Professionelles Datenlöschmanagement als Vorteil für Cloud-Anbieter Zertifizierte Datenlöschung in Zeiten der Cloud

Autor / Redakteur: Thomas Wirth * / Florian Karlstetter

Das rasante Datenwachstum verunsichert Unternehmen und Privatnutzer gleichermaßen – zu präsent sind die Schlagzeilen über den Verlust und den Missbrauch sensibler, personenbezogener Daten im Internet. Längst geht es nicht mehr nur um deren sicheres Speichern, sondern auch um ihre unwiderrufliche Löschung aus der Cloud, wenn sie einmal nicht mehr gebraucht werden.

Firmen zum Thema

Ganzheitliche Strategien zur Datenlöschung sind sowohl für Cloud-Provider als auch für Anwender zwingend notwendig.
Ganzheitliche Strategien zur Datenlöschung sind sowohl für Cloud-Provider als auch für Anwender zwingend notwendig.
(Bild: Blancco / Aintschie - Fotolia)

Für Cloud-Anbieter, die dieser Herausforderung mit einem revisionssicheren Datenlöschmanagement begegnen, entstehen in diesem Zusammenhang zukunftsfähige Geschäftsmodelle.

Das Internet, wie wir es kennen, steht vor einem Paradigmenwechsel: Seine Nutzer fordern ein bis dato unbekanntes Recht ein, das Recht auf Vergessenwerden. Digitale Informationen sollen nicht mehr dauerhaft im Internet gespeichert werden. Unlängst hat Google deshalb mit dem Entfernen von unliebsamen Treffern in Suchergebnissen begonnen. Mehr als 70.000 Löschanträge sind europaweit bis Anfang Juli bei Google eingegangen, allein 12.000 davon aus Deutschland.

Diese Zahlen zeigen, dass die öffentliche Diskussion um Datensicherheit eine neue Dimension erreicht hat. Im Mittelpunkt steht nicht nur die Frage nach dem sicheren Speichern von sensiblen Daten, sondern ebenso nach der zuverlässigen Datenlöschung. Betroffen sind davon nicht nur Suchmaschinen wie Google, sondern auch Unternehmen jeder Branche und Größe – und nicht zuletzt die Anbieter von buchbarem Cloud-Speicherplatz.

Denn heute lagern die Daten einerseits auf den verschiedensten Endgeräten – vom stationären PC über Laptops bis hin zu Tablets und Smartphones –, andererseits aber eben auch auf unternehmensexternen Servern und damit letztlich in den Rechenzentren von Fremdanbietern. Sie sind es, die großen und kleinen Unternehmen den benötigten Speicherplatz zur Verfügung stellen. Vor dem Hintergrund des immensen Daten-Wachstums, das unsere Zeit bestimmt, stellt das Thema Datenlöschung all diese Unternehmen vor immense Herausforderungen:

Bis 2020, so eine Schätzung der International Data Corporation (IDC), wird das weltweite digitale Datenvolumen auf rund 40 Billionen Gigabyte anwachsen und sich damit im Vergleich zum Stand von 2010 nahezu vervierzigfachen. Ein Großteil dieser Informationen lagert längst in der Wolke.

Zunehmend komplexere Anforderungen

Erschien ein gezieltes Datenlöschmanagement im eigenen Unternehmen einstweilen noch als durchaus händelbar, nimmt es im Cloud-Zeitalter also deutlich komplexere Ausmaße an. Denn wenn sensible Daten nicht mehr nur auf unternehmensinternen Speicherplätzen, sondern in Rechenzentren von externen Dienstleistern lagern, müssen Mittel und Wege gefunden werden, auch hier eine endgültige und nachweisbare Datenlöschung durchzuführen, wenn sie geboten ist.

Das kann in verschiedenen Fällen gefordert sein – beispielsweise wenn in die Jahre gekommene IT aus dem jeweiligen Rechenzentrum ausgemustert wird, aber im Zuge eines Remarketings und damit im Sinne einer ökologischen und finanziellen Nachhaltigkeit andernorts zur Weiterverwendung zur Verfügung gestellt werden soll. Oder aber in der Migrationsphase bei der Konsolidierung von Rechenzentren.

Und selbst bei laufendem Betrieb, um die gesetzlichen Anforderungen an den Schutz personenbezogener Daten in stark regulierten Branchen wie dem Gesundheits- und Finanzwesen zu erfüllen. Nicht vergessen werden dürfen auch beispielsweise Disaster-Recovery-Tests, mit deren Hilfe Rechenzentren anlässlich eines Audits belegen, dass sie Daten im Verlustfall schnell wieder herstellen können. Dazu gelangen die Daten für ein Backup auf ein zweites Unternehmenssystem – und müssen nach dem Test nachweislich und sicher wieder gelöscht werden.

Datenlöschungskompetenz

Ob End-of-Lifecycle-Management oder kritische Übergangssituation: Gemäß Bundesdatenschutzgesetzes sind es jedoch nicht die Cloud-Betreiber, sondern die Eigentümer, die für den Schutz ihrer Daten haften – und damit auch für deren Löschung. Wer Daten national oder international auslagert, ist für die dortige Einhaltung des deutschen Datenschutzes zuständig und muss genaue Vorgaben für die Datenlöschung machen sowie regelmäßig überprüfen und dokumentieren, ob diese Vorgaben auch eingehalten werden. Wer sich dagegen nicht vor Auftragsbeginn von der ordnungsgemäßen Datenlöschungskompetenz des Auftragsgebers überzeugt, handelt ordnungswidrig gemäß Bundesdatenschutzgesetz.

Datenlöschung als zukunftsweisendes Geschäftsmodell

Cloud-Anbieter und Betreiber großer Rechenzentren sollten in Zeiten folgenreicher Datenverlustskandale und verschärfter Richtlinien die Frage nach der effizienten und zuverlässigen Löschung der Daten ihrer Kunden deutlich stärker widmen, als es bisher der Fall ist. Nicht zuletzt, weil daraus neue Geschäftsmodelle erwachsen: Rechenzentren können beispielsweise die nachweisbare Datenlöschung direkt als Dienstleistung für ihre Kunden anbieten.

Über einen monatlichen Betrag, der beispielsweise anteilig zu der gespeicherten Datenmenge entweder per Terrabyte oder per virtueller Maschine erhoben wird, ist die sichere und per Report dokumentierte Datenlöschung für die Kunden gesichert. Ein anderes Modell ist es, die Datenlöschung im Bedarfsfall als Zusatzleistung zu bestellen, die jederzeit flexibel vom Kunden zum eigentlichen Speicherplatz hinzugebucht werden kann.

Wie auch immer die Einbindung der sicheren Datenlöschung letztlich erfolgt, eines steht fest: Für Cloud-Anbieter ist es heute wichtig und bringt einen zusätzlichen Vorteil, das Augenmerk auch auf die Datenlöschung zu richten. Denn ein Dienstleister, der neue Anforderungen seiner Kunden im Auge hat und umsetzbare Lösungen parat hat, kann sich am Markt als zukunftsweisender Anbieter profilieren.

Das „Recht auf Vergessen“

Das ist vor dem Hintergrund gegenwärtiger Entwicklungen nachhaltig gedacht: Schon jetzt ist das Thema Datenlöschung ein wichtiger Teil der Security Policy nahezu jedes Unternehmens und der Fokus auf diese Thematik wird sich in den kommenden Monaten und Jahren noch deutlich verstärken. NSA und Prism haben Privatnutzer ebenso wie Unternehmensverantwortliche stark sensibilisiert. Eine professionelle und zertifizierte Lösung anzubieten, kann zum entscheidenden Marktvorteil werden.

Zeitgleich ist damit zu rechnen, dass sich auch von Seiten der Politik die Richtlinien weiter verstärken. Dem „Recht auf Vergessen“ wird zukünftig stärker Rechnung getragen werden müssen. Im Herbst soll eine neue EU-weite Datenschutzverordnung verabschiedet werden, die einheitliche Regelungen für den Umgang mit elektronischen Daten trifft und auch ihren Verlust stärker sanktioniert: Während geschädigte Unternehmen bei Datenverlust bislang relativ glimpflich davongekommen sind, ist zukünftig mit deutlich höheren Strafen zu rechnen.

Ein solches Risiko vorzubeugen wird für das Risk Management eines Unternehmens eine immer größere Rolle spielen. Es gilt dann die Devise, sich gegen große finanzielle Risiken lieber mit einem Bruchteil des Betrages zuverlässig abzusichern. Genau hier liegt die Chance für Cloud-Betreiber, sich entsprechend zu profilieren und ihren Kunden eine reportfähige Datenlöschung zu garantieren.

Revisionssichere Lösungen sind gefragt

Rechenzentrumsbetreiber und Serverfarmen brauchen also einen starken Partner an ihrer Seite, der ihnen die passenden und geprüften Lösungen für das Datenlöschmanagement liefert. Sie benötigen einen revisionssicheren Löschbericht, der von einer zertifizierten Löschsoftware erstellt wurde. Vorreiter auf diesem Gebiet ist Blancco: Das Unternehmen mit deutschem Firmensitz in Ludwigsburg entwickelt und vertreibt automatisierte Lösungen für die zertifizierte Datenlöschung auf Endgeräten, Servern und selbst auf virtuellen Maschinen.

Um die Anforderungen der erhöhten Datensicherheit in Rechenzentren zu erfüllen, lassen sich über die Softwarelösungen von Blancco automatisierte Löschprozesse auf fünf verschiedenen Ebenen ausführen. Zunächst auf Datei-Ebene: Weil Rechenzentren mit hoher Verfügbarkeitsanforderung zum Schutz vor Datenverlust mehrere redundante Kopien von Dateien speichern, die gemäß Branchenstandards wie z.B. dem PCI DSS in bestimmten Zeitabständen gelöscht werden müssen, können einzelne Dateien entweder zeit- oder ereignisgesteuert gelöscht werden. Das ist auch bei der Beendigung eines Hostings von virtuellen Laufwerken interessant, die ja in einer aktiven Online-Umgebung erfolgen muss, ohne dass andere virtuelle Maschinen davon beeinträchtigt werden.

Die zweite Ebene ist das Löschen auf LUNs und Speichersystemen: Ohne einen „LUN Eraser“ ist die Beseitigung alter Kundendaten mit einem erheblichen Arbeitsaufwand verbunden. Die entsprechende Blancco-Lösung löscht logische Laufwerke in aktiven Speicherumgebungen kosteneffizient und benutzerfreundlich nach internationalen Standards, ohne dass die Nutzung des Speicher-Arrays während dieser Zeit in irgendeiner Weise beeinträchtigt sind. Insbesondere zum Ende eines Hosting-Vertrags oder im Zuge eines Disaster-Recovery-Tests ist diese Form der Datenlöschung gefragt.

Hardware sicher ausmustern

Für das End-of-Lifecycle-Management von teilweise defekten oder ausgemusterten Festplatten ist dagegen ein schnelles, simultanes Löschen auf Hardware-Level erforderlich – die dritte Ebene der Datenlöschung. Die Lösung des Ludwigsburger Spezialisten ist hier in der Lage, große Datenmengen effizient zu Löschen und erstellt zudem einen auditfähigen Löschbericht.

Sollen gar ganze Server stillgelegt werden – beispielsweise, wenn ein Rechenzentrum umzieht und Server in eine neue Umgebung verlegt werden –, besteht ohne sichere Löschung die Gefahr, dass Daten beim Transport in falsche Hände geraten. Ähnlich wie beim Löschen auf Laufwerksebene ist auch auf dieser vierten Ebene eine zertifizierte Lösung für das Löschen von Servern mit und ohne RAID gefragt.

Die fünfte Ebene ist die weitreichendste: das Löschen auf Storage-Ebene. Es ist immer dann gefragt, wenn komplexe Speicherumgebungen nach deren Stilllegung weitergegeben werden sollen, beispielsweise nach einem Hardware-Refresh oder bei Ende des Leasingvertrages.

Um nicht auf eine Vielzahl unterschiedlicher Löschprodukte angewiesen zu sein, benötigen Rechenzentren mit High-End-Servern eine Lösung, mit dem sich Daten von einer breiten Palette an Hardware-Geräten löschen lassen – Blancco bietet auch hierfür die richtige Lösung.

Ein professionelles Datenlöschmanagement ist also mit zertifizierten Lösungen selbst in hochkomplexen und dynamischen IT-Umgebungen wie denen großer Rechenzentren durchaus möglich. Sie hilft damit, einen sicheren und effizienten Betrieb zu gewährleisten und bietet damit Betreibern wie deren Kunden die Gewissheit, dass sie für die komplexen Anforderungen unserer Zeit bestens gerüstet sind. Auf diesem Wege können Cloud-Anbieter das schwindende Vertrauen von Unternehmen und Privatnutzern zurückgewinnen und sich als zuverlässige Größe auf dem Weg in ein sicheres Netzzeitalter positionieren.

* Thomas Wirth ist Geschäftsführer bei Blancco

(ID:42999986)