Fast alle Unternehmen speichern WORM-Daten auf irgendeine Art und Weise. WORM-Daten stehen für Write Once, Read Many. Das bedeutet, dass Daten nur einmal geschrieben und dann mehrmals gelesen, aber nicht verändert werden können. Der Zweck von WORM-Daten ist die Speicherung einer definierten Dauer, wie etwa gesetzlich vorgeschriebene Aufbewahrungsfristen.
Viele Organisationen, die WORM-Daten speichern, sind zwar in der Lage, die Daten über lange Zeit aufzubewahren, sie wissen aber oft nicht, wann die Aufbewahrungsfrist abgelaufen ist, und was man anschließend mit den Daten machen soll. Werden Daten nach Ablauf nicht gelöscht, kann das zu erhöhten Speicherkosten und zu einer erhöhten Gefahr für Datenschutzverletzungen führen.
Sascha Hempe von Datadobi fasst in diesem Beitrag zusammen, was WORM-Daten sind, warum viele Unternehmen bei der Verwaltung dieser Daten Probleme haben, und wie ein richtiges WORM-Datenmanagement gelingt.
WORM-Daten stehen für Write Once, Read Many Data (einmal schreiben, mehrmals lesen). In der Datenspeicherung bedeutet dies, dass Daten nur einmal geschrieben und dann mehrmals gelesen, aber nicht verändert werden können. WORM-Daten werden aus verschiedenen Gründen benötigt, insbesondere in Branchen, in denen Datenintegrität, Authentizität und langfristige Aufbewahrung entscheidend sind. Beispiele hierfür sind Finanzdienstleistungen, Gesundheitswesen, Rechtswesen, Telekommunikation und der staatliche Sektor.
In diesen Branchen werden WORM-Daten verwendet, um wichtige Aufzeichnungen zu speichern. Finanztransaktionen, medizinische Aufzeichnungen, juristische Verträge und Regierungsarchive sind allesamt gute Beispiele für WORM-Daten. Um sicherzustellen, dass Informationen in ihrem ursprünglichen Zustand erhalten bleiben und bei Bedarf für Audits oder rechtliche Zwecke zur Verfügung stehen, werden solche Daten in einem Format gespeichert, das nicht verändert oder gelöscht werden kann.
WORM-Daten werden auch zum Schutz vor Datenmanipulationen und zur Einhaltung verschiedener Branchenvorschriften wie SEC-Rule 17a-4(f), HIPAA und DSGVO verwendet. Um diesen Anforderungen gerecht zu werden, haben viele Speicherhersteller WORM-Funktionen in ihre Systeme integriert. Diese Funktionen ermöglichen die Einrichtung spezieller Speicherbereiche, in denen Daten für einen bestimmten Zeitraum gespeichert werden können, ohne gelöscht oder geändert werden zu können.
Das Aufbewahrungsdatum jeder Datei wird individuell gespeichert, da es variieren kann. So kann es sein, dass einige Dateien sieben Jahre lang aufbewahrt werden müssen, während es bei anderen 10 Jahre oder mehr sind.
Die Risiken der Speicherung von WORM-Daten über die vorgeschriebenen Aufbewahrungsfristen hinaus
Der Zweck von WORM-Daten ist die Speicherung einer definierten Dauer, wie etwa gesetzlich vorgeschriebene Aufbewahrungsfristen. Viele Organisationen, die WORM-Daten speichern, sind zwar in der Lage, die Daten über lange Zeit aufzubewahren, sodass sie geschrieben, gelesen, aber nicht verändert werden können, sie wissen aber nicht, wann die Aufbewahrungsfrist abgelaufen ist, und was man anschließend mit den Daten machen soll.
Hat man keinen Plan, was nach der definierten Frist mit den Daten zu tun ist, birgt dies zahlreiche Gefahren. Erstens kann die Speicherung abgelaufener WORM-Daten zu unnötigen Speicherkosten führen. Denn Daten zu speichern, die man nicht mehr braucht, verschwendet offensichtlich wertvolle Ressourcen. Zweitens kann die Speicherung von Daten über die vorgeschriebene Aufbewahrungsfrist hinaus das Risiko von Datenschutzverletzungen erhöhen.
Denn je länger die Daten gespeichert werden, desto mehr Möglichkeiten gibt es für unbefugten Zugriff oder Diebstahl. Drittens können sich daraus auch rechtliche und regulatorische Risiken ergeben, da Unternehmen für die Aufbewahrung von Daten haftbar gemacht werden können, zu deren Speicherung sie nicht berechtigt sind.
Es ist Zeit für WORM Data Governance
Der erste Schritt, WORM-Daten von der Erstellung, über die zeitgerechte Speicherung und die schlussendliche Löschung oder Archivierung zu managen, besteht in der Entwicklung eines WORM-Data-Governance-Plans. Idealerweise sollte dieser Plan verschiedene Abteilungen innerhalb des Unternehmens einbeziehen und klare Richtlinien für die Verwaltung und den Schutz von Daten enthalten.
Dazu gehören die Festlegung von Aufbewahrungsfristen, die Klassifizierung und Kennzeichnung von Daten sowie die Implementierung von Datenzugriffskontrollen, Verschlüsselung und Überwachungstools. Auch sollten regelmäßige Audits und Bewertungen durchgeführt werden, um Schwachstellen zu erkennen und die Einhaltung der einschlägigen Vorschriften zu gewährleisten.
Zu den Abteilungen, die an der Entwicklung und Umsetzung des Data-Governance-Plans beteiligt sind, gehören IT-Experten, Rechts- und Compliance-Teams, einzelne Unternehmensabteilungen sowie Risikomanagement- und Audit-Teams. Ein kooperativer Ansatz, der alle relevanten Gruppen einbezieht, kann sicherstellen, dass der Plan umfassend, effektiv und auf die Bedürfnisse und Ziele eines Unternehmens zugeschnitten ist. All dies klingt bereits in der Theorie alles andere als einfach.
Die Verwaltung WORM-Daten ist in der Praxis komplex
In der Praxis kann die Umsetzung eines solchen Data-Governance-Plans noch schwieriger werden, insbesondere wenn eine Organisation sehr große Datenmengen in zahlreichen verschiedenen Formaten speichert. Zwar haben einige Speichersysteme Funktionen, die WORM-Daten nach dem Ende der Aufbewahrungsfristen zur Löschung freigeben können, die Funktionen sind jedoch meist nicht in der Lage, Aufbewahrungsfristen aktiv nachzuverfolgen.
Und selbst in Fällen, in denen eine Software zur Speicherverwaltung über eine solche Funktion verfügt, ist diese größtenteils nicht hieb- und stichfest. Denn die Funktionen, die Aufbewahrungsfristen für WORM-Daten verwalten sollen, sind eher auf die Erstellung ausgerichtet und weniger auf die Sichtbarkeit und die schlussendliche Löschung der Daten.
Dies führt dazu, dass viele WORM-Daten auch nach dem Ende ihrer Aufbewahrungsfristen weiter gespeichert werden. Um diese Lücke zu schließen, benötigen Organisationen Lösungen, die die Verwaltung von WORM-Daten verbessern.
Einfaches WORM-Datenmanagement in der Praxis
Um die Risiken der Speicherung von WORM-Daten zu verringern und einen Data Governance-Plan zu erstellen oder umzusetzen, bietet sich die Nutzung einer anbieterunabhängigen Datenmanagement-Lösung an. Solche Lösungen können WORM-Daten und deren Aufbewahrungsfristen auf zahlreichen unterschiedlichen Speichersystemen und mit verschiedenen Formaten identifizieren und direkt Aktionen umsetzen, um zu entscheiden, was mit den Daten geschehen soll.
Im Normalfall können die Daten auf ein anderes Speichersystem verschoben werden, etwa für eine günstigere, längerfristige Archivierung, oder sie werden einfach gelöscht.
Fazit: WORM-Datenumgebung mit herstellerunabhängiger Datenverwaltungslösung
So gut wie alle Unternehmen speichern WORM-Daten in irgendeiner Art und Weise, haben jedoch weder einen Data-Governance-Plan noch eine geeignete technische Lösung im Einsatz, die die effektive Verwaltung dieser Daten garantieren kann. Dies birgt zahlreiche Risiken. Eine sorgfältig verwaltete WORM-Datenumgebung bietet hingegen enorme Vorteile.
Durch die effektive Verwaltung während des gesamten Lebenszyklus der Daten können Unternehmen ihre Compliance-Situation verbessern, die betriebliche Effizienz steigern und das Vertrauen von Kunden und Interessengruppen stärken. Eine herstellerunabhängige Lösung zur Datenverwaltung kann Unternehmen dabei helfen, diese Vorteile zu erreichen.