Die Gefahr verwaister Daten : Wie zurückgelassene Dateien ehemaliger Mitarbeiter Unternehmen schädigen können.

Beschäftigte in modernen Büroumgebungen produzieren während ihrer Arbeit naturgemäß Daten, wie zum Beispiel E-Mails, Word-Dokumente, Excel-Tabellen, PowerPoint-Präsentationen oder Datenbanken. Die Menge und Art der erzeugten Daten variiert je nach Branche und Funktion. Die absolute Mehrheit dieser von Menschen erzeugten unstrukturierten Daten ist weitgehend harmlos. Allerdings ist der Nutzen dieser Daten für das Unternehmen in der Regel eher gering. Ebenfalls harmlos, wenn auch lästig, sind private Daten, die Mitarbeiter auf ihren Geräten und in der Folge auf der Speicherinfrastruktur hinterlassen. Speichert ein Mitarbeiter beispielsweise seine Urlaubsfotos auf dem Dienstrechner, so ist dies auf den ersten Blick kein großes Problem – der Rechner wird nach Beendigung des Arbeitsverhältnisses in der Regel ohnehin neu formatiert. Doch Unternehmen sichern alle Daten, meist nach dem 3-2-1-Prinzip. Das bedeutet, dass die private Urlaubsfotosammlung nicht nur auf dem Rechner des ehemaligen Mitarbeiters gespeichert ist, sondern wahrscheinlich auch auf dem Backup-Speicher und dem zweiten Air-Gap- oder Cloud-Backup-Speicher. Und dort ist es viel schwieriger, die Daten als nutzlos zu identifizieren und zu löschen.

Neben diesen harmlosen Daten, die lästig sind und Speicherplatz belegen, gibt es aber auch herrenlose Daten der gefährlichen Art: Denn viele Mitarbeiter, die ihre Geräte auch privat nutzen, speichern oft zahlreiche Daten auf ihren Rechnern, die dort nicht hingehören. Dabei kann es sich um urheberrechtlich geschützte Dateien wie Videos, Filme, Serien, Musik, Bilder und Software handeln, aber auch um Torrents, die zum Herunterladen von Dateien genutzt werden. Häufig werden diese Dateien von einer beliebigen Quelle aus dem Internet lokal auf den Computer heruntergeladen. Solche Daten können hohe Risiken bergen, zum Beispiel durch die Verbreitung von Viren und Malware. Oder einfach, weil sie illegal kopiert und innerhalb der Infrastruktur eines Unternehmens gespeichert wurden. Im schlimmsten Fall kann es sich um echte „illegale Daten“ handeln, deren bloßer Besitz strafbar ist. Auch können sich auf Rechnern ehemaliger Mitarbeiter sensible oder vertrauliche Informationen befinden, die aus Compliance-Gründen nicht mehr gespeichert werden dürfen.

Ob harmlos, mehr oder weniger gefährlich oder gar illegal, alle Arten von herrenlosen Daten können zahlreiche Risiken bergen:

• Operative Risiken: Orphaned Data können für Unternehmen auf operativer Ebene eine enorme finanzielle Belastung darstellen. Sie belegen teuren Speicherplatz und müssen aktiv und kontinuierlich verwaltet werden. Sie belasten die IT-Infrastruktur unnötig und vermindern dadurch die Systemperformance. Zudem führen unnötige Daten zu längeren Backup-Intervallen. Die Kosten für die Speicherung und Pflege dieser Daten können sich schnell summieren, insbesondere wenn eine große Anzahl von Mitarbeitern in einer Organisation tätig ist und diese eine hohe Fluktuationsrate aufweist.
• Sicherheitsrisiken: Wenn verwaiste Daten sensible oder vertrauliche Informationen enthalten, können sie eine Goldgrube für Cyberkriminelle sein. Gelangen die Informationen in die falschen Hände, kann dies verheerende Folgen haben, wie zum Beispiel Identitätsdiebstahl, Finanzbetrug oder Wirtschaftsspionage. Darüber hinaus können von Mitarbeitern illegal heruntergeladene Dateien Schadsoftware in die IT-Infrastruktur einschleusen, die nur darauf wartet, aktiviert zu werden.
• Compliance-Risiken: Wenn ein Unternehmen verwaiste Daten nicht ordnungsgemäß verwaltet, können sich diese im Laufe der Zeit ansammeln und zur Nichteinhaltung von Vorschriften wie DSGVO, SOX, HIPAA und FISMA führen. Die Nichteinhaltung von Branchenvorschriften kann für Unternehmen ein Albtraumszenario sein. Die potenziellen rechtlichen und finanziellen Strafen können ruinös sein und zu hohen Geldstrafen, Gerichtsverfahren und sogar zur Schließung des Unternehmens führen.
• Reputationsrisiken: Der Verlust sensibler oder vertraulicher Daten aufgrund von Nachlässigkeiten bei der Datenverwaltung ist für viele Unternehmen ein weiteres Schreckensszenario. Dies könnte ein fataler Schlag für den Ruf des Unternehmens und das Vertrauen der Kunden sein. Der Schaden, der durch einen solchen Vorfall entsteht, kann unermesslich sein, und es kann Jahre dauern, bis man sich von dem Verlust des Vertrauens und der Loyalität der Kunden erholt hat. Ganz zu schweigen von den Kosten, die durch mögliche Klagen und Vergleiche entstehen.

Herstellerunabhängige Lösungen für die Verwaltung unstrukturierter Daten

Es liegt auf der Hand, dass verwaiste Daten nicht nur unnötig Speicherplatz belegen, sondern Unternehmen auch in vielerlei Hinsicht schaden können. Daher ist es für Unternehmen von großem Interesse, das Problem der verwaisten Daten dauerhaft zu lösen. Theoretisch bedeutet dies, bestehende verwaiste Daten entweder einem neuen Eigentümer zuzuordnen oder sie zu löschen, wenn sie nicht mehr benötigt werden. Was einfach klingt, kann in der Praxis ungleich schwieriger sein. Denn ein Unternehmen, das über eine unbekannte Menge an verwaisten Daten verfügt, hat offensichtlich keine definierten Richtlinien für die Erstellung und Speicherung von Daten – und sehr wahrscheinlich auch keine technische Lösung, um verwaiste Daten zu identifizieren und zu löschen. Um sicherzustellen, dass alle Daten ordnungsgemäß dokumentiert, gespeichert und gepflegt werden, müssen Unternehmen zunächst Richtlinien und Verfahren zur Datenverwaltung einführen. Dies kann die Durchführung regelmäßiger Datenaudits, die Zuweisung klarer Eigentumsrechte und Verantwortlichkeiten für Daten sowie die Festlegung von Richtlinien für die Erstellung und Speicherung von Daten umfassen.

Am einfachsten ist dies mit einer herstellerunabhängigen Lösung für die Verwaltung unstrukturierter Daten zu erreichen. Die Lösung muss herstellerunabhängig sein, damit sie auf alle Daten zugreifen kann, die auf vielen verschiedenen Datenspeichern abgelegt sind. Mitgelieferte proprietäre Lösungen für das Datenmanagement von Speicherherstellern tun sich schwer damit, Daten auf Speichern anderer Hersteller zu verwalten. Darüber hinaus ist die Verwaltung aller unstrukturierter Daten deutlich einfacher, wenn man dies aus nur einer einzigen Lösung und Oberfläche tun kann. Solche Lösungen ermöglichen es, verwaiste Daten zu identifizieren und zu verwalten, indem sie Einblick in unstrukturierte Daten gewährt, die im gesamten Unternehmensbestand gespeichert sind. Durch den Vergleich der Liste der aktuellen Mitarbeiter mit den Daten, die sich auf dem Speicher befinden, können so alle Daten identifiziert werden, die keinen eindeutigen Eigentümer haben. Anschließend können aus der Lösung selbst Maßnahmen ergriffen werden. Dies kann unter anderem das Löschen, die Übertragung des Eigentums oder die Verlagerung in eine geeignetere Umgebung umfassen.

Fazit

Letztendlich ist es keine Option, die mit verwaisten Daten verbundenen Risiken zu ignorieren. Wenn man keine Maßnahmen zur effektiven Verwaltung von Daten ergreift, können die Sicherheit, der Ruf und die finanzielle Stabilität des Unternehmens auf dem Spiel stehen. Um alle Daten ordnungsgemäß zu dokumentieren, zu speichern und zu verwalten, müssen Unternehmen Richtlinien und Verfahren zur Datenverwaltung einführen und diese mit der Nutzung einer geeigneten Lösung für das Management unstrukturierter Daten umsetzen. So wird das Risiko verwaister Daten erheblich reduziert.

Sascha Hempe ist Regional Sales Manager DACH bei Datadobi.