Großköllnbach, Starnberg, 22. April 2014 – Praxiserprobter kleiner Leitfaden der CSP zu Risiken und den Folgen von Datenverlusten und Manipulationen...
Zum Hintergrund: Die Notwendigkeit der Archivierung von Dokumenten ist unbestritten, nicht jedoch in breitem Umfang das Bewusstsein hinsichtlich der Archivierung von Datenbanken. Spezialist CSP GmbH & Co. KG hat dieses Missverhältnis nach seinen Angaben in diversen Consulting-Projekten beobachtet. Als Hauptursache werden getrennte Verantwortlichkeiten der IT und Fachbereichen benannt. Das Risiko, dass Daten im Bedarfsfall plötzlich nicht mehr zur Verfügung stehen oder aber nur in veränderter Form, wird demnach vor allem in den Fachabteilungen unterschätzt. IT-Experten, die für die Datenbank zuständig sind, verweisen gerne auf den Fachbereich (dieser müssen wissen, wie lange Daten aufzubewahren sind und wie wichtig welche Daten sind... Der Fachbereich andererseits glaubt die Daten in der Datenbank ohne weitere Maßnahmen sicher gespeichert). Dass Daten in einer produktiven Datenbank jederzeit verändert werden können, wird zuwenig bedacht.
- „In beiden Fällen stellen wir fest, dass die Verantwortlichen nicht hinreichend für die Wichtigkeit ihrer Unternehmensdaten sensibilisiert sind. Besonders die Compliance wird teilweise geradezu sträflich ignoriert, obwohl die Datenbanken sehr oft wesentliche Informationen enthalten, die aus gesetzlichen Gründen wie der Produkthaftung langfristig unveränderbar aufzuheben sind“, berichtet Heike Johannes, Projektmanagerin für die Datenbankarchivierung bei der CSP.
Um mehr Transparenz über die in den Datenbanken enthaltenen Informationen und die daraus resultierenden Anforderungen zu erhalten, können sich Unternehmen an den folgenden Themen orientieren, die CSP aufgeführt hat:
- Risiken abschätzen bei der Einführung von neuer Software: Welches Risiko entsteht, wenn Daten außerhalb der eigentlichen Applikation manipuliert werden? Sind die Datensätze beispielsweise nach einem direkten Update in der Datenbank vor Veränderungen geschützt?
- Sind Daten aus gesetzlichen oder unternehmensinternen Gründen aufbewahrungspflichtig? Wenn ja, über welchen Zeitraum? Besteht Transparenz darüber, welche Daten in Datenbanken steuerlich relevante Informationen enthalten? Welche Daten unterliegen wegen der Produkthaftung der Pflicht zur Langzeitarchivierung?
- Welche Maßnahmen können getroffen werden, um die Risiken durch Datenmanipulation auszuschließen oder zu reduzieren?
- Wie kann ein exponentielles Wachstum der Datenbanken von vornherein verhindert werden und wie lassen sich die Kosten für unnötigen Datenballast senken?
- Übersicht gewinnen über aufbewahrungspflichtige Daten: Aus welchen Gründen müssen die Daten aufbewahrt werden? Welche gesetzlichen Bestimmungen gibt es? Gelten spezielle branchenspezifische Regelungen zur Datenaufbewahrung? Greifen zusätzlich interne Compliance-Regeln?
- Wie soll der langfristige Zugriff erfolgen; wer muss Zugriff auf diese Daten haben? Liefern andere Abteilungen oder andere Softwareprogramme diese Daten? Wenn ja, in welcher Weise?
- Nutzen andere Abteilungen oder andere Softwareprogramme diese Daten? Wenn ja, wie sehen die Schnittstellen oder der Prozess aus?
- Informationsflüsse der Daten über Applikationen hinweg visualisieren: Wie werden die Daten generiert und weiter verwendet? In welchen Abteilungen? Eine Visualisierung einzelner Softwarepakete hilft dabei, hier den Durchblick zu gewinnen. Im Automotive-Bereich kann der Informationsfluss etwa von der Planung über Karosseriebau, Montage, Lackierung und gegebenenfalls Nacharbeit bis hin zu Werkstatt und Kundendienst abgebildet werden. Geht es um eine ERP-Software, durchlaufen die Daten beispielsweise verschiedene Stationen vom Angebot über Auftrag und Produktionsauftrag bis zur Rechnungsstellung.
Fazit aus Sicht von CSP: „Im ersten Schritt ist es wichtig, die Anwender für ihre Daten zu sensibilisieren. Im zweiten Schritt lässt sich dann konsequent herausarbeiten, für welche Daten die gesetzkonforme Aufbewahrung wie umgesetzt werden kann und auf welche Art ein Datenverlust auszuschließen ist. Die Archivierung von Datenbanken bietet dabei einen optimalen Schutz vor Datenmanipulation und gleichzeitig auch die Sicherheit des Langzeitzugriffs“, kommentiert Heike Johannes.