegt worden. In einigen Sze­narien kann man im Wie­der­her­stel­lungs­prozess nach erfor­der­lichen und unwich­tigen Daten dif­fe­ren­zieren, bspw. beim Backup von Datei­ordnern. Ein Admi­nis­trator, der das einmal tun musste, weiß, dass dieses zeit­rau­bende Unter­fangen lohnt, denn die wie­der­her­zu­stel­lende Datei wird es Wert sein.
Anders dagegen im Backup einer Appli­kation, bspw. der genannten CRM-Datenbank. Dringend wie­der­her­zu­stel­lenden Daten­sätzen lassen sich dort selten aus­wählen. Man kann in aller Regel nur das ganze Backup wie­der­her­stellen oder nichts. Die Ver­füg­barkeit der wirklich erfor­der­lichen Daten wird spä­testens in dieser Situation merklich von gehor­teten Daten behindert.
 

Fazit
Daten­si­cherheit beginnt mit der Defi­nition von Zielen und Nutzen der Daten. Ohne diese Defi­nition besteht die Gefahr Daten­hor­tungen nicht zu erkennen, also die Spei­cherung unwich­tiger, nicht wert­hal­tiger Daten. Daten­hortung erhöht den Sicher­heits­aufwand in Unter­nehmen nicht nur unnötig, sie schwächt vor allem die Wirk­samkeit der Sicher­heits­maß­nahmen für die wirklich wich­tigen Daten.

 

Bild: © Claudia Hautumm / pixelio.de

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Lars Kripko, T‑Systems MMS

Über den Autor:

Lars Kripko berät in Pro­jekten zum Daten­schutz und ist Daten­schutz­be­auf­tragter ver­schie­dener Unter­nehmen. Bereits in seiner Diplom­arbeit hat er sich mit dem Daten­schutz­audit aus­ein­an­der­ge­setzt, danach viele Jahre als interner Daten­schutz­be­auf­tragter und Con­troller gear­beitet. Er ist Referent und Coach in der Aus­bildung von Daten­schutz­be­auf­tragten und Autor ver­schie­denster Daten­schutz­pu­bli­ka­tionen, u.a. der Studien „Daten­schutz im HR“.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.