18.10.2006 | Autor / Redakteur: Stephen J. Bigelow, Searchstorage.com / Rainer Graefen
Die Zeiten sind vorbei, in denen es reichte die wichtigen Unternehmensdaten in Form von Medienarchiven und an kühlen Orten für eine potentielle Wiederherstellung aufzubewahren. Archivdaten sind in größeren Unternehmen inzwischen aktiver Bestandteil des gesamten Datenbestandes.
Das heißt zum einen, dass Festplatten zum Archivmedium werden, zum anderen, dass Mechanismen vorhanden sind, die die Integrität der Daten sicherstellen. Damit das nicht nach Gusto passiert, mischt sich der Gesetzgeber mit immer neuen Anforderungen in die Thematik ein.
Ein professionelles Datenmanagement geht über Backups, Archivierung oder die Vorbereitung auf den Katastrophenfall weit hinaus. Unternehmerische Regelungen und Gesetzesvorgaben fordern nicht nur in Amerika die Integrität, Zugänglichkeit und Langzeitvorhaltung von Daten in jedem Unternehmen, gleich ob in öffentlicher Hand oder im Privatsektor.
Die Regelungen sehen außerdem ernste finanzielle und juristische Nachteile für Organisationen vor, die den Standards nicht entsprechen. Viele Firmen sind daher gezwungen, ihre Datenverarbeitung und -sicherung zu überdenken.
Compliance – die Einhaltung bestimmter Regeln für die Speicherung und Archivierung geschäftskritischer Daten – gewinnt im modernen IT-Management zunehmend an Bedeutung.
In den USA bewog die Sorge über einen korrekten, sicheren und vertraulichen Datenaustausch vor allem im Gesundheitswesen den Gesetzgeber zum Handeln. Daraus resultierte 1996 der Health Insurance Portability and Accountability Act (HIPAA), welcher der Branche grundlegende Änderungen abverlangte.
Bei der Speicherung wurden Mechanismen eingeführt, die die Vertraulichkeit und Integrität aller personenbezogenen Daten garantieren. Im Bankensektor führte der Gramm-Leach-Bliley Act (GLB) Kontrollmechanismen ein, die den Umgang der Geldhäuser mit den privaten Informationen ihrer Kunden veränderten.
Aber erst nach dem Untergang der Unternehmen Enron im Jahr 2001 und Worldcom Mitte 2002 bewegten sich die Unternehmen schneller in Richtung Compliance. Beide Konzerne hatten, ebenso wie andere Global Player und viele kleinere Unternehmen, bis Anfang des Jahrtausends mit fragwürdigen, aber bis dahin erlaubten Buchungstricks ihre Bilanzen geschönt und so Milliarden aus dem Anlegervermögen verbrannt.
Die US-Regierung reagierte darauf mit dem Sarbanes-Oxley-Act (SOA), über dessen Einhaltung die US-Börsenaufsicht Securities and Exchange Commission (SEC) wacht. Der SOA legt fest, welche Unterlagen aufbewahrt werden müssen und wie lange. Wer seinen Regeln nicht nachkommt, dem drohen hohe Geld- und sogar Gefängnisstrafen. Das gilt auch für die Verantwortlichen ausländischer Unternehmen, sofern deren Aktien an US-Börsen gehandelt werden.
In Deutschland sorgte sich der Gesetzgeber bereits etwas früher um das Schicksal der Unternehmen und ihrer Anteilseigner: Schon 1998 wurde das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verabschiedet, das u.a. erweiterte Haftungsregeln für Unternehmensvorstände enthielt und Firmen ein ausgeklügeltes Risikomanagement abverlangt. Auf dieser Basis wurden später auch das Aktien- und das GmbH-Gesetz weiterentwickelt. Den Schutz personenbezogener Informationen regelt außerdem das Bundesdatenschutzgesetz (BDSG).
Das Problem bei den meisten gesetzlichen Vorschriften besteht indes in den weit gefassten und unverbindlichen Formulierungen. Beispielsweise schreibt der SOA zwar vor, welche Aufzeichnungen wie lange gespeichert werden müssen, gibt aber keine Auskunft darüber, mit welchen Mitteln dies geschehen soll.
So bleibt es jeder IT-Abteilung selbst überlassen, Speicherhardware, Strategien und Methoden zu implementieren, von denen sie dann hofft, dass sie die Compliance-Anforderungen erfüllen. Oft ist nicht einmal klar, welche Daten gespeichert werden müssen, was dazu führt, dass vorsichtige DV-Abteilungen einfach alles aufbewahren. Das wiederum macht ausgefeilte Tools notwendig, um die ständig wachsende Menge an Daten zu durchsuchen.
Die einzuhaltenden Regeln und Vorschriften differieren also nach Nation und Branche – und teils noch einmal auf regionaler Ebene, etwa zwischen US-Bundesstaaten. Deshalb passen Unternehmen ihre Speicherpraxis meist den Anforderungen spezifischer Geschäftsbereiche an. Unabhängig davon umfasst eine erfolgreiche Compliance-Strategie grundsätzlich immer drei verschiedene Bereiche: Datenintegrität, Datenaufbewahrungszeitraum (Retention) und Datensicherheit.
Integrität bedeutet, dass Informationen nicht nachträglich verändert bzw. verfälscht werden oder durch das Versagen eines Mediums verloren gehen. Um dies sicherzustellen, werden meist Read-only-Medien wie CDs oder DVDs und einmal beschreibbare Festplatten-Systeme für Content Addressed Storage (CAS) verwendet. Die Integrität muss auch bei Backup, Migration, Replikation und Recovery-Maßnahmen gewahrt bleiben, weswegen jedes Unternehmen entsprechende Regeln und Prozesse einführen muss.
Die Retention legt fest, wie lange Unternehmen ihre Daten aufbewahren müssen. Hier liegt der Schwerpunkt der meisten einschlägigen Vorschriften. Es reicht jedoch nicht aus, die Daten nur zu speichern.
Sie müssen schnell abrufbar sein, um den Anforderungen der Compliance-Auditoren bzw. den Auskunftsbegehren z.B. der Finanzbehörden zu entsprechen. Das Hauptproblem heutzutage besteht also nicht in der Speicherung der Daten, sondern darin, eine bestimmte Information oder Datei in einer riesigen Speicherumgebung auch wieder zu finden.
Ein weiterer Punkt, den es zu beachten gilt, ist „Renderability“ – also die Möglichkeit, Daten auch nach längerer Zeit noch lesen zu können. Heute gespeicherte E-Mails lassen sich mit den Betriebssystemen und Applikationen der Zukunft vielleicht nicht mehr lesen, auch wenn das Speichermedium völlig intakt ist.
Eine gut geplante Speicherung umfasst daher die regelmäßige Konvertierung der Daten in ein aktuelles Format und ihre Migration auf aktuelle Datenträger. So ist sichergestellt, dass Daten lesbar bleiben, auch wenn sich Unternehmen und Technik weiterentwickeln.
Datensicherheit bedeutet zunächst, dass nur autorisierte Personen auf die Daten zugreifen können und dass Regeln und Verfahren implementiert sind, die einen Verlust oder Diebstahl verhindern sollen. Auch die gesetzlichen Regelungen befassen sich mit Fragen der Sicherheit und des Zugriffs. Das gesteigerte Interesse daran beschleunigt zudem die Entwicklung von Verschlüsselungswerkzeugen für Bandlaufwerke und Server.
Compliance verursacht Kosten. Ein Teil davon betrifft die Hardware und die Infrastruktur, die den Anforderungen der langjährigen Datenspeicherung und Integrität entsprechen müssen – also Festplatten, Bänder und andere Medien. Nicht zu vergessen die Investitionen in die Software für das Speichermanagement und die Wiederherstellung der Daten.
Weiterhin entstehen Kosten durch die Planung, Implementierung und Umsetzung der benötigten internen Regeln und Verfahren. Für manche Unternehmen können diese Kosten eine hohe Belastung sein: So brachte General Electric 2004 etwa 30 Millionen US-Dollar auf, nur um den Vorschriften des SOA zu entsprechen. Bei kleineren Firmen fallen diese Ausgaben normalerweise zwar geringer aus. Dennoch spielen die Kosten immer eine wichtige Rolle bei der Wahl der passenden Compliance-Strategie.
Es gibt keinen einzelnen Satz von „Compliance-Produkten“, vielmehr bieten die führenden Hersteller eine breite Palette von Hard- und Software an, die die entsprechenden Bemühungen unterstützt. EMC ist mit seinen anerkannten Festplatten-Archiven Centera und Clariion einer der Marktführer.
Network Appliance (Netapp) ist mit seiner SnapLock- und LockVault-Software, die hauptsächlich auf den Netapp-FAS- und NetStore-Plattformen eingesetzt wird, ebenfalls ein wichtiger Anbieter.
Das Axion-System von Avamar Technologies eignet sich besonders zur Archivierung juristisch relevanter Unterlagen und unterstützt die Umsetzung der verschiedenen Regelwerke.
IBM hat den DR500 im Programm, während Hewlett Packard das Reference Information Storage System (RISS) liefert.
Eine weitere wichtige Produktkategorie ist Archivierungssoftware für E-Mail: Hierunter fallen EMCs Email Xtender, Symantecs Enterprise Vault, der Message Manager von CA und die Enterprise Archive Solutions von Zantaz. Viele dieser Systeme ermöglichen dem Anwender, sowohl unstrukturierte Daten als auch elektronische Nachrichten mit nur einem Programm zu verwalten.
Enterprise-Content-Management-Systeme mit Workflow- und Unterstützung eines Information Lifecycle Managements (ILM) schließlich finden sich in Produkten wie EMCs Documentum, der P8-Softwareplattform von Filenet und Hummingbird Enterprise von Open Text. Zusätzliche Tools sind von IBM und Interwoven erhältlich.
Werkzeuge für das Wiederauffinden, die Indexierung und die Migration der Daten gibt es zusammen mit einer automatischen Speichersoftware von Arkivio, in den IS1200-Appliances von Kazeon Systems und den Active Policy Management Tools von Orchestria.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000357)
