Der Schutz von personenbezogenen Daten ist für Unternehmen nicht nur aus geschäftlicher Sicht sinnvoll, sondern gesetzlich vorgeschrieben. Die EU verschärft den Datenschutz immer weiter, sodass Unternehmen empfindliche Strafen befürchten müssen, wenn sie sich nicht an den Datenschutz halten. Auch beim Ersetzen der IT-Hardware oder dem Modernisieren von IT-Komponenten und dem damit notwendigen Entsorgen der alten Hardware müssen Unternehmen viele Vorschriften beachten.
Die General Data Protection Regulation (GDPR) der Europäischen Union, zu Deutsch EU-Datenschutz-Grundverordnung (EU-DSGVO) spielt für Unternehmen zum Beispiel eine enorm wichtige Rolle. Dennoch beschäftigen sich viele Verantwortliche überhaupt nicht oder zu wenig mit den Regularien des neuen Gesetzes. Das kann spätestens ab dem 25. Mai 2018 teuer werden, da die Frist für die Umsetzung der DSGVO dann abgelaufen ist und empfindliche Strafen drohen. Laut Bitkom können diese für Datenschutzverstöße bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens betragen.
Die DSGVO betrifft unter anderem auch Daten, die auf ausrangierter Hardware gespeichert sind. Nach der Studie „Spurlose Datensicherheit noch nicht erreicht“ haben 76 Prozent der Unternehmen dafür aber keinen definierten Prozess. Gleichzeitig nutzen aber auch 61 Prozent der Unternehmen Hardwarekomponenten, auf denen sensitive Daten gespeichert sind, die keinesfalls in unbefugte Hände gelangen dürfen. Laut der Studie kam es bei 30 Prozent dieser Unternehmen zu Datendiebstahl, und in jedem fünften Unternehmen wurden defekte Datenträger gestohlen. Im Rahmen der Studie wurden 300 deutsche Unternehmen mit mindestens 250 Mitarbeitern befragt. Die Studie umfasste die Datensicherheit im Unternehmen sowie die Vorschriften die eingehalten werden müssen. Es wird also schnell klar, dass für die meisten Unternehmen Handlungsbedarf besteht.
Diese Dienste sind Bestandteil der HPE Data Privacy Services
HPE bietet für seine Produkte umfassenden Support und Services an, die den ganzen Lebenszyklus der IT umfassen und dabei auch den Datenschutz im Fokus haben. Dazu gehören auch die HPE Data Privacy Services.
Diese umfassen wichtige Datenschutzgarantien und -Services, die HPE für seine Produkte gewährt oder als Dienstleistung anbietet. HPE Data Privacy Services unterstützen Unternehmen, um vertrauliche Daten über den gesamten IT-Lebenszyklus hinweg zu schützen und zu optimieren, während die Kunden gleichzeitig gesetzliche Bestimmungen zur Datensicherheit einhalten. Zusätzlich unterstützt HPE auch Unternehmen, die nicht nur auf HPE-Hardware setzen, sondern auch Produkte anderer Hersteller verwenden. Dabei wird der ganze Lebenszyklus der Hardware berücksichtigt. Dazu gehören neben dem sicheren Aufbewahren auch das Löschen und Entfernen von sensiblen Daten, bis hin zur zertifizierten Vernichtung.
HPE ermöglicht die Lagerung defekter Hardware im eigenen Rechenzentrum. Dies erfolgt durch Defective Media Retention und Comprehensive Defective Material Retention. Die Data Sanitization Services helfen dabei, sensible Daten zuverlässig zu löschen. HPE Asset Recovery bietet Unterstützung bei der verantwortungsvollen Stilllegung der Hardwarekomponenten. Zusammen ergeben Defective Media Retention, Comprehensive Defective Material Retention, Data Sanitization Services und HPE Asset Recovery einen idealen Schutz relevanter Daten über den kompletten Lebenszyklus von IT-Hardware.
Das Data Privacy Portfolio von HPE ist an die derzeitigen Bestimmungen angepasst und deckt alle Bereiche ab, die durch die neue EU-Datenschutzgrundverordnung in Kraft treten. Es schützt vor Strafen und Verlust durch Datendiebstahl durch verschiedene Stufen an Sicherheit.
Wenn Unternehmen Systeme außer Betrieb nehmen oder Speicher und Server aktualisieren, muss sichergestellt werden, dass auf den alten Geräten keine sensiblen Daten mehr gespeichert sind. Das gilt natürlich auch, wenn Mietgeräte zurückgegeben oder Speichergeräte erneut implementiert werden. Bei allen Geräten, auf denen Daten gespeichert werden, ist es wichtig und erforderlich, Maßnahmen zum Schutz der auf diesen Geräten gespeicherten Unternehmensdaten zu ergreifen. Das gilt insbesondere dann, wenn auf den Datenträgern personenbezogene Daten gespeichert sind.
Das einfache Löschen der Dateien auf der Festplatte reicht jedoch nicht aus, um die Daten unwiederbringlich zu entfernen und sich damit an die gesetzlichen Vorgaben zu halten. Unternehmen müssen hier deutlich weiter gehen, um Daten und damit sich selbst zu schützen. HPE bietet dazu verschiedene Services, um den Datenschutz zu gewährleisten. Als erstes sind die Services „Hardware Defective Media Retention (DMR)“ und „Comprehensive Defection Material Retention (CDMR)“ zu nennen. Diese beiden Dienste sorgen dafür, dass keine sensiblen Unternehmensdaten verloren gehen können oder in unbefugte Hände gelangen.
Unternehmen behalten dank HPE immer die Hoheit über ihre Daten
Mit DMR und CDMR wird sichergestellt, dass Datenträger auf denen sensible Daten des Unternehmens gespeichert sind, im Service-Fall im Unternehmen verbleiben, auch wenn sie defekt sind. Der Dienst kann direkt mit den Datenträgern zusammen erworben werden. Defekte Datenträger lassen sich durch diesen Dienst weiterhin zuverlässig im Rechenzentrum lagern, und das ohne weitere Kosten. Das vermeidet Datenverlust und Datendiebstahl. Einfach ausgedrückt heißt das, im Reparaturfall können Kunden ihre defekte Festplatte bei sich behalten, Service-Techniker erhalten keinen Zugang zu den Daten, sodass der Datenschutz immer gewährleistet ist.
Comprehensive Defection Material Retention (CDMR) ist eine Erweiterung von DMR und stellt sicher, dass generell alle Komponenten, auf denen Daten gespeichert sein können, im eigenen Unternehmen bleiben, nicht nur die eigentlichen Datenträger. Dazu gehören auch Controller und Zwischenspeicher (Cache), in denen Datenfragmente vorhanden sein können. Der Service-Techniker muss beim Austausch darüber informiert werden, auf welchen Komponenten heikle Daten gespeichert sind. Die Seriennummern der ausgetauschten Komponenten müssen an HPE übermittelt werden, die Hardwarekomponente selbst muss aber nicht zurückgegeben werden. Was mit den Daten auf dem defekten Gerät passiert, liegt in der Verantwortung des Kunden. Der Service-Techniker tauscht das Gerät nur aus und übergibt es den Verantwortlichen im Unternehmen. Diese Support-Varianten spielen also vor allem für die Datenträger und den beteiligten Komponenten in den Servern eine Rolle sowie für Datenträger in Speicherlösungen von HPE.
Zusätzlich bietet HPE aber noch mehr Services, um den Lebenszyklus von Datenträgern und deren Komponenten im Unternehmen zuverlässig zu begleiten. Neben DMR und CDMR unterstützt HPE mit den Data Sanitization Services noch das Löschen von heiklen Daten. Diese Dienste flankieren die Möglichkeiten, die bereits DMR und CDMR bieten.
Daten zuverlässig löschen – Data Sanitization Services
Um die Hoheit über die eigenen Daten zu behalten, reicht es nicht immer aus, die alten oder defekten Datenträger und -Komponenten im eigenen Unternehmen zu behalten. In vielen Fällen ist eine zuverlässige Löschung dieser Daten notwendig. Dabei unterstützt HPE bei dieser Lösung, und zwar direkt im eigenen Rechenzentrum vor Ort beim Kunden. Data Sanitization Services decken dabei nicht nur HPE-Komponenten ab, sondern auch Speicher-Arrays von Drittherstellern.
Aus dem HPE Data Privacy Portfolio spielen daher auch die Data Sanitization Services eine wesentliche Rolle, wenn es um die Sicherheit von sensiblen Daten geht. Dieser Dienst stellt ebenfalls sicher, dass keine Daten ungewollt das Unternehmen verlassen oder in unbefugte Hände gelangen. Data Sanitization Services bestehen zunächst aus Data Sanitization Services for Storage und Data Sanitization Services for Servers. HPE unterstützt also zuverlässig beim Löschen von Daten auf Speichermedien und Servern. Große Unternehmen profitieren zusätzlich von Onsite Media Sanitization. Da in solchen Umgebungen häufig und regelmäßig Daten gelöscht werden müssen, kann durch den Onsite Media Sanitization Service ein regelmäßiger Besuch am Kundenstandort erfolgen. Durch die Vereinbarung lassen sich also regelmäßig Datenträger löschen, ohne jedes Mal erneut den Dienst beauftragen zu müssen.
Daten zuverlässig löschen, auch durch mechanische Zerstörung
Data Sanitization Service verhindert vor allem die ungewollte Enthüllung von reglementierten, privaten oder vertraulichen Daten, wenn Speicherarrays erneuert, umfunktioniert, außer Betrieb genommen, oder weiterverkauft werden. In jedem Fall wird sichergestellt, dass alle Daten unwiederbringlich vom System entfernt werden. HPE bespricht die einzelnen Dienste im Data Sanitization Service mit dem Kunden und hilft dabei den richtigen Dienst und die Vorgehensweise der Löschung zu planen. In der Besprechung werden die verwendeten Prozeduren und das Verfahren beim Löschvorgang ausführlich erläutert. Zudem werden die Festplatten genannt, bei denen der Löschvorgang fehlgeschlagen ist, sodass für den Schutz der Medien weitere Aktionen des Kunden durchgeführt werden können. Die Verantwortlichen im Unternehmen behalten also immer genau den Überblick, welche Daten auf welche Weise gelöscht wurden, und für welche Datenträger gesonderte Schutzmaßnahmen getroffen werden müssen. Die Vorgänge werden zertifiziert und schriftlich festgehalten.
Das Entfernen der Daten von der Festplatte bietet eine Alternative zur mechanischen Zerstörung der Hardware und ermöglicht die Weiterverwertung der Datenträger, und das ohne Risiko sensible Daten aus der der Hand zu geben. Die Services umfassen Löschprotokolle, inklusive der Seriennummer des gelöschten Gerätes. Nach Abschluss der Löschprozeduren stellt HPE einen Bericht zur Bestätigung der Datenlöschung bereit, in dem die Datenlöschprozeduren und der Status nach der Bereinigung dokumentiert sind. Vor dem eigentlichen Löschen stellt HPE dem Kunden ein Dokument bereit, in dem das zu bereinigende Gerät sowie die für die Löschung verwendete Methode exakt definiert sind. Der Kunde muss dieses Dokument unterzeichnen, bevor die Arbeit aufgenommen wird. Das verhindert, dass wertvolle Daten entfernt werden.
Die Löschung der Daten erfolgt vor Ort im Unternehmen durch Einsatz von zertifizierter Software und Hardware-Appliances. Verfügbar sind die Dienste als HPE Packaged Support Services (Tier1, Tier 2), SOW (Statement of Work) (Tier 3) und über HPE Support Credits.
Mechanische Zerstörung und Schreddern von Dokumenten
Zusätzlich lässt sich auch die mechanische Zerstörung von Datenträgern mit HPE vereinbaren, wenn die Löschung der Daten nicht ausreicht. Auch hier lassen sich HPE-Geräte und Geräte von Drittherstellern abdecken, sodass Unternehmen keine verschiedenen Dienstleister beauftragen müssen. HPE unterstützt hierbei nicht nur bei der Zerstörung von Datenträgern, sondern auch beim Schreddern von Papierdokumenten.
Unternehmen können dabei die Partikelgröße frei wählen. Die Vernichtung wird anschließend von HPE durch ein Datenvernichtungszertifikat und ein Recyclingzertifikat bestätigt. Bei speziellen oder komplexen Anforderungen ist der HPE Data Sanitization Custom Service sinnvoll. Ein HPE-Projektmanager begleitet in diesem Fall das Projekt vom Anfang bis zum Abschluss. Für die Servicestufen 1 und 2 erbringt der HPE-Serviceexperte vor Ort die Serviceleistungen.
HPE Asset Recovery Services – Kontrolle über den IT-Lifecycle
Wenn Unternehmen neue IT-Komponenten in Betrieb nehmen, und veraltete Komponenten aus dem Netzwerk entfernen, ist ein verantwortungsvoller Umgang mit diesen Komponenten wichtig. Vor allem wenn auf den Komponenten sensible Daten gespeichert werden, müssen sich Verantwortliche im Unternehmen darauf verlassen können, dass der Dienstleister alle notwendigen Gesetze und Reglementarien kennt und einhalten kann. Unternehmen unterliegen über 160 verschiedenen gesetzlichen Anforderungen zur umweltverträglichen Entsorgung und dem Recycling von IT-Geräten. Der IT-Dienstleister muss diese Regeln und gesetzlichen Anforderungen genauso gut kennen, wie die Standards im Unternehmen.
Das Asset-Recovery sollte einem strukturierten Ansatz folgen, und Unternehmen sollten ständig die Kontrolle über den kompletten IT-Lifecycle behalten, auch beim Herauslösen, Entsorgen und Recyceln von Komponenten aus der IT-Infrastruktur. HPE Asset Recovery hilft dabei die Governance von Geschäftsabläufen zu optimieren. Verantwortliche im Unternehmen stimmen zusammen mit HPE interne Verfahren zur Datensicherheit und zum Umweltschutz für eine sichere und verantwortungsbewusste IT-Entsorgung und Recycling ab. Große Unternehmen erhalten von HPE in diesem Bereich auch eine konsistente Unterstützung und Prozesse für das Unternehmen weltweit. Unternehmen können von den Vorgängen auch profitieren. Denn durch die sorgenfreie Vermarktung und den Wiederverkauf von IT-Komponenten lassen sich häufig die Kosten für die Entsorgung refinanzieren.
Fazit
HPE unterstützt Kunden, die auf HPE-Hardware setzen, aber auch Unternehmen, die auf Hardware anderer Hersteller setzen, zuverlässig beim Datenschutz. Es wird sichergestellt, dass der komplette Lebenszyklus von Speichergeräten und Servern sowie anderer Hardwarekomponenten Berücksichtigung findet. Defekte Datenträger können problemlos im Unternehmen verbleiben, ohne die Gewährleistung zu verlieren. Mit Data Sanitization Service wird auf verschiedenen Ebenen sichergestellt, dass keinerlei Daten in unbefugte Hände gelangen und Unternehmen auch die neuen Normen und Regeln der EU bezüglich des Datenschutzes einhalten können. HPE Asset Recovery Services begleiten Unternehmen über den kompletten Lebenszyklus der IT.