Hochsicherheits-Datenspeicherung in Zeiten von Cyber-Angriffen und Katastrophen

Anmerkung der M&A REVIEW Redaktion: Im Rahmen der Diskussionen rund um unterschiedliche Technologien, die im M&A Prozess angewandt werden können, wurden wir in der M&A REVIEW Redaktion über Herrn Professor Lucks vom Bundesverband Mergers & Acquisitions e.V.  auf eine Technologie im Bereich der Datenarchivierung angesprochen, die uns einer grundsätzlichen Diskussion im Umgang mit der Historisierung und Archivierung von Daten wert erscheint. Wir haben uns daher in Abstimmung mit Professor Lucks entschieden, dieses WhitePaper von Herrn Bernhard Morell, Geschäftsführer von piql Germany GmbH in der M&A REVIEW Online zu übernehmen und im Rahmen einer von Herrn Professor Lucks am 15. April von 9 bis 10 Uhr geführten Expertendiskussion zu thematisieren. Registrieren können Sie sich unter Digitalisierung M&A – Cyber (ma-review.com).

1. Einleitung

Dieser Artikel befasst sich mit der langfristigen, sicheren und risikofreien Aufbewahrung von Dokumenten und Daten, die während einer M&A- oder Immobilien- Transaktion anfallen. Im nachstehenden Dokument wird nur noch die Begrifflichkeit „M&A-Transaktion“ verwendet – die Ausführungen gelten identisch auch für „Immobilien-Transaktionen“.

Warum empfehlen wir Ihnen, sich wenige Minuten Zeit zu nehmen, um diese Ausführungen zu reflektieren? Letztendlich geht es im Ergebnis um:

1. Die Vermeidung von Risiken, welche durch einen (Daten-)Verlust der heute üblich verwendeten Speichermedien (CDs, DVDs, USB-Speicher, Festplatte, etc.) entstehen können.
2. Die Vermeidung damit einhergehender möglicher Reputationsverluste für die Teilnehmer selbst – aber auch mandatierte Berater oder Wirtschaftskanzleien.
3. Die Vermeidung von Folgekosten, die beispielsweise im Rahmen von Testaten durch Wirtschaftsprüfer entstehen können, wenn Daten nicht mehr zweifelsfrei rekonstruiert werden können.
4. Den Wegfall des Manipulationsrisikos heute üblicherweise verwendeter Speichermedien (CDs, DVDs, USB-Speicher, Festplatte, etc.) für die Aufbewahrung von Transaktionsdaten und die Vermeidung von Zugriffen Dritter auf sensible Informationen.

Vor der technischen Betrachtung der einzelnen Aspekte, möchten wir Ihnen anhand von vier prägnanten Beispielen aufzeigen, wie sich persönliche Haftungsrisiken durch eine nachhaltig sicherere Archivierung von Transaktionsdaten vermeiden lassen:

1. Ein Konzern erwirbt ein mittelständisches Unternehmen und gliedert dieses in seinen Geschäftsbetrieb ein. Im Rahmen der Prüfung eines Jahresabschlusses wird festgestellt, dass Anlagevermögen mit beträchtlichem Wert zu hoch bilanziert wurde. Der Konzern muss erhebliche Abschreibungen vornehmen.
2. Ein Immobilienfonds erwirbt eine gemischt genutzte Liegenschaft, in der nach Abschluss der Transaktion ein erheblicher Schaden zum Beispiel durch Brand entsteht. Der Sachversicherer fordert Nachweise über die ordnungsgemäße Wartung der technischen Anlagen an, die jedoch nicht auffindbar oder im Rahmen des Schadens zerstört worden sind. Der Sachversicherer verweigert die Zahlung.
3. Ein Private Equity Fonds erwirbt ein Start-Up und möchte dieses entwickeln. Nach einigen Jahren stellt sich heraus, dass Umsätze nicht periodengerecht gebucht wurden und der tatsächliche Wert erheblich geringer ist als im Jahresabschluss festgestellt.
4. Jahre nach Abschluss mehrerer Transaktionen stellt sich heraus, dass wiederholt Gelder durch einen Unbekannten veruntreut wurden – zum Beispiel durch ungerechtfertigte Beraterhonorare. Der tatsächlich Schuldige lässt sich nicht ermitteln – allerdings verbleibt ein erhebliches Misstrauen gegenüber allen nach wie vor in der Abteilung Beschäftigten. Das Unternehmen erleidet darüber hinaus einen erheblichen Reputationsschaden, da der Vorfall in der Presse thematisiert wird.

Diese Fälle sollen lediglich exemplarisch darstellen, welche möglichen Schäden bei unsicherer Archivierung von Transaktionsdaten auftreten und zu einer (persönlichen) Haftung führen könnten. Die Auflistung ließe sich beliebig fortführen.

In diesem technischen Teil werden folgende Aspekte behandelt:

1. Grundlagen einer elektronischen Archivierung
2. Wo liegen die Risiken und Grenzen von heute typischerweise eingesetzter Speichermedien?
3. Welche Empfehlungen können für eine risikofreie Archivierung gegeben werden?

2. Grundlagen einer elektronischen Archivierung:

Einleitend ein kurzer Exkurs zum Thema „elektronische Archivierung“. Bei der analogen Archivierung in Archivräumlichkeiten auf dem Medium Papier können bei richtiger Lagerung sehr lange Haltbarkeiten erreicht werden. In der heutigen Zeit werden jedoch primär elektronische „Daten“ und „Dokumente“ während eines M&A-Transaktionsprozesses erzeugt.

Im Folgenden wird der Begriff „Daten“ synonym auch für „Dokumente“ verwendet – ausschließlich an Stellen, an denen der Dokumentencharakter eine Rolle spielt, wird explizit der Begriff „Dokument“ verwendet.

Elektronische Daten sind verschiedenen Faktoren der Alterung ausgesetzt. Die nachstehend gewählte Reihenfolge stellt ausdrücklich keine Wertigkeit der Eintrittswahrscheinlichkeit dar. Es wird jeweils kurz erläutert, welche jeweiligen Faktoren einen Einfluss auf die Alterung der Daten haben. Auf dieser Basis kann gut individuell abgeschätzt werden, welches Risiko damit einhergehen kann:

1. Datenformat, in dem die Daten vorliegen
2. Medium, auf dem die Daten gespeichert werden
3. Speicherort der Daten: „Cloud“ oder „on premise“ (auf eigenen Systemen)
4. Softwaresysteme zur Verwaltung der Daten
5. System – vor allem Betriebssystem – welches auf den Servern zum Einsatz kommt
6. Ablagesystematik

1. Datenformat, in dem die Daten vorliegen

Das gewählte Datenformat hat mitunter den größten Einfluss auf die Alterung der Daten, da die meisten Formate proprietär (herstellerabhängig) sind und somit der Aufbau sowie Inhalt meist nur dem Hersteller bekannt sind. Der Hersteller hat auch das Recht, das Format zu jedem Zeitpunkt zu ändern. Dies führt dann dazu, dass die Daten nur bis zu einer bestimmten Softwareversion lesbar sind oder die Nutzung in anderen als seinen eigenen Anwendungen untersagt werden können. Dies ist für eine langfristige Aufbewahrung ein sehr hohes Risiko, welchem man auf zwei Arten begegnen kann:

1. Bei Nutzung von proprietären Formaten muss zwingend eine regelmäßige Kontrolle auf Lesbarkeit der Daten durchgeführt werden. Bei Änderungen am Format ist eine Migration der Daten in das zuletzt gültige Format des Herstellers unabdingbar. Dieses Verfahren erzeugt damit einen entsprechenden administrativen Aufwand, den man gerade nach Abschluss einer M&A-Transaktion nicht mehr verfolgen möchte.
2. Vor der Archivierung einmalige Konvertierung der Daten in ein langzeitstabiles Format. Für Dokumentenformate wie beispielsweise Microsoft Word, Excel oder PowerPoint bietet sich PDF/A an.

Speziell die Wahl eines langzeitstabilen Formates kann dieses Alterungsrisiko minimieren.

2. Medium, auf dem die Daten gespeichert werden

Speichermedien – vor allem im Archivbereich – sind einem steten, teils schnellen Wandel unterworfen. Die Erfahrungen der letzten 30 Jahre zeigen, dass eine Migration der Archivbestände spätestens nach fünf Jahren notwendig ist, da sich die Speichertechnik so stark verändert hat, dass die genutzten Systeme zwingend ersetzt werden müssen.
Um diesem Risiko entgegenzuwirken, ist ein einfaches Kontrollsystem aufzubauen, welches oft in der Systemadministration angesiedelt ist. Ziel ist es, die Systeme immer dann zu tauschen, wenn sie an ihr Lebensende kommen. Nur so kann sichergestellt werden, dass die Daten in einem Archivsystem lange verfügbar bleiben. Dies ist aber ein Thema mit dem man sich nach Abschluss einer M&A-Transaktion nicht mehr beschäftigen möchte.

Im nächsten Abschnitt werden Eigenschaften von üblichen heute eingesetzten Medien aufgelistet

3. Speicherort der Daten: „Cloud“ oder „on premise“ (auf eigenen Systemen)

Der Speicherort ist ein wesentlicher Faktor bei der Risikobetrachtung des Archivs. Hält man die Daten auf einem eigenen System hat man das Medienrisiko und muss die kontinuierliche Migration der Daten betreiben. Entscheidet man sich jedoch für einen Cloudspeicher gibt es zwei andere Risiken:

Verfügbarkeit des gewählten Dienstes

Die Verfügbarkeit des Dienstes stellt ein ähnliches Risiko dar, wie die Medienwahl zur Speicherung. Wird der Dienst abgekündigt, ist eine Migration unumgänglich. Hier ist es wichtig, die Dienstverfügbarkeit über ein entsprechendes Kontrollsystem zu überwachen, damit man frühzeitig von Änderungen erfährt und Maßnahmen einleiten kann.

Stabilität des Anbieters

Die Stabilität des Anbieters ist gerade bei kleinen Anbietern im stark umkämpften Cloudmarkt ein hohes Risiko. Um hier eine möglichst stabile Situation zu erhalten, ist es ratsam, sich für einen der großen Anbieter zu entscheiden, da die Wahrscheinlichkeit, dass der Betrieb der Plattform eingestellt wird, geringer ist.

4. Softwaresysteme zur Verwaltung der Daten

Ein vergleichbar hohes Risiko, wie die Wahl des Datenformats, stellen die Softwaresysteme zur Verwaltung der Daten dar. Hier ist man davon abhängig, dass der Hersteller die Systeme über einen langen Zeitraum pflegt und weiterentwickelt. Speziell der Archivmarkt hat sich in den letzten 15 Jahren stark konsolidiert, viele kleine Anbieter sind vom Markt verschwunden und die Kunden dieser Anbieter waren zu ungeplanten, aufwändigen Migrationsprojekten gezwungen. Aus der Erfahrung heraus empfiehlt es sich, einen der größeren Anbieter zu wählen, da sich diese in den letzten 25 Jahren am Markt behaupten konnten. Das bei weitem Teuerste bei der elektronischen Archivierung ist der Wechsel des Anbieters, da dieser mit Projekt-, Lizenz-, Schulungs- und Migrationskosten verbunden ist. Hier verbirgt sich ein unkalkulierbares Kosten- und Projektrisiko. Auch hier gilt: nach Abschluss einer M&A-Transaktion steht das sicher nicht mehr im Fokus der damals Verantwortlichen.

5. System – vor allem Betriebssystem – welches auf den Servern zum Einsatz kommt

Dieses Risiko besteht im Wesentlichen beim Eigenbetrieb der Anwendung. Hier ist es wichtig, ein Betriebssystem auf den Servern zu wählen, welches man selbst beherrscht und dessen Betrieb man selbst organisieren kann. Auch hier gilt: weit verbreitete Systeme sind besser als Exoten.

6. Ablagesystematik

Hierbei geht es vor allem um die Frage, wie findet man die Daten auch nach langer Zeit wieder. Dies ist eine nicht zu unterschätzende Herausforderung, da Ablagemetrik häufig von persönlichen Befindlichkeiten beeinflusst wird. Jeder geht anders an eine Suche heran. Hier ist es unabdingbar, eine einheitliche Systematik für alle Anwender des Archivs festzulegen. Dies betrifft die Schlagworte, nach denen abgelegt bzw. gesucht wird – aber auch die zu archivierenden Daten. Es müssen mindestens alle archivierungspflichtigen – besser aber die archivierungswürdigen Inhalte – auch verlässlich im Archiv abgelegt werden. Da dies nur in Teilen automatisierbar ist, ist hier der Anwender gefordert. Wichtig ist es, diesen regelmäßig für das Thema zu sensibilisieren, damit auch die richtigen Inhalte im Archiv abgelegt werden.

3. Wo liegen die Risiken und Grenzen von typischerweise eingesetzter Speichermedien?

Aktuell werden Dokumente beim Auflösen des Datenraumes bzw. nach Abschluss der M&A-Transaktion auf CD, DVD, Blu-ray, USB-Stick oder Festplatte gesichert und den Parteien zu weiterer Aufbewahrung übergeben. Keines dieser Speichermedien ist jedoch als sicheres Archivmedium anzusehen und diese sind auch ausdrücklich nicht zu diesem Zweck entwickelt worden. Viele haben sich in der Vergangenheit als nicht stabil erwiesen. Deshalb werden sie heute in kommerziellen Anwendungen nicht mehr eingesetzt, bei denen eine langfristige und sichere Archivierung gefordert wird.

CD, DVD und Blue-ray

Speziell die CD und DVD galten lange als gutes Archivierungsmedium und wurde in vielen Unternehmen genutzt. Binnen einer kurzen Zeitspanne von weniger als 5 Jahren war diese Technik nicht nur überholt, sondern erwies sich auch als äußerst unzuverlässig. Bei der Migration von CD und DVD-basierten Archiven kam es immer wieder zu Datenverlusten aufgrund der Medienwahl.

Durch spezifische Vorgaben der Hersteller und der unterschiedlich verwendeten Materialien unterscheidet sich die Haltbarkeit extrem. Aus unserer Sicht sind die CD und die DVD im Ergebnis kein sicheres Aufbewahrungsmedium. Sollten sie dennoch zum Einsatz kommen, ist es wichtig, auf die Herstellerangaben bzgl. der Lebensdauer zu achten und nur Medien aus besonders hochwertigen Serien zu verwenden. Die erzielbaren Aufbewahrungszeiten hängen entscheidend von der richtigen Lagerung des Mediums und den Vorschriften des Herstellers ab.

Festplatte

Auch bei Festplatten, die als Archivmedium verwendet werden, ist die Haltbarkeit erschreckend kurz. Dies hat unterschiedliche Gründe. Meist werden USB-Festplatten eingesetzt, die nicht über besonders hochwertige Laufwerke (man kennt diese für den Endverbraucher optimierten Festplatten aus dem normalen Handel) verfügen, wie sie beispielsweise in Serveranwendungen eingesetzt werden. Zum anderen ist die gewählte USB-Schnittstelle sehr versionsabhängig und unterliegt einem starken technischen Wandel. Geräte der ersten Generation sind bereits heute nur noch über entsprechende Adapter in Form von speziellen USB-Hubs nutzbar.

Ein wichtiges technisches Kriterium (für den geneigten Anwender oft nicht transparent) ist die Remanenz des Mediums: sprich der Verbleib der Daten auf dem Medium durch Magnetisierung aber auch deren negative äußerer Beeinflussung. Speziell bei magnetischen Speicherverfahren unterliegt das Medium einer Remanenz, welches dazu führen kann, dass die Informationen mit der Zeit immer schwächer werden. Wer noch VHS-Videokassetten kennengelernt hat, dem sollte das Phänomen bekannt sein, dass mit zunehmendem Alter die Information auf dem Band schwächer wird, was sich in einer zunehmend schlechteren Bildqualität widerspiegelt.

USB-Stick

Auch die oft eingesetzten USB-Sticks sind kein sicheres Medium. Zum einen hat man hier dasselbe Schnittstellenproblem, wie bei den USB-Festplatten und zum anderen ist die Haltbarkeit auf Grund der Art des Speichers begrenzt. Bei optimaler Pflege kann ein USB-Stick eine Lebensdauer von 10 bis 30 Jahren erreichen. Die Betonung liegt hier auf „optimaler“ Pflege, die nach Abschluss der M&A-Transaktion sicher keiner mehr im Fokus hat.

Nicht zuletzt sollte auch berücksichtigt werden, dass für sämtliche genannte Medien gilt: diese können durch unbefugte Dritte jederzeit ausgelesen werden – insofern dies technisch noch möglich ist. Ein Zugriff auf die Daten ist damit weitaus schwerer zu verhindern und nur in Verbindung mit einer Verschlüsselung denkbar, die jedoch das Risiko einer späteren Wiederherstellung nochmals erheblich erhöht.

Dieser kurze Überblick zu den aktuell eingesetzten Medien zeigt den Handlungsbedarf auf. Die richtige Wahl des Archivmediums ist entscheidend, um eine Verfügbarkeit der Daten sicherzustellen und das Risiko des Datenverlustes zu minimieren. Hier empfehlen wir jedem Verantwortlichen eine entsprechende individuelle Risikobetrachtung vorzunehmen – in Anlehnung an die Beispiele auf Seite 1. Ist das Ergebnis dieser Risikobetrachtung kritisch, dann zeigen wir Ihnen nachstehend ein Archivierungsverfahren auf, welches diese Risiken vollständig eliminiert.

4. Welche Empfehlungen können für eine risikofreie Archivierung gegeben werden?

Nach diesem technischen Exkurs in die Archivierung und die üblich verwendeten Medien stellt sich Ihnen sicherlich die Frage, was hat das alles mit Ihren M&A-Transaktionen zu tun? Welche Erkenntnisse lassen sich daraus für Sie ziehen?

Gerade nach Abschluss einer M&A-Transaktion fallen umfangreiche archivierungswürdige Daten an, die für einen langen Zeitraum aufzubewahren sind. Der Zugriff auf diese archivierten Daten erfolgt nach dem Closing eher selten und wenn dies doch notwendig ist, dann geplant. Diese Randbedingung führt dazu, dass keine aufwändigen Softwaresysteme zur Verwaltung der Daten notwendig sind, sondern die beiden Risiken „Datenformat“ und „Medienwahl“ im Vordergrund stehen. Gefordert ist daher ein einfaches Archivierungsmedium, welches die oben genannten Nachteile eliminiert.

Die Kriterien für eine sichere und geeignete Archivierung lassen sich wie folgt subsumieren:

• sichere – sprich nicht korrumpierbare – Übertragung der Daten auf das Medium
• nach dem Beschreiben unveränderbar
• richtige Wahl des Datenformates der zu archivierenden Daten
• langzeitstabiles Medium
• geeigneter Lagerort bzw. Verteilung auf mehrere Lagerorte über Kopien

Erfüllt ein Medium und der zugehörige Prozess diese Kriterien vollumfänglich, dann kann das Verlustrisiko langfristig abgewendet werden.

Wir von piql Deutschland haben als Ergebnis eine Lösung realisiert, die durch eine Kombination unterschiedlicher Maßnahmen und Techniken diese Kriterien erfüllt. Unsere Lösung beinhaltet neben einem zertifizierten und durch die EU geförderten Archivmedium auch eine Technik, um nachweisbar fehlerfrei zu beschreiben. Für die Aufbewahrung bieten wir in Ergänzung der Verwahrung bei Ihnen (beliebige Anzahl an Kopien) sofern gewünscht einen der sichersten Aufbewahrungsorte an: dazu kann eine Kopie der Daten im Arctic World Archiv in Spitzbergen eingelagert werden. Bei der Wahl geeigneter Datenformate für eine sichere Langzeitarchivierung unterstützen wir sie mit langjähriger Erfahrung unserer Berater.

Zusammenfassend ergeben sich folgende Merkmale, die eine risikofreie Langzeitarchivierung Ihrer M&A- und Immobilien-Transaktionen mit der einmaligen Piql-Lösung gewährleisten:

• Das Medium ist nicht durch Hacking manipulier- oder auslesbar.
• Nachträgliche Veränderungen sind vollständig ausgeschlossen.
• Das Speichermedium ist langzeitstabil und verliert keine Informationen durch beispielsweise elektromagnetische Beeinflussung. Es handelt sich um einen belichteten Film, der sich nicht durch Zeitablauf zersetzt (Lagerfähigkeit weit über 500 Jahre).
• Es gibt keine besonderen Anforderungen an die Aufbewahrung des Speichermediums, wie beispielsweise eine vorhandene Klimatisierung (ein trockener Raum bei üblichen Umgebungstemperaturen ist ideal).
• Datenverlust durch elektromagnetische äußere Einflüsse oder durch den zeitlichen Aspekt ist ausgeschlossen.
• Die Daten sind ohne spezielle technische Werkzeuge oder Schnittstellen jederzeit zugreifbar.
• Es kann eine beliebige Anzahl an Kopien geliefert werden.
• Auf Wunsch ist eine Verwahrung im „Artic World Archive“ – https://arcticworldarchive.org/ – in Spitzbergen die sicherste Form der Unterbringung.

Besonders attraktiv ist dabei der Umstand, dass sich die Lösung ohne Mehraufwand in jegliche Prozesse integrieren lässt: die Daten werden nach Closing ganz simpel übergeben oder aus dem Datenraum extrahiert. Mit einem sehr geringen finanziellen Aufwand können damit immense Risiken permanent ausgeschlossen werden.