Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Dienstag, 23. Januar 2018

IT-Sicherheit

Jedes Land ist anders

Von Harald Weiss | 12. Oktober 2017 | Ausgabe 41

Die nationalen Auflagen zur Datenhaltung und -verarbeitung sind für die IT-Chefs kaum noch überschaubar. Technologie hilft jetzt, auch diese Regeln einzuhalten.

BU Daten
Foto: panthermedia.net/Wavebreakmedia ltd

Kopfzerbrechen bereitet einigen IT-Chefs die Berücksichtigung von landesspezifischen Datenmanagementregeln in Business-Softwarepaketen.

Während die Experten der IT-Sicherheitsbranche sich bis gestern in Nürnberg auf Europas größter IT-Sicherheitsmesse, der IT-SA, ein Stelldichein gaben, wurde in den Labors großer Softwareanbieter bereits mit Hochdruck an den Sicherheitsfunktionen der nächsten Generation gearbeitet.

Ein wesentliches Element der kommenden IT-Sicherheit ist das Gegenteil der allgemeinen Globalisierung. Konkret: die umfassende Berücksichtigung von landesspezifischen und regionalen Datenmanagementregeln innerhalb der großen Business-Softwarepakete. Eine der treibenden Kräfte dafür ist die europäische Datenschutzverordnung GDPR (General Data Protection Regulation), die im Mai 2018 in Kraft tritt.

„GDPR ist die weltweit umfassendste Datenschutzregelung. Sie betrifft alle Unternehmen, Programme und Daten, die in irgendeiner Form mit der EU in Verbindung stehen“, sagt IDC-Analystin Carla Arend. Doch damit nicht genug. Schon jetzt gibt es innerhalb der EU eine Reihe an Anordnungen, die eingehalten werden müssen.

Ein besonderes Problem ist, dass diese Regeln nicht gleich sind. „Selbst innerhalb der EU gibt es keine einheitlichen Datenschutzregeln, denn jedes Land interpretiert die EU-Richtlinien anders und ergänzt die EU-Vorgaben noch mit eigenen, landesspezifischen Gesetzen“, sagt Rick Spickelmier, CTO beim englischen Systemintegrator Birst.

Das Problem der vielen nationalen Sicherheitsregeln haben inzwischen auch die großen Softwareanbieter erkannt und arbeiten fieberhaft an landesspezifischen Lösungen. In der IT-Fachterminologie werden alle damit verbundenen Regeln mit den drei Begriffen „Governance“, „Risk“ und „Compliance“ (GRC) zusammengefasst.

Experten von Market Research Future meinen, dass der GRC-Softwaremarkt bis 2023 auf über 48 Mrd. $ anwachsen werde, das entspricht einer durchschnittlichen Steigerung von 13 % jährlich.

Das auf Analysen von Big Data spezialisierte Softwareunternehmen SAS hat sich in der Vergangenheit kaum um die rechtlichen Belange der Datenorganisation bei den Kunden gekümmert. Doch über ihre Data-Consulting-Dienste wurde vor einiger Zeit deutlich, dass es nicht mehr ausreicht, den Kunden nur die technologisch optimale Architektur zu empfehlen. „Wenn wir an Chemie-, Lebensmittel- oder Pharmakonzerne denken, dann sehen wir in praktisch jedem Land andere Datenvorschriften“, sagt Andreas Diggelmann, Vice President bei SAS und zuständig für Planung und Betrieb. „Das bedeutet, dass die zur Lösung einer bestimmten Aufgabe beste technische Lösung nicht immer zum Einsatz kommen kann, weil das Einhalten aller damit verbundenen Compliance-Auflagen dem zuwiderläuft.“ Um diesen Problemen zu begegnen, hat SAS begonnen, landesspezifische Versionen seiner GRC-Module zu entwickeln.

Beim Speicherspezialisten Veritas ist man inzwischen weiter. In dessen Archivierungsprogramm sind bereits die GRC-Vorschriften von vielen Ländern fest vorinstalliert. Es lassen sich ganze Regionen wie die EU oder individuelle Ländergruppen einrichten.

Mit diesen Länderregeln erfolgt dann eine Zuordnung auf die einzelnen Datenbestände, womit eine automatische Einhaltung der jeweiligen Regeln gewährleistet ist – theoretisch zumindest.

Um das auch praktisch komplett zu machen, ist noch ein weiterer Teil des Problems zu lösen, nämlich die Organisation der Speichereinheiten. Modernes Datenmanagement bedeutet, dass eine Verwaltungsebene oberhalb der physischen Speichereinheiten besteht. „Software-defined Storage“ heißt das – der Administrator weiß nicht mehr, wo die Daten tatsächlich physisch abgelegt sind. Solange das alles nur die Speichereinheiten betrifft, die im eigenen Haus installiert sind, ist es für die GRC-Regeln egal.

Anders verhält es sich jedoch, wenn darüber auch Rechenzentren oder Speichereinheiten integriert sind, die in anderen Ländern, beispielsweise in Verkaufsniederlassungen oder bei ausgelagerten Fertigungsstätten, angesiedelt sind. Dann sind die unterschiedlichen Länderregeln zu beachten, die manchmal sogar widersprüchlich sind.

Dieses Problem verstärkt sich, da viele kritische Daten, die zunehmend reguliert werden, ohne Kontrolle und Wissen der IT-Verantwortlichen generiert und bearbeitet werden. Beispielsweise werden Kreditkarten- oder CAD-Daten von unbekümmerten Mitarbeitern per E-Mail verschickt, irgendwo abgespeichert und woanders archiviert. Dort bleiben sie gespeichert, bis sie entweder einem Hacker zum Opfer fallen, bei einem Audit oder nach dem Ausscheiden des Mitarbeiters aufgespürt werden.

Veritas bietet hierzu eine Software an, mit der die meisten kritischen Daten automatisch aufgespürt werden. Eine Karte zeigt an, wo was wie gespeichert ist. Die Kombination von beiden Programmen erlaubt es dann, dass beim Verschieben von Datenbeständen automatisch geprüft werden kann, welche Konsequenzen das auf die jeweiligen Compliance-Regeln hat. Gegebenenfalls wird das Verschieben blockiert oder es erfolgt eine Warnung an den Administrator.

Neben SAS und Veritas arbeiten auch viele andere große IT-Anbieter – von Microsoft über IBM, SAP und Oracle bis hin zu Dell – an solchen Lösungen.

stellenangebote

mehr