07.06.2010 | Autor / Redakteur: James Damoulakis und Phil Poresky / Peter Schmitz
Compliance-Regelungen wie PCI-DSS, SOX, KonTraG und GDPdU fordern von IT-Abteilungen die Einhaltung vieler Einzelbestimmungen, darunter auch eine Vielzahl an Vorgaben zur Speicherung bestimmter Daten. Hinter Compliance steckt aber mehr als nur die Bereithaltung bzw. Archivierung eines bestimmten Datenbestandes. Es bleibt stets das Risiko, nicht alle Elemente zu berücksichtigen, die erforderlich sind, um ein Compliance-Audit erfolgreich zu bestehen.
Compliance hat sicherlich enorme Auswirkungen auf die IT-Infrastruktur der Unternehmen. Dem Datenschutz gilt heutzutage größere Aufmerksamkeit als früher. Manager zeigen ein neu entdecktes Interesse an ehemals banalen Themen wie Datensicherung und fordern mehr Informationen ein. CIOs stellen Fragen wie: „Wird der Sarbanes-Oxley Act verletzt, wenn wir Endanwendern erlauben, ihre eigenen Daten wiederherzustellen?” und „Wie beeinflusst unsere Strategie eines inkrementellen Backups unsere Recovery-Fähigkeit?”
Die Storage-Verantwortlichen reagieren unterschiedlich auf die Herausforderungen. Einige studieren die neuen Regelwerke, die ihre Organisation betreffen. Andere orientieren sich an den Anforderungen von SOA, PCI-DSS und HIPAA (in den USA) oder KonTraG et al. (in Deutschland) und modifizieren ihre Backup-Regeln dementsprechend. Wieder andere überlegen, bei der Umsetzung technische Lösungen zur Hilfe zu nehmen.
Trotz dieser Bemühungen bleibt das Risiko, nicht alle Elemente zu berücksichtigen, die erforderlich sind, um eine Compliance-Prüfung (Audit) erfolgreich zu bestehen. Das liegt daran, dass Compliance über die einfache Datenspeicherung weit hinausgeht. Für den Storage-Bereich zerfällt dieses Thema in zwei Hauptaspekte: Datenmanagement und Daten- bzw. Informationssteuerung. Die Archivierungsregeln sind ein entscheidender Teil des Datenmanagements, aber es gibt weitere Punkte, die zu beachten sind, z. B. Sicherheit und Wiederauffindbarkeit. Auf der anderen Seite stellt die Steuerung des Daten- bzw. Informationsflusses eine Herausforderung dar, die oft nicht ernst genug genommen wird.
Ein Unternehmen muss zunächst einmal eine wirkliche Anstrengung vollbringen, um die gesetzlichen Vorgaben zu erfüllen. Es mag zwar befremdlich klingen, aber diese geben nur selten genau vor, was zu tun ist. Ein großer Teil ist Interpretationssache. Zum Beispiel kann eine Regel lauten, dass E-Mails sieben Jahre aufzubewahren sind. Aber welche Nachrichten dies betrifft und ob beispielsweise auch Spam zu speichern ist, darüber geben die Vorschriften keine Auskunft – und ebenso wenig darüber, wie diese Aufbewahrung auszusehen hat.
Auch der Umgang mit externen Datenträgern und Medien ist nur selten detailliert geregelt. Stillschweigend wird erwartet, dass die Firma klug und im guten Glauben handelt – doch das sind subjektive Begriffe, die der juristischen Interpretation offen stehen. Daher ist es unumgänglich, dass die firmeninternen Regeln von der Rechtsabteilung bzw. kompetenten Anwälten oder Compliance-Beauftragten entworfen werden. Diese Regeln sind anschließend auch formal zu dokumentieren.
»1 »2 »3 nächste Seite
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2045269)
