Datenmanagement & Datenspeicherung

Wie können Sie die Anforderungen der Datenschutz-Grundverordnung effizient umsetzen?

Ernst Christian Dvorak

Technical Sales Consultant

BDM IQsol / Quantum

Arrow ECS

Leadership across the PortfolioExpanding our growth opportunities by delivering innovation in the fastest growing areas of the market

© 2017 NetApp, Inc. All rights reserved.2

IDC, Worldwide Quarterly Enterprise Storage Systems Tracker - 2017Q1, June 8, 2017 (Top 5 AFA vendor – Year over Year revenue growth; SAN Year over Year revenue growth; #1 Branded Storage OS – revenue and capacity share) IDC, Worldwide Quarterly Converged Systems Tracker - 2017Q1, June 22, 2017 (Year over Year revenue growth)

IDC, Worldwide Quarterly Storage Software, Public Cloud SaaS and IaaS Qview - 2017Q1, June 8, 2017 (#1 Storage & Device Management vendor – revenue share) OpenStack User Survey: https://www.openstack.org/assets/survey/April2017SurveyReport.pdfGartner Magic Quadrants: General-Purpose Disk Arrays, Japan, March 22, 2017; General-Purpose Disk Arrays, October 31, 2016; Integrated Systems, October 10, 2016; Solid-State Arrays, August 22, 2016

▪ Leader in 4 Gartner Magic Quadrants

▪ #1 ONTAP, dem weltweit führenden Storage Operating System

▪ #1 in Storage & Device Management Software

▪ #1 in Commercial Storage for OpenStack

▪ Am schnellsten wachsender All-Flash Array Hersteller

▪ SAN wächst konstant stärker als der Markt

▪ Am schnellsten wachsender Hersteller integrierter Infrastruktur &

zertifizierter Referenzarchitekturen

FY’17 revenue:

$5.5Mrd.

Private Cloud

E-/EF-Series FAS & AFF AltaVault StorageGRID

WebscaleFlexPodSolidFire ONTAP

Select

NetApp HCI

Public Cloud

AltaVault-C

Local/RegionalService Provider

AltaVault-C

Data FabricCommon Transport,

Management and

Monitoring across Clouds

© 2017 NetApp, Inc. All rights reserved.4

EU-DATENSCHUTZ-GRUNDVERORDNUNGEU-DSGVOGeneral Data Protection Regulation GDPR

EU-DATENSCHUTZ-GRUNDVERORDNUNG EU-DSGVO

▪ EU-DSGVO Betrifft jedes Unternehmen auf der Welt, dass Daten von EU Bürgen in Verwendung hat.

▪ Die potenziellen Strafen katapultieren die EU-DSGVO auf die Top-Priority Liste jeder IT Abteilung.

▪ Grundsätzlich ist die EU-DSGVO eine rechtliche Herausforderung für Unternehmen und nicht mittels Technik zu lösen.

© 2017 NetApp, Inc. All rights reserved.5

Kenne den Weg der Daten um die Vorgaben zu erfüllen

Governance, Risk &

Compliance

Wo Was

Woher Cases

Governance

• GRC: Wie werde ich compliant?

• Wo sind meine Daten: Unstrukturiert, stukturiert, backups, cloud etc.?

• Was für persönliche Informationen befinden sich in meinen Daten?

• Woher kommen meine Daten und wie bewegen sie sich im Unternehmen bzw. aus dem Unternehmen hinaus?

• Wie behandle ich Cases wie Datenauskunft, Löschung, Einbruch?

• Wie kann ich meine Governancelaufend aufrechterhalten?

© 2017 NetApp, Inc. All rights reserved.6

Wie Technologie bei der Umsetzung der Richtlinien hilft

© 2017 NetApp, Inc. All rights reserved.7

Kenne die Daten - Wer nicht weiß, wo sich persönliche Daten befinden, wie sie ins Unternehmen kamen, wie sie sich im Unternehmen oder aus dem Unternehmen hinaus bewegen, wird nicht in der Lage sein, sie zu klassifizieren, entsprechend zu schützen und die gesetzlichen Regularien einzuhalten.

Gewährleiste Datenverfügbarkeit - Persönliche Daten müssen verfügbar und wiederherstellbar sein, nicht nur für die tägliche Arbeit, sondern auch im Auskunftsfall.

Schütze die Daten - Persönliche Daten von EU Bürgern müssen vor unberechtigtem Zugriff und Diebstahl geschützt werden! Verschlüsselung und strikte Zugriffskontrollen müssen umgesetzt werden. Zugriffe müssen protokolliert werden.

Ermögliche die Datenübergabe - EU Bürger haben das Recht, ihre persönlichen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten bzw. sie an einen anderen Verantwortlichen übermittelt zu bekommen.

Halte deine Governance aufrecht - Laufende Überprüfungen aller Punkte, Auditing und die Umsetzung aller maßgeblichen Prozesse müssen die Einhaltung der Verordnung jederzeit sicherstellen.

Wo trifft die EU-DSGVO überhaupt auf Technik?

Artikel 6

Rechtmäßigkeit der Verarbeitung

Artikel 17

Recht auf Vergessenwerden

Artikel 20

Recht auf Datenübertragbarkeit

Artikel 25

Datenschutzfreundliche Voreinstellungen

Artikel 30

Verzeichnis von Verarbeitungs-

tätigkeiten

Artikel 32

Sicherheit der Verarbeitung

Artikel 33-34

Meldung von Verletzungen

Artikel 35

Datenschutz-Folgenabschätzung

Artikel 44-50

Datenübermittlung

© 2017 NetApp, Inc. All rights reserved.8

Wie NetApp Technologie bei der Umsetzung der Richtlinien hilft

Immutable data records retention with SnapLock

Dynamic policy-based data management with StorageGRID Webscale

Data management automation with WorkFlowAutomation, API Services & Service Level Manager

Ransomware recovery and forensics access with SnapShots and FlexClones

Hybrid Cloud advantage, data portability and transfer with the NetApp Data Fabric

Heterogeneous on-premise & cloud infrastructure discovery with OnCommand Insight

Integration & automation of database anonymisationwith SnapManager, SnapCenter and WFA

Data High Availability, Bus. Continuance, DR & Encrypted Backup with the NetApp Data Storage Portfolio & AltaVault

Non-disruptive data availability testing with FlexClones

Encryption and Enterprise Access Control & Auditing across the NetApp Portfolio

17 35 3530 32

20

256 44-50

17 25

25

6 17

25 32

25

25 32

GDPR Articles::

GDPR Articles::

GDPR Articles::

GDPR Articles::

GDPR Articles::

GDPR Articles::

GDPR Articles::

GDPR Articles::

GDPR Articles::

GDPR Articles::

6 25

32

32

32

30

© 2017 NetApp, Inc. All rights reserved.9

Art.32 – EU-DSGVO – Sicherheit der Verarbeitung

1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der

unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter

geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem

Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im

Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem

physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der

technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die

mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig —

Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang

zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

© 2017 NetApp, Inc. All rights reserved.10

Quelle: https://www.datenschutz-grundverordnung.eu/grundverordnung/art-32-ds-gvo/

© 2017 NetApp, Inc. All rights reserved.11

Ein Alptraum ohne Erwachen

Ransomware, auch Erpressungstrojaner,

Kryptotrojaner oder Verschlüsselungstrojaner,

sind Schadprogramme, mit deren Hilfe ein Eindringling eine

Zugriffs- oder Nutzungsverhinderung der Daten sowie des

gesamten Computersystems erwirkt. Dabei werden private

Daten auf einem fremden Computer verschlüsselt oder der

Zugriff auf sie wird verhindert, um für die Entschlüsselung

oder Freigabe ein „Lösegeld“ zu fordern.

© 2017 NetApp, Inc. All rights reserved.12

© 2017 NetApp, Inc. All rights reserved.13

Quelle: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Ransomware_Umfrage_27042016.html

Backup mit NetApp SnapShotTM Technologie

▪ Zuverlässig seit > 20 Jahren

▪ Oftmals Täglich, sogar im Minutenrythmus!RPO bis zum letzten SnapShot – Sekunden!

▪ SnapShot Backup extrem Schnell (< 1 sec.)Unabhängig von der Datenmenge!

▪ SnapShot Restore extrem Schnell (< 1 sec.)Unabhängig von der Datenmenge!

▪ Wiederherstellung teilweise vom User selbst möglich!

▪ Sofortige Verfügbarkeit als Clone für Test, Development und POC

▪ Offsite-Backup auf eigene Infrastruktur oder zu Service Provider

© 2017 NetApp, Inc. All rights reserved.14

Fileshares Datenbanken

Test/DevPOC

NetApp und der Umgang mit den GDPR Richtlinien

© 2017 NetApp, Inc. All rights reserved.15

GRC Consultancy

Understand how to become GDPR compliant

Data Discovery – structured, unstructured, mainframe and cloud

Where is my data, what PD information does it contain, can I find it on

demand?

Data Lineage

Linking my data

Case Management

For RTBF, how can I manage and track requests?

Data Governance

Controlling access, monitoring, security, availability, reliability, transport

▪ NetApp selbst ist derzeit zu >95%

compliant

▪ Rechtzeitig mit der Umsetzung

begonnen

▪ Enge Zusammenarbeit mit Key

Partnern

▪ NetApp Technologien erleichtern

die Einhaltung der Richtlinien

NetApp – Working with Partners to maintain GDPR Compliance

BSI Cybersecurity & Information Resilience (formally Espion)GRC Consultancy

Understand how to become GDPR compliant

Data Discovery

Where is my data, what PD information does it contain, can I find it on demand?

Data Lineage

Linking my data

Case Management

For RTBF, how can I manage and track requests?

Data Governance

Controlling access, monitoring, security, availability, reliability, transport

Note: The above Partner listing is not exhaustive. Additional partners are likely to be added over time

© 2017 NetApp, Inc. All rights reserved.16

GDPRIt is first and foremost a legal compliance issue and not an IT issue

© 2017 NetApp, Inc. All rights reserved.17

Vielen Dank undviel Erfolg beider Umsetzung!