Sicherheit: Datensicherheitsrichtlinie und Datensicherheitsverfahren

April 2022

Datensicherheit ist die Basis für Datenschutz und Compliance. Im NetApp Trust Center sorgen wir für Klarheit hinsichtlich der Datensicherheitsrichtlinien und Datensicherheitsverfahren rund um das Management der Sicherheit für unsere eigenen Systeme und für die uns von Kunden anvertrauten Daten.

NetApp erfüllt die Anforderungen der weltweiten Datensicherheitsgesetze, die angemessene Sicherheitsmaßnahmen für die Speicherung, Übertragung und Verarbeitung von Daten vorschreiben. Wir ergreifen Maßnahmen, die auf breiter Basis als wesentliche Elemente für angemessene Sicherheit anerkannt sind, darunter Verschlüsselung, Authentifizierungs- und Autorisierungskontrollen, Meldung von Sicherheitsverletzungen, Schutz vor Datenverlust und Patch-Management.

NetApp bietet eine Reihe von Verschlüsselungslösungen sowie Verschlüsselungsmanagement. Hinzu kommt eine breite Palette von Strategien und Tools, die Ihr Unternehmen vor Ransomware-Bedrohungen schützen. Strenge Richtlinien für die Datenaufbewahrung und -löschung unterstützen außerdem die Datenminimierung. Das Team der Sicherheitsforschung von NetApp arbeitet sorgfältig am Erkennen, Beseitigen und Eindämmen von Softwarefehlern und Sicherheitsschwachstellen.

Die bei NetApp implementierten Sicherheitsmaßnahmen schützen die eigenen Informationssysteme ebenso wie die darin gespeicherten Daten. Entsprechend dem Modell der gemeinsamen Verantwortung bieten wir zudem Strategien, Tools und Services, die auch unseren Kunden genau das ermöglichen.

Wenn ein Unternehmen von einer On-Premises-Infrastruktur zu einer Hybrid-Cloud-, Private-Cloud- oder Public-Cloud-Infrastruktur wechselt, ist eine gemeinsam mit dem Cloud-Serviceprovider übernommene Verantwortung für die Datensicherheit entscheidend für den Erfolg. Im Modell der gemeinsamen Verantwortung wird festgelegt, welche Parteien in der Cloud-Computing-Umgebung für das Management der Datensicherheit zuständig sind, also für Vertraulichkeit, Integrität und Verfügbarkeit von Daten.

Als Serviceprovider ist NetApp für den sicheren Betrieb der NetApp Cloud-Services verantwortlich, beispielsweise für die physische Sicherheit der NetApp Datacenter sowie für die Bereitstellung von Patches zu Schwachstellen in unseren SaaS-Lösungen. 

Sie als unser Kunde können für den sicheren Betrieb in der Cloud verantwortlich sein, etwa durch Unternehmensrichtlinien zur Komplexität von Passwörtern mit Geltung und Einhaltung sowohl bei virtuellen Implementierungen als auch On-Premises.

Außerdem stehen Ihnen verschiedene Partnerunternehmen von NetApp – darunter Amazon Web Services, Microsoft Azure und Google Cloud – zur Seite, die als Cloud-Infrastruktur-Provider das Management des sicheren Betriebs der eigenen Angebote übernehmen.

Weltweit werden in Datenschutzgesetzen angemessene Sicherheitsmaßnahmen für die Speicherung, Übertragung und Verarbeitung personenbezogener Daten verlangt. In den USA ist eine angemessene Sicherheit für bestimmte Kategorien von Informationen, etwa Finanz- und Gesundheitsdaten sowie andere personenbezogene Daten, gesetzlich vorgeschrieben. Damit werden Gesetze zu fairen Geschäftspraktiken und auch Datenschutzgesetze außerhalb der Vereinigten Staaten, beispielsweise die Datenschutz-Grundverordnung der EU, untermauert. 

In Bezug auf angemessene Sicherheit gibt es keinen festgelegten Standard und kein bestimmtes Engineering-Kontrollset – Aufsichtsbehörden und Gerichte betrachten aber einige Maßnahmen in diesem Zusammenhang als unverzichtbar: Verschlüsselung, Authentifizierungs- und Autorisierungskontrollen, Meldung von Sicherheitsverletzungen, Schutz vor Datenverlust und Patch-Management.

NetApp implementiert diese Sicherheitsmaßnahmen, um die eigenen Informationssysteme und die darin gespeicherten Daten zu schützen. Zudem entwickeln wir bei NetApp Produkte und Services, die Kunden einen solchen Schutz erschließen.

Ransomware-Angriffe bedrohen die Organisationssicherheit und die Datenverfügbarkeit – die Kosten solcher Attacken übersteigen die reinen Lösegeldforderungen damit bei weitem: Hinzu kommen die Kosten für Wiederherstellung, Betriebsunterbrechungen und Umsatzeinbußen, aber auch potenzielle juristische Auswirkungen und sogar ein Markenwertverlust. 

Strategien zur Reaktion auf Ransomware sind für die Vorbereitung auf Angriffe von entscheidender Bedeutung. Business-Continuity-Pläne, die Daten-Backup und -Recovery berücksichtigen, können die Auswirkungen eines Ransomware-Angriffs deutlich verringern. Eine Schlüsselkomponente: funktionierende Backups, die von der Ransomware-Angriffsschleife isoliert sind. Wenn Recovery Point Objectives auf nicht infizierte Datenpunkte hin optimiert werden, trägt das zum Schutz vor einer erneuten Infektion von Systemen bei. 

Als einer der weltweit führenden Anbieter von Storage-Lösungen hält NetApp eine breite Palette an Strategien, Tools und Services bereit, mit denen Sie Ihr Unternehmen vor Ransomware-Bedrohungen schützen, den Wiederherstellungsaufwand verringern und die Recovery-Zeit verkürzen können.

Grundsätzlich sind Sicherheitslücken in der gesamten Computerbranche sowie bei Unternehmen und Organisationen rund um den Globus bekannt. NetApp hat mit Blick auf Sicherheitslücken einen Lebenszyklus der sicheren Entwicklung eingerichtet, den Secure Development Lifecycle (SDL). Dabei handelt es sich um einen wiederholbaren Prozess mit sechs Schritten zum Entwickeln sicherer Software. Basis dafür sind Branchenstandards und Best Practices. Als Rahmenvorgabe unterstützt der SDL-Prozess die Produktteams beim Bewerten und Behandeln von potenziellen Sicherheitsschwachstellen im Zuge der Entwicklung aller NetApp Produkte und Services.

Gründliche Sicherheitstrainings und die Ernennung von Sicherheitsbeauftragten bilden die Grundlage für den SDL-Prozess. Der eigentliche SDL-Prozess beginnt mit einer Sicherheitsbewertung und einer Freigabe der Compliance- und Testpläne. Darauf folgen die umfassende Bewertung der Sicherheitsschwachstellen des Produkts, die Implementierung von Lösungen sowie die Validierung dahingehend, dass alle erkannten Schwachstellen beseitigt wurden. Am Ende stehen Risikokommunikationsverfahren und Monitoring durch ein Product Security Incident Response Team (PSIRT), das für die Bearbeitung von Produktsicherheitsproblemen zuständig ist.

Patches werden in der Regel veröffentlicht, um bekannte Probleme bei Software oder Daten zu beheben, etwa Softwarefehler oder Sicherheitslücken. Die Sicherheitsforschenden von NetApp arbeiten unermüdlich daran, unsere Produkte und Services zu schützen. Dazu gehört auch die Beteiligung an Sicherheits-Communities, in denen bekannt gewordene Schwachstellen nachverfolgt werden. Darüber hinaus unterhält unser Team ein Programm, über das Kunden und Forschende außerhalb der entsprechenden Communities Informationen zu potenziellen Sicherheitslücken einreichen. NetApp bewertet und verfolgt diese Informationen gemäß unserer Richtlinie für die Bearbeitung von Sicherheitsproblemen. Im Rahmen von Sicherheitsempfehlungen veröffentlicht NetApp regelmäßig Patches.

Das Management dieser Patches ist ein wesentlicher Bestandteil der angemessenen Sicherheitsmaßnahmen, die zur Sicherung Ihrer Netzwerke und Daten erforderlich sind. Mit dem Schwachstellen- und Patch-Management von NetApp erhalten Kunden auf allen Ebenen des Modells der gemeinsamen Verantwortung Support.

Verschlüsselung ist allgemein anerkannt als ein grundlegendes Element für die Sicherheit personenbezogener Daten. Einige Vorschriften, in den USA etwa die IRS-Publikation 1075, verlangen für bestimmte Informationen den Einsatz von spezifischer Verschlüsselungstechnologie bei Daten im Ruhezustand und während der Übertragung. Andere Regelungen – beispielsweise die EU-Datenschutz-Grundverordnung und das Datenschutzgesetz des US-Bundesstaats Kalifornien (California Consumer Privacy Act, CCPA) – machen Verschlüsselung nicht zur Pflicht, erkennen aber die wichtige Funktion der Verschlüsselung bei der Eindämmung von Datenschutzverletzungen im Zusammenhang mit personenbezogenen Daten an.

NetApp bietet unterschiedliche Verschlüsselungslösungen an. Hardware- und Softwareverschlüsselung auf Volume- oder Festplattenebene gehören ebenso dazu wie Verschlüsselungsmanagement zum Verwalten der Schlüssel für das Verschlüsseln und Entschlüsseln von Daten.

Ein Grundprinzip der Datensicherheit besagt, dass Unternehmen Daten ausschließlich im notwendigen Umfang erfassen und speichern sollten und dass Daten zu löschen sind, sobald sie für autorisierte Zwecke nicht mehr benötigt werden. Dieser Grundsatz der Datenminimierung verringert die Compliance-Komplexität und sorgt im Fall einer Sicherheitsverletzung für den Schutz von Daten. 

Die gängigste Methode zur Datenminimierung besteht darin, Richtlinien zur Datenaufbewahrung und -löschung einzuführen und durchzusetzen. Mit diesen Richtlinien wird nicht nur festgelegt, welche Informationen im Unternehmen wie lange aufzubewahren sind, sondern auch, wann und wie die Daten gelöscht werden müssen.

Die eigenen Datenlöschungsrichtlinien von NetApp unterstützen die Datenminimierung bei Daten, die auf den von Kunden zurückgegebenen Laufwerken gespeichert sind: Kunden sind angehalten, sämtliche auf den Medien gespeicherten Daten vor der Rückgabe zu löschen oder zu verschlüsseln beziehungsweise unwiederherstellbar zu machen.