Share
Beitragsbild zu Resilienz kann man sich nicht aussuchen – man muss sie sich verdienen

Resilienz kann man sich nicht aussuchen – man muss sie sich verdienen

5. Mai 2025

Ich muss ein Geständnis machen: Ich mag Vorschriften nicht besonders. Jetzt ist es raus.

Aber die Sache ist die: Ob wir sie mögen oder nicht, Vorschriften kommen auf uns alle zu. Einige von Ihnen spüren bereits den Druck, während andere auf das unvermeidliche Klopfen an der Tür warten.  Lassen Sie uns also darüber sprechen. Warum häufen sich die Vorschriften immer mehr? Was bedeuten sie für den Datenschutz? Und vor allem: Was sollten Sie eigentlich dagegen tun?

Vorschriften: Warum sollten Sie sich dafür interessieren?

Als ich zum ersten Mal einen Vortrag über den regulatorischen Druck im Bereich Datenschutz hielt, war das vor einem europäischen Publikum – also vor Menschen, die bereits unter strengen Vorschriften leben. Die Frage, warum Sie als Leser dieses Artikels (der unseren Website-Statistiken zufolge höchstwahrscheinlich aus Nordamerika stammt) sich dafür interessieren sollten, lässt sich ganz einfach beantworten:

  • Wenn Sie in Europa leben, müssen Sie klare gesetzliche Anforderungen erfüllen.
  • Wenn Sie anderswo leben, sind die regulatorischen Rahmenbedingungen vielleicht nicht so weit fortgeschritten, aber das bedeutet nicht, dass Sie sich nicht darum kümmern müssen.
  • Unabhängig davon, wo Sie sich befinden, gilt für Vorschriften immer, dass sie sich ausweiten und verschärfen. Auch wenn Sie heute noch nicht reguliert sind, ist das keine Garantie für morgen.

Unabhängig davon, wo Sie sich befinden, gibt es drei wichtige Fragen, die sich jedes Unternehmen stellen sollte:

1. Unterliegen Sie derzeit Vorschriften zu Datenaufbewahrung, Datensicherung, Notfallwiederherstellung oder Geschäftskontinuität? Auch wenn Sie glauben, dass dies nicht der Fall ist, sollten Sie genauer hinschauen. Es gibt auch branchenspezifische Anforderungen, und Regulierungsbehörden lieben weit gefasste Auslegungen.

2. Verändert sich Ihr regulatorisches Umfeld? Das ist schwer vorherzusagen. In den USA ist das Regulierungssystem, gelinde gesagt, unbeständig. Niemand weiß wirklich, welche Prioritäten beispielsweise die Securities and Exchange Commission (SEC) bei der Durchsetzung setzen wird. In Europa sind die Trends jedoch ziemlich klar: Die Regulierungsbehörden legen den Schwerpunkt auf Vorschriften und deren Durchsetzung in den Bereichen Cybersicherheit, Datenschutz und Resilienz.

3. Können Sie Ihren aktuellen Ansatz zum Datenschutz rechtfertigen? Unabhängig davon, ob dies gesetzlich vorgeschrieben ist oder nicht, sollten Sie Ihre Entscheidungen in Bezug auf Disaster Recovery und Datenschutz verteidigen können, insbesondere wenn Ihr Unternehmen in mehreren Regionen tätig ist.

Der Umfang des regulatorischen Aufwands

Schauen wir uns die Zahlen an. Im Jahr 2023 hat die EU fast 1.600 neue Vorschriften erlassen und fast 800 bestehende Vorschriften geändert. Selbst wenn die Zahlen für 2024 nur halb so hoch ausfallen sollten, wäre dies immer noch ein erheblicher regulatorischer Aufwand.

In den USA sind diese Zahlen schwieriger zu ermitteln, da die Vorschriften je nach Bundesstaat und Branche variieren. Beispielsweise umfasst die Finanzaufsichtsbehörde FINRA allein für die Datenverwaltung und -speicherung 136 Seiten mit Vorschriften – und das ist nur eine Aufsichtsbehörde für einen bestimmten Bereich der Finanzdienstleistungen. Multipliziert man diese Zahl mit den staatlichen und bundesstaatlichen Aufsichtsbehörden in verschiedenen Branchen (und addiert man noch die EU-spezifischen Vorschriften hinzu, die für US-Unternehmen gelten, die in der EU oder mit der EU Geschäfte machen), kommt man auf eine weitere große Zahl.

Die tatsächliche Anzahl der Vorschriften spielt fast keine Rolle – entscheidend ist die Änderungsrate, und diese steigt.

Die Cloud hat alles verändert – auch die Datensicherung

Lassen wir das Thema Vorschriften einmal beiseite und kehren wir zur Datensicherheit zurück. Jahrzehntelang galt die 3-2-1-Backup-Regel als Goldstandard:

  • Drei Kopien Ihrer Daten
  • Zwei verschiedene Speichermedien
  • Eine Kopie außerhalb des Unternehmens

Das funktionierte hervorragend in Zeiten von lokalen Rechenzentren und physischen Band-Backups. Aber heute, in einer Cloud-first-Welt, muss diese Regel aktualisiert werden.

So sieht die moderne 3-2-1-Regel aus:

  • Drei Kopien Ihrer Daten: Eine Produktionskopie, zwei Sicherungskopien
  • Zwei unterschiedliche Sicherheitsgrenzen: Nicht nur zwei Standorte, sondern separate Sicherheitsumgebungen
  • Eine unveränderliche Kopie: Mindestens eine Sicherung, die nicht verändert oder gelöscht werden kann, Punkt

Die Regulierungsbehörden erkennen diesen Wandel. Sie geben sich nicht mehr mit der Aussage „Ja, wir haben Backups“ zufrieden. Sie wollen den Nachweis, dass Sie Daten schnell, sicher und ohne Manipulationsrisiko wiederherstellen können.

Und wenn Sie glauben, dass Ihr SaaS-Anbieter Sie abdeckt, lassen Sie mich Ihnen einen Strich durch die Rechnung machen.

Die Wahrheit hinter dem Datenschutz von Anbietern

Ich kann gar nicht mehr zählen, wie oft ich schon gehört habe: „Oh, wir müssen uns keine Sorgen machen – [Name des SaaS-Anbieters einfügen] schützt unsere Daten.“

Darauf antworte ich: „Cool. Haben Sie das getestet?“ Denn die Realität sieht so aus:

  • Backup-Tools von Anbietern decken nicht immer alles ab.
  • Wiederherstellungstools sind oft eingeschränkt.
  • Unabhängig von den technischen Fähigkeiten des Anbieters können dessen Richtlinien die Möglichkeiten oder die Bereitschaft zur Wiederherstellung Ihrer Daten einschränken.
  • Die Richtlinien zur Datenaufbewahrung entsprechen möglicherweise nicht Ihren Compliance-Anforderungen.
  • Und was am wichtigsten ist: Viele SaaS-Anbieter bieten keine unveränderlichen und air-gapped Backups. Was passiert mit den Primärdaten und dem vom Anbieter bereitgestellten Backup, wenn der einzige Anbieter einen katastrophalen Ausfall erleidet?

Es gibt zahlreiche Horrorgeschichten aus der Praxis. Unternehmen gehen davon aus, dass ihr SaaS-Anbieter sie abgesichert hat, und müssen dann auf schmerzhafte Weise feststellen, dass ups, die kritischen Kundendaten nicht wiederherstellbar sind. Niemand möchte seinem Chef, dem Vorstand oder einer Aufsichtsbehörde erklären müssen, dass trotz guter Absichten letztendlich doch keine brauchbare Sicherung vorhanden ist. Das sind wirklich unangenehme Gespräche!

Regulatorischer Fokus: Datenhoheit und Resilienz

Ein Bereich, in dem die Regulierungsbehörden bereits eingegriffen haben, ist die Datenhoheit – also die Frage, wo Ihre Daten gespeichert sind und ob sie grenzüberschreitend übertragen werden dürfen. Dies kann je nach Ihrem Standort und dem Speicherort Ihrer Daten ein sehr komplexes Thema sein. Kurz gesagt:

  • Als europäischer Kunde möchten Sie aus regulatorischen Gründen in der Regel nicht, dass Ihre Daten in die USA übertragen werden.
  • Interessanterweise sehen wir jetzt, dass amerikanische Unternehmen dasselbe verlangen – sie sind zwar gesetzlich nicht verpflichtet, ihre Daten auf dem amerikanischen Kontinent zu speichern, aber sie wollen, dass sie dort bleiben.
Wo ist das Problem?

Wendy’s hatte einen berühmten Werbespot, der auch 40 Jahre nach seiner Erstausstrahlung noch bekannt ist, in dem die Schauspielerin Clara Peller wissen wollte: „Wo ist das Fleisch?“ Das fragen jetzt auch die Regulierungsbehörden. Früher sagten sie: „Es ist in Ordnung, wenn Sie eine Richtlinie für Ausfallsicherheit haben.“ Jetzt sagen sie: „Beweisen Sie es.“ Zeigen Sie, dass Ihre Richtlinie funktioniert. Zeigen Sie, dass Sie sie testen. Zeigen Sie, dass Sie tatsächlich wiederherstellen können.

Das ist der Kern der Vorschriften NIS2 und DORA, und ich gehe davon aus, dass sich dieser Ansatz auch in anderen Vorschriften auf allen Seiten des Atlantiks durchsetzen wird. Es reicht nicht mehr aus, nur schöne Worte über Ihren Schutz zu machen, Sie müssen ihn auch nachweisen können.

Unabhängig davon, ob Vorschriften gelten oder nicht, benötigen Sie eine cloudbasierte, moderne Backup-Lösung, die für die heutigen Herausforderungen im Bereich Datenschutz ausgelegt ist.

Räum dein Zimmer auf!

Ob man sie nun mag oder nicht, Vorschriften gibt es nun einmal. Und selbst wenn die Einhaltung von Vorschriften nicht der Hauptgrund für Ihre Datenschutzstrategie ist, sollte die Geschäftskontinuität dies sein. Die gute Nachricht ist, dass Sie wahrscheinlich bereits erkannt haben, wie wichtig Geschäftskontinuität ist. Es ist wie bei einem Kind, das von seinen Eltern aufgefordert wird, sein Zimmer aufzuräumen.

Wahrscheinlich wolltest du das nicht, also mussten deine Eltern (als Regulierungsbehörde) dich dazu ermutigen oder sogar zwingen. Nach und nach hast du aber wahrscheinlich erkannt, dass es einfacher ist, ein Zimmer sauber zu halten, wenn man es regelmäßig aufräumt, und dass ein sauberes Zimmer ein schönerer Ort zum Leben ist: Es gibt keine Ratten oder Käfer, man findet alles, was man sucht, und so weiter.

In diesem Sinne versuchen die heutigen Regulierungsbehörden nur, uns dazu zu bringen, Dinge im Bereich der Geschäftskontinuität und Resilienz zu tun, die wir alle ohnehin tun sollten. Es gibt keinen besseren Zeitpunkt als jetzt, um damit anzufangen.

Wo fangen Sie also an?

  • Bewerten Sie Ihre Risiken. Was passiert, wenn Sie heute den Zugriff auf Ihre Daten verlieren?
  • Aktualisieren Sie Ihre Backup-Strategie. Das moderne 3-2-1-Prinzip ist nicht optional – es ist unverzichtbar.
  • Beweisen Sie Ihre Resilienz. Testen Sie. Dokumentieren Sie. Seien Sie bereit.

Denn wenn Sie jetzt nicht darüber nachdenken, verspreche ich Ihnen, dass die Regulierungsbehörden Sie später dazu zwingen werden. Sie müssen Vorschriften nicht lieben, aber Sie müssen sich darauf vorbereiten, mit ihnen zu leben.

Sehen Sie sich unser On-Demand-Webinar „Die Regulierungsbehörden haben mich dazu gezwungen“ an.

Autor:  Paul Robichaux ist Senior Director of Product Management bei Keepit und Microsoft MVP (Most Valuable Professional) – eine Auszeichnung, die ihm seit 2003 jedes Jahr verliehen wird. Paul ist seit 1978 in der IT-Branche tätig und hatte verschiedene Positionen als CTO und leitender Produktentwickler in der Softwareindustrie inne.

Quelle: Keepit-Blog

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

Michael Heuer, Area VP Central Europe / DACH (LinkedIn)

Keepit (LinkedIn)

Teile diesen Beitrag:

Firma zum Thema

xmcyber

Fachartikel

Featured image for “ETH-Forschende entdecken neue Sicherheitslücke in Intel-Prozessoren”

ETH-Forschende entdecken neue Sicherheitslücke in Intel-Prozessoren

Featured image for “Sicherheitskontrollen im Wandel: Warum kontinuierliche Optimierung zur proaktiven Abwehr und einem stabilen Sicherheitsmanagement gehört”

Sicherheitskontrollen im Wandel: Warum kontinuierliche Optimierung zur proaktiven Abwehr und einem stabilen Sicherheitsmanagement gehört

Featured image for “Massives Datenleck: 200 Milliarden Dateien in Cloud-Speichern öffentlich zugänglich”

Massives Datenleck: 200 Milliarden Dateien in Cloud-Speichern öffentlich zugänglich

Featured image for “Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife”

Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife

Featured image for “Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal”

Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal

Studien

Featured image for “Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld”

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Featured image for “Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs”

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Featured image for “Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart”

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart

Featured image for “IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran”

IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran

Featured image for “Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus”

Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus

Whitepaper

Featured image for “TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor”

TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor

Featured image for “Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen”

Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen

Featured image for “Wie die Datenverwaltung Wachstum und Compliance fördert”

Wie die Datenverwaltung Wachstum und Compliance fördert

Featured image for “Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025”

Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025

Featured image for “Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier”

Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier

Hamsterrad-Rebell

Featured image for “Insider – die verdrängte Gefahr”

Insider – die verdrängte Gefahr

Featured image for “Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken”

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Featured image for “Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht”

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Featured image for “Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen”

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Featured image for “Anmeldeinformationen und credential-basierte Angriffe”

Anmeldeinformationen und credential-basierte Angriffe