Aufbewahrungspflicht und Unveränderlichkeit von Daten

Wer Backup- oder Cyber-Resilience-Lösungen bewertet, stößt schnell auf Begriffe wie „Aufbewahrungspflicht“ oder „Unveränderlichkeit“.

Laut dem Data-Protection-Anbieter HYCU werden beide Konzepte in der Praxis jedoch häufig gleichgesetzt – obwohl sie unterschiedliche Aufgaben erfüllen und auf verschiedene Risiken abzielen.

Während die eine Methode vor allem rechtliche und regulatorische Vorgaben absichert, dient die andere dem technischen Schutz vor Manipulation und Cyberangriffen. Für Unternehmen kann die Verwechslung der beiden Ansätze problematisch werden.

Aufbewahrungspflicht: Daten gezielt sichern

Bei der sogenannten Aufbewahrungspflicht geht es darum, bestimmte Daten über einen definierten Zeitraum hinweg bewusst zu erhalten. Das betrifft beispielsweise Informationen, die für Gerichtsverfahren, interne Untersuchungen, Compliance-Prüfungen oder Personalangelegenheiten relevant sein könnten.

Normalerweise werden Backup-Daten nach festgelegten Richtlinien automatisch gelöscht. Eine Aufbewahrungspflicht setzt diese Löschmechanismen außer Kraft. Die betroffenen Daten bleiben erhalten, bis die Anordnung aktiv aufgehoben wird.

Typische Einsatzgebiete sind unter anderem:

• laufende Gerichtsverfahren
• behördliche Untersuchungen
• interne Compliance-Prüfungen
• Personal- und Disziplinarfälle
• Streitigkeiten zu Verträgen oder geistigem Eigentum

Im Mittelpunkt steht dabei nicht primär die technische Absicherung, sondern die Verpflichtung, relevante Daten vollständig und nachvollziehbar verfügbar zu halten.

Unveränderlichkeit schützt vor Manipulation

Anders funktioniert das Konzept der Unveränderlichkeit. Hier liegt der Fokus auf technischer Sicherheit: Daten sollen innerhalb eines festgelegten Zeitraums weder gelöscht noch verändert werden können.

Besonders wichtig ist dieser Schutz im Zusammenhang mit Ransomware-Angriffen. Cyberkriminelle versuchen längst nicht mehr nur Produktivsysteme zu verschlüsseln, sondern nehmen gezielt auch Backups ins Visier. Sind Sicherungen unveränderlich gespeichert, lassen sie sich selbst bei kompromittierten Administratorrechten nicht ohne Weiteres manipulieren.

Viele Anbieter setzen dabei auf sogenannte WORM-Technologien („Write Once, Read Many“). Dabei können Daten einmal geschrieben und anschließend nur noch gelesen werden. Allerdings verwendet nicht jede Lösung mit „Unveränderlichkeits“-Funktion automatisch WORM-Technik.

Unveränderlichkeit wird heute vor allem genutzt, um:

• Backups gegen Ransomware zu schützen
• versehentliche Löschungen zu verhindern
• Insider-Risiken zu reduzieren
• feste Aufbewahrungsfristen einzuhalten
• manipulationssichere Datenkopien zu gewährleisten

Zwei Konzepte mit unterschiedlichen Zielen

Auch wenn beide Methoden verhindern können, dass Daten gelöscht werden, verfolgen sie unterschiedliche Zwecke.

Die Aufbewahrungspflicht beantwortet die Frage, ob bestimmte Daten aus rechtlichen oder organisatorischen Gründen erhalten bleiben müssen. Unveränderlichkeit hingegen beschäftigt sich damit, wie Daten technisch gegen Veränderungen oder Löschungen abgesichert werden können.

Gerade bei modernen Backup- und Cyber-Resilience-Strategien werden daher häufig beide Ansätze kombiniert.

HYCU verweist darauf, dass seine Plattform sowohl Funktionen zur Aufbewahrungspflicht als auch zur Unveränderlichkeit unterstützt. Dabei nutzt das Unternehmen ein sogenanntes „Bring Your Own Storage“-Modell, bei dem Kunden selbst bestimmen, wo und wie ihre Daten gespeichert werden.

Für Unternehmen wird das Thema zunehmend wichtiger, da regulatorische Anforderungen, steigende Cyberrisiken und komplexe Cloud-Umgebungen den Druck auf moderne Datensicherungsstrategien erhöhen.