In diesem Abschnitt geht es um die Fragen, welche Daten gespeichert werden, wie lange diese aufbewahrt und wann sie gelöscht oder archiviert werden sollen.
Data Retention
Das Thema der Aufbewahrungsrichtlinien lässt sich fast mit einem Satz abdecken: Daten müssen nur so lange wie nötig, aber so kurz wie möglich aufbewahrt werden.
Bei weiteren spielen zwei zentrale Faktoren eine Rolle:
Betriebliche Anforderungen. Unternehmen benötigen Daten beispielsweise für Analysen, Falluntersuchungen oder die Systemwiederherstellung. Werden Daten zu früh gelöscht, können wichtige Informationen für die Forensik, Audits oder das Disaster Recovery fehlen.
Gesetzliche und/oder regulatorische Anforderungen. Viele Branchen sind verpflichtet, bestimmte Daten über einen festgelegten (oft sinnvollen) Zeitraum aufzubewahren, damit spätere Prüfungen / Nachweise möglich sind.
Da die CCSP aus den USA stammt, sind die Compliance-Vorschriften USA-lastig:
- HIPAA (Health Insurance Portability and Accountability Act)
- PCI DSS (Payment Card Industry Data Security Standard)
- SOX (aus dem Finanzwesen)
- DSGVO (Datenschutz-Grundverordnung)
Kostenmanagement
Eine effiziente Datenaufbewahrung sollte nicht nur betriebliche und/oder regulatorische Anforderungen umsetzen, sondern auch die damit verbundenen Kosten und die Speicherarchitektur berücksichtigen. Man unterscheidet hier zwei Kategorien:
Operative Daten werden typischerweise auf schnelle Speicherlösungen (Fast Access Storage) abgelegt, damit diese sofort verfügbar sind, verbunden jedoch mit höheren Kosten.
Historische Daten und Compliance-Archive eignen sich dagegen für Archiv- oder Cold-Storage-Lösungen. Sie sind deutlich günstiger, benötigen aber mehr Zeit für den Zugriff. Beispiele hierfür sind Amazon S3 Glacier oder Azure Archive Storage.
Verfahren und Mechanismen zur Datenlöschung
Wenn man über Löschverfahren in der Cloud spricht, ist Crypto Shredding stets die effizienteste Methode (detailliert beschrieben im Abschnitt „Herausforderungen des Schlüsselmanagements“). Andere Methoden wie Overwriting oder Physical Destruction (Degaussing oder Shredding) sind in Cloud-Umgebungen weniger relevant, da kein direkter physischer Zugriff auf die Speichermedien besteht. Diese Verantwortung liegt beim Cloud-Provider und sollte vertraglich geregelt sein.
Im Kontext des Löschverfahrens spielt der Punkt Dokumentation eine wichtige Rolle. Es muss nachweisbar sein, wann welche Daten auf welche Weise gelöscht wurden.
Auch diese zwei Mechanismen zur Datensicherung und Unveränderlichkeit sind in unserem Kontext erwähnenswert:
WORM (Write Once, Read Many) – Daten werden einmal geschrieben und können danach nur noch gelesen, aber nicht mehr verändert oder gelöscht werden.
Blockchain-Technologie – durch die Speicherung von Transaktionsketten (Blocks), die jeweils den Hash des vorherigen Blocks enthalten, ist Manipulation ausgeschlossen. Eine Änderung eines einzelnen Blocks würde die gesamte Kette ungültig machen.
Löschverfahren können nach folgendem Leitfaden durchgeführt werden: Guidelines for Media Sanitization, NIST SP 800-88 Rev. 2
Löschmethoden nach NIST SP 800-88
- Clearing – entfernt sichtbare Daten und macht sie für Standardbenutzer unzugänglich, jedoch sind sie technisch noch wiederherstellbar (z. B. Leeren des Papierkorbs).
- Purging – tiefgehende Löschung durch mehrfaches Überschreiben von Sektoren mit Zufallsdaten.
- Crypto Shredding – Vernichtung der Verschlüsselungsschlüssel anstatt der Daten selbst.
- Destruction – physische Vernichtung des Speichermediums.
Archivierungsverfahren
Archivierung bezeichnet „die gezielte Überführung von Daten aus dem aktiven Betrieb in einen Langzeitspeicher“. Dabei gelten folgende Grundsätze:
- Formatwahl – archivierte Daten sollten in offenen, langlebigen Formaten gespeichert werden, damit sie auch nach Jahren noch lesbar sind.
- Integrität – regelmäßige Validierungen stellen sicher, dass archivierte Daten nicht unbemerkt verändert oder beschädigt wurden. Zugriffe und Änderungen müssen protokolliert werden.
- Wiederherstellbarkeit – Archive sind nur dann sinnvoll, wenn die Daten im Bedarfsfall auch tatsächlich wiederhergestellt werden können. Restore-Tests sollten daher regelmäßig durchgeführt werden.
- Automatisierung – Archivierungsverfahren sollten möglichst automatisiert ablaufen.
Legal hold d (rechtliche Sperre)
Ein Legal Hold (mehr dazu im Abschnitt 5.4) bezeichnet die verpflichtende und zeitlich unbegrenzte Sicherung von Daten, zu der eine Organisation im Rahmen eines Gerichtsverfahrens, einer Untersuchung oder eines Audits rechtlich verpflichtet ist.
Wird ein Legal Hold aktiviert, müssen automatische Archivierungs- oder Löschrichtlinien (Retention Policy) sofort ausgesetzt werden, auch wenn die reguläre Aufbewahrungsfrist bereits abgelaufen ist. Das versehentliche oder vorsätzliche Löschen von Daten unter Legal Hold gilt als Spoliation of Evidence (Beweisvereitelung, Beweisvernichtung) und kann schwerwiegende rechtliche Konsequenzen haben.
Nach der Legal Hold Aktivierung erfolgt eine elektronische Beweissicherung, die sogenannte E-Discovery – also die forensische Sammlung, Analyse und Bereitstellung elektronischer Beweise.
Ein interessanter Beitrag zum Thema: Legal Hold und DSGVO – Beweissicherung oder Datenschutz?