Da IT-Budgets trotz umfangreichen Anforderungen an eine Storage-Lösung tendenziell gleich bleiben oder gar sinken, spielen die Kosten bei der Suche nach der “richtigen” Speicherlösung für ein mittelständisches Unternehmen eine große Rolle. In den Griff bekommen lässt sich das Problem meist mit effizienter Speicherkonsolidierung. Aber wie geht man die an? Und was gilt es dabei zu beachten? Dieser Expertenbeitrag von Rechstanwalt Christian Wilser und D-Link-Manager Mike Lange gibt Unternehmen einen groben Leitfaden an die Hand, wie sich ein typisches, rechtskonformes Projekt zur Speicherkonsolidierung im Mittelstand durchführen lässt.

Mittelständische Unternehmen setzen derzeit typischerweise auf die klassische Variante eines Speichernetzes, nämlich Direct Attached Storage (DAS). Hier hat jeder Server – in der Regel im gleichem Servergehäuse – Festplatten, die exklusiv und ausschließlich ihm zur Verfügung stehen. Die Vorteile von DAS-Lösungen liegen in den meist niedrigen Anschaffungskosten und der einfachen Implementierung.

Allerdings ist ihre Auslastung ineffizient, da andere Server von freien Festplattenkapazitäten nicht profitieren können. Außerdem sind Erweiterungen aufwändig, bedürfen eines mehrstündigen Wartungsfensters und erzeugen erhebliche Unterhaltskosten. Aber auch mittelständische Unternehmen sind sehr sensibel hinsichtlich der Wartungsfenster bei produktionsrelevanten Applikationen wie der Lagerverwaltung.

Rechtssicherheit ist Chefsache

Christian Wilser, einer der Autoren dieses Expertenbeitrags für ITespresso, ist Rechtsanwalt und Managing Partner bei PRW Rechtsanwälte (Bild: Privat).

Vielfach wird verkannt, dass die Organisation (nicht aber die Umsetzung) von IT-Sicherheit – und hierzu gehört auch ein zukunftsfähiges Speicherkonzept – in den Verantwortungsbereich der Geschäftsleitung fällt. Praktisch kein Unternehmen kann sich heutzutage noch einen Ausfall seiner IT-Systeme, den Verlust oder die Nichtverfügbarkeit von Daten erlauben. Daten sind das Kapital jedes Unternehmens. Nach Paragraf 91, Absatz 2 Aktiengesetz muss der Vorstand “geeignete Maßnahmen treffen (…), damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.”

Er muss mit einem Wort Risikomanagement betreiben, was die IT und insbesondere den Schutz der unternehmenskritischen Daten einschließt. Wenn Vorstandsmitglieder diese ihnen obliegende Pflicht verletzen, haften sie der Gesellschaft persönlich auf den Ersatz eines etwa entstehenden Schadens. Das trifft nicht nur für Vorstände in Aktiengesellschaften, sondern auch auf GmbH-Geschäftsführer zu.

Dabei gilt: Die Nichtverfügbarkeit von unternehmenskritischen Daten (ob wichtige Daten aus Forschung und Entwicklung oder schlicht die Bereitstellung des korrekten Lagerbestandes im ERP-System) wird sehr schnell sehr teuer. Auch wenn die Geschäftsleitung sich meist lieber dem Kerngeschäft als der IT widmet sollten auch im eigenen Interesse die Anregungen des IT-Leiters ernst genommen werden.

Die Anforderungen auf einen Blick

Mike Lange, einer der Autoren dieses Expertenbeitrags für ITespresso, ist Director Produktmarketing, Sales Telco/ISP & Customer Service bei D-Link in Deutschland (Bild: D-Link).

Unabhängig von Technologie und Hersteller muss eine Speicherkonsolidierung investitionssicher und kostengünstig sein, vor allem aber mittelfristig auch Kosten einsparen. Sie muss flexibel und skalierbar sein, die Komplexität der IT reduzieren, die Ausfallsicherheit und Verfügbarkeit erhöhen, Wartungsfenster reduzieren sowie mit Backup-Lösungen kombinierbar sein.

Darüber hinaus muss sie die rechtliche Anforderung erfüllen: Im Bereich der Datenspeicherung muss jedes Unternehmen klären, welche Daten es wie lange speichern muss und darf. Steuerlich relevante Daten etwa müssen über einen Zeitraum von sechs bis zehn Jahren in unveränderbarer Form und jederzeit leicht zugänglich gespeichert werden. Auch muss auf die strukturierte Speicherung geachtet werden – bei einer digitalen Betriebsprüfung soll der Prüfer nur die Daten einsehen können, die seinem Prüfungsauftrag entsprechen. Kann das Unternehmen ihm diese nicht getrennt zur Verfügung stellen, wird der Prüfer mehr sehen als erforderlich – mit allen dadurch möglichen Folgen.

Hinzu kommen von Branche zu Branche variierende Anforderungen: Ein Rechtsanwalt muss seine (digitalen) Handakten für die Dauer von fünf Jahren aufbewahren. Bei Ärzten gelten vielfach weit längere Fristen. Aufzeichnungen über Röntgenbehandlungen beispielsweise sind 30 Jahre nach der letzten Behandlung aufzubewahren. Und dass ein Versicherer die Daten langfristiger Verträge gegebenenfalls auch nach 40 Jahren noch verfügbar haben muss, versteht sich von selbst.

All dies zeigt: Die Frage der richtigen Speichertechnik will wohl überlegt sein. Aus rechtlicher Sicht empfiehlt sich, falls das Unternehmen nicht über eine hochspezialisierte IT-Abteilung verfügt, die Einschaltung geeigneter Fachberater. Dadurch dokumentiert die Geschäftsleitung, dass sie dem Thema die gebotene Aufmerksamkeit geschenkt hat.