IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Seit einigen Jahren kann man in Reality-TV-Formaten das Messie-Phänomen bestaunen. Nahezu jede Woche zeigt eine Sendung einen Menschen, der an einer zwanghaften (Persönlichkeits-)Störung leidet, die bei dem Patienten extremen Stress hervorruft, wenn er sich von einem bestimmten oder manchmal auch nur überhaupt einem Gegenstand trennen soll.

Die Extrembeispiele: Eine Frau, die 76 Katzen besaß, ein Mann, der jede einzelne Ausgabe von National Geographic aufbewahrte und eine Frau, die sich von keiner ihrer über 50.000 Puppen trennen konnte.

Unglücklicherweise ist dieses Phänomen nicht auf Individuen beschränkt, sondern wirkt sich auch in großen Organisationen ähnlich verheerend aus. Denn die Tendenz, fast alles unabhängig vom Wert aufzuheben, erzeugt immense Kosten. Dahinter steckt der Irrglauben, alle Daten besäßen den gleichen Wert, seien mit den gleichen Risiken für die Organisation verbunden und rechtfertigten damit die entstehenden Kosten. Kein Unternehmen kann so produktiv arbeiten, denn niemand kann das finden, benutzen oder schützen, was tatsächlich von Wert ist.

Die Mathematik

Rechts- und IT-Ressorts in Unternehmen haben gerade erst gelernt, Terabyte-Mengen in den Griff zu bekommen und befassen sich nun mit Petabytes, während anderenorts schon mit Exabytes (1 Exabyte sind 1 Milliarde Gigabyte) gerechnet wird. Glücklicherweise müssen sich die meisten großen Organisationen bislang nur mit einigen Petabytes Datenvolumen herumschlagen, in den größten Unternehmen können es auch mehrere hundert sein. Laut der Studie „Gartner IT Key Metrics Data“ belaufen sich die Gesamtkosten für Speicherung und Management eines Petabyte Daten auf fast fünf Millionen US-Dollar pro Jahr. Das sind ungefähr 5.000 US-Dollar pro Terabyte.



Jedoch ist das nur ein Teil der Geschichte: Studien zeigen, dass die Kosten für die Sammlung, Verarbeitung und Überprüfung eines einzigen Gigabytes Daten im Rahmen einer rechtlichen Überprüfung durchschnittlich mit mehr als 17.000 US-Dollar zu Buche schlägt. Kosten für Business-Analysen oder Compliance-Prüfungen sind hier noch gar nicht enthalten. Das zieht erhebliche Kosten für Unternehmen nach sich, die wertlose Daten horten – denn all diese Daten müssen in rechtlichen Auseinandersetzungen, für Geschäftszwecke und Compliance-Fragen gesammelt, überprüft und analysiert werden.

Selbst wenn wir die eben genannten Faktoren außer Acht lassen und alleine von den IT-Kosten von 5.000 US-Dollar pro Terabyte ausgehen, zeigt sich, dass viele Unternehmen hier eine Milchmädchenrechnung aufmachen: Die meisten Organisationen haben in den letzten Jahren ihre Belegschaft reduziert oder Mitarbeiter entlassen. Diese Tatsachen gegenüberzustellen ist wichtig und zugleich schmerzhaft.

Laut der internationalen Industrievereinigung „Compliance Governance and Oversight Council“ (CGOC) könnten Organisationen eine schwindelerregende Menge Daten rechtssicher vernichten. Eine Hauptforderung von CGOC ist, dass Daten nur aus folgenden Gründen behalten werden dürfen: Falls sie (1.) Gegenstand einer juristischen Überprüfung sind, (2.) regulatorischen Bestimmungen unterliegen oder (3.) geschäftlichen Wert besitzen. Die Vereinigung geht davon aus, dass durchschnittlich fünf Prozent der Informationen in einem Unternehmen regulatorischen Zwängen unterliegen, 25 Prozent geschäftlichen Wert haben und nur zwei Prozent aus juristischen Gründen aufbewahrt werden müssen. Da es schwer fällt, die Spreu vom Weizen zu trennen, selbst wenn entschlossen und mit der besten Technologie vorgegangen wird, können wir diesen Wert großzügig und inklusive Sicherheitspuffer auf 40 Prozent aufrunden. Selbst dann wären noch 60 Prozent aller Unternehmensdaten wertlos und unterlägen auch sonst keinerlei Verpflichtungen. Von jedem Petabyte potenziell betroffener Unternehmensdaten (z. B. E-Mails) könnten also 600 Terabyte einfach entsorgt werden.

Wenn wir nun die Kosten pro Terabyte mit dem Prozentsatz der Daten in Verbindung bringen, die tatsächlich vorgehalten werden müssen, dämmert ein schwerwiegender Schluss. Unternehmen, die 600 Terabytes unnütze Daten speichern – die unnötige Kosten von drei Millionen US-Dollar pro Jahr erzeugen – bringt das Opfer an anderer Stelle. Bei einem Gehalt von 120.000 US-Dollar pro Jahr für einen angestellten Spezialisten gilt folgende Gleichung: Für jeden eingesparten und entlassenen Mitarbeiter kann dieses Unternehmen weiterhin 24 Terabytes an Informationen ohne jeglichen Nutzen oder Verpflichtungen speichern.

Das Gesetz

Die Tatsache, dass Unternehmens-E-Mails und andere Informationsquellen in den Vereinigten Staaten als Unternehmensbesitz angesehen werden, ermöglicht amerikanischen Unternehmen fast uneingeschränkt mit diesen Daten zu verfahren. Tatsächlich ergreifen Unternehmen üblicherweise vor allem die Maßnahme, alle Daten aufzubewahren und für immer zu horten. Das widerspricht europäischen Datenschutzbestimmungen, die typischerweise Nutzungsbeschränkungen enthalten. Das heißt, dass eine Organisation private oder vertrauliche Informationen nur für einen bestimmten Zeitraum, gemäß ihrem Nutzungszweck, behalten dürfen. Zum Beispiel dürfen Kreditkartenanträge oder personalbezogene E-Mails nur so lange vorgehalten werden, wie das Unternehmen sie benötigt. Dann müssen sie entsorgt werden.



Letzten Endes entwickeln sich auch die Vereinigten Staaten in diese Richtung, wenn auch nur langsam und bruchstückhaft. Zum Beispiel enthalten Gesetzesinitiativen wie HIPPA oder GLBA ähnliche Datenschutzbeschränkungen. Im Februar 2012 veröffentlichte das Weiße Haus ein Papier mit dem Titel „Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy“. Die Autoren finden eine klare Sprache: „Unternehmen sollten persönliche Daten sicher entsorgen bzw. entpersonalisieren, wenn diese nicht mehr benötigt werden und keine gesetzliche Verpflichtung besteht, diese aufzuheben.“



Unabhängig davon, ob derlei Vorschriften oder Gesetze in den USA an Relevanz zunehmen, sieht die Realität für multinational operierende Konzerne ohnehin jetzt schon anders aus. Fast jeder Staat außer den USA verfügt über Datenschutzgesetze, die Nutzungsbeschränkungen enthalten – und das Horten von Informationen steht in direktem oder indirektem Konflikt mit diesen Prinzipien. Die Entsorgung von Informationen, die nicht mehr benötigt werden, senkt daher das Risiko eines Verstoßes.

Die Therapie

Wenn sowohl die mathematische Basis als auch die rechtliche Entwicklung so eindeutig sind, warum ist dann das Problem noch nicht gelöst? Im Fernsehen haben die Psychologen und Aufräumexperten einen klaren Vorteil: Sie müssen nur eine einzige Person überzeugen. Eine große Organisation bewegt sich dagegen so schwerfällig wie ein Öltanker. Oft setzt sich die Logik einer Lösung erst durch, wenn Rechtsabteilung, Akten- und Informationsmanagement oder das Compliance-Ressort sich mit den Datenschutz- und Sicherheitsbeauftragten zusammentun. Wenn dann der CIO oder COO mit einem soliden Business-Case und einem klaren Plan angegangen wird, wie die Informationsökonomie des Unternehmens transformiert werden kann, wird der CIO schnell der größte Befürworter. Ein weiterer Anreiz: Es gibt keine Zielgruppe in einem Unternehmen, die nicht von einer rechtssicheren Datenentsorgung profitieren würden.

Mit einer Information Lifecycle Governance können Unternehmen ihre Informationsökonomie signifikant verändern. Das Problem hat in seinen Ausmaßen längst den Aufsichtsrat, die Aktionäre und unglücklicherweise auch den Arbeitsmarkt erreicht. Aber sowohl Gesetz als auch Mathematik sprechen dagegen: Es ist an der Zeit, sich der unnötigen Daten zu entledigen und produktiver zu arbeiten!


Jake Frazier ist Information Lifecycle Governance Experte bei IBM und Executive Director beim Compliance Governance & Oversight Council.


Anthony Diana ist Gesellschafter in der Kanzlei Mayer Brown LLP und Gremiumsmitglied des Compliance Governance & Oversight Council.

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet