NetApp Deutschland GmbH, Grasbrunn - kpmg.de · PDF fileNetApp Deutschland GmbH, Grasbrunn Bericht über die Prüfung der Data ONTAP-basierten Speicherlösungen der FAS- und NearStore-Produktlinien

ABCD

KPMG AG Wirtschaftsprüfungsgesellschaft

Bericht

über die Prüfung der Data ONTAP-basierten Speicherlösungen der FAS- und NearStore-Produktlinien unter Nutzung der SnapLock-Funktionalität

NetApp Deutschland GmbH, Grasbrunn

April 2009

ABCD NetAppBericht


April 2009

I

Inhaltsverzeichnis

1 Auftrag und Auftragsdurchführung ..................................................1 1.1 Prüfungsauftrag ..................................................................................................1 1.2 Maßstab zur Beurteilung der Ordnungsmäßigkeit..............................................2 1.3 Art und Umfang der Prüfungshandlungen..........................................................3

2 Zusammengefasstes Prüfungsergebnis und Softwarebescheinigung .....................................................................5

3 Prüfungsergebnisse im Einzelnen .....................................................8 3.1 Beschreibung des Prüfungsgegenstands.............................................................8

3.1.1 Darstellung der Hardwarekomponenten................................................ 8 3.1.2 Darstellung der grundlegenden Funktionalität ...................................... 9 3.1.3 Darstellung der SnapLock-Funktionalität ........................................... 11 3.1.4 Darstellung der verwendeten Testumgebung...................................... 14

3.2 Verarbeitungsfunktionen ..................................................................................15 3.2.1 Ablage und Speicherung ..................................................................... 15

3.2.1.1 Unveränderbarkeit der Dokumente...................................... 15 3.2.1.2 Notwendige Protokollierungen ............................................ 19 3.2.1.3 Indizierung und Retrieval .................................................... 20

3.2.2 Ordnungsmäßige Wiedergabe ............................................................. 21 3.3 Softwaresicherheit und Systemadministration .................................................22

3.3.1 Systemkonfiguration ........................................................................... 22 3.3.2 Zugriffsschutz ..................................................................................... 23 3.3.3 Datensicherungs- und Wiederanlaufverfahren.................................... 26 3.3.4 Programmentwicklung, -wartung und -freigabe ................................. 27

3.4 Dokumentation .................................................................................................29

Anlage

Allgemeine Auftragsbedingungen

ABCD NetAppBericht


April 2009

6643-1262257 1

1 Auftrag und Auftragsdurchführung

1.1 Prüfungsauftrag

Mit Schreiben vom 16. März 2009 wurden wir von der

NetApp Deutschland GmbH, Grasbrunn, --im Folgenden „NetApp“ oder „Gesellschaft“ genannt--

mit der Prüfung der Ordnungsmäßigkeit der von NetApp entwickelten

Data ONTAP basierten Speicherlösungen der FAS- und NearStore-Produktlinien unter Verwendung der SnapLock-Funktionalität (Compliance und Enterprise)

beauftragt.

Ziel der Prüfung war es festzustellen, ob das Betriebssystem Data ONTAP (Version 7.3) unter Nutzung der Features SnapLock Compliance und SnapLock Enterprise bei sachgerechtem Einsatz eine den deutschen, schweizerischen und österreichischen handels- und steuerrecht-lichen Ordnungsmäßigkeitskriterien entsprechende Speicherung und Abfrage von elektroni-schen Dokumenten ermöglicht. Darüber hinaus haben wir untersucht, in wieweit die Speicherlö-sung eine der deutschen Röntgenverordnung entsprechende Archivierung von Aufzeichnungen und Röntgenbildern erlaubt.

Prüfungsgegenstand war die in Abschnitt 3.1.4 detailliert beschriebene Konfiguration einer von NetApp bereitgestellten Speicherlösung mit der zentralen Softwarekomponente Data ONTAP.

Da die dargestellte Speichertechnologie selbst keine komplette Archivlösung darstellt, sondern typischerweise in Kombination mit Dokumentenmanagementsystemen oder vergleichbarer Software zum Einsatz kommen soll, die über definierte Schnittstellen auf die Software zugrei-fen, bezog sich die Prüfung auf folgende Teilgebiete:

• Unveränderbare Speicherung

• Abfrage (Retrieval)

• Fristgerechte Löschung

ABCD NetAppBericht

über die Prüfung der Data ONTAP-basierten Speicherlösungen der FAS- und NearStore-Produktlinien unter Nutzung der SnapLock Funktionalität

April 2009

2 6643-1262257

Hierzu wurde der Prüfungsschwerpunkt auf die Verarbeitung von Daten innerhalb der Software Data ONTAP gelegt, die über die dazu vorgesehenen Schnittstellen (file- oder block-basierte Protokolle) von externen Applikationen (im Folgenden kontrollierende Applikation genannt) an einen NetApp-Speicher übergeben und wieder abgerufen werden. Die ordnungsgemäße Trans-formation (Scannen) und attributbezogene Verwaltung von Dokumenten war nicht Gegenstand der Prüfung.

Dem Auftrag liegen die als Anlage beigefügten Allgemeinen Auftragsbedingungen (AAB) für Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften in der Fassung vom 1. Januar 2002 zu Grunde. In Erweiterung der in Nr. 9 Abs. 2 S. 1 der AAB genannten Haftungshöchstsumme von EUR 4 Mio haften wir für fahrlässig verursachte Schäden in Höhe von EUR 5 Mio. Der in Nr. 9 Abs. 2 S. 5 der AAB genannte Betrag von EUR 5 Mio bleibt unverändert. Haftungserweiterun-gen gelten nicht für Schäden, für die eine Haftungshöchstsumme gesetzlich geregelt ist.

1.2 Maßstab zur Beurteilung der Ordnungsmäßigkeit

Als Maßstab zur Beurteilung der Ordnungsmäßigkeit wurden

für Deutschland

• die Vorschriften des deutschen Handels- und Steuerrechts (insbesondere §§ 238 ff. HGB sowie §§ 140 – 148 AO),

• die Grundsätze ordnungsmäßiger Buchführung (GoB),

• das BMF-Schreiben betreffend die „Grundsätze ordnungsmäßiger DV-gestützter Buch-führungssysteme (GoBS)“ vom 7. November 1995,

• das BMF-Schreiben vom 16. Juli 2001 zu den „Grundsätzen zum Datenzugriff und zur Prüf-barkeit digitaler Unterlagen“ (GDPdU),

• der Prüfungsstandard 330 des Hauptfachausschusses des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) „Abschlussprüfung bei Einsatz von Informationstechnologie“ (IDW PS 330),

• die IDW-Stellungnahme zur Rechnungslegung des Fachausschusses für Informationstechno-logie (FAIT) „Grundsätze ordnungsmäßiger Buchführung beim Einsatz von Informations-technologie“ (IDW RS FAIT 1),

• die IDW-Stellungnahme zur Rechnungslegung des FAIT „Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren“ (IDW RS FAIT 3),

ABCD NetAppBericht


April 2009

6643-1262257 3

• der Prüfungsstandard 880 des Hauptfachausschusses des IDW „Erteilung und Verwendung von Softwarebescheinigungen“ (IDW PS 880) und

• die Regelungen des § 28 Abs. 3-6 der „Verordnung über den Schutz vor Schäden durch Röntgenstrahlen (Röntgenverordnung – RöV)“ vom 8. Januar 1987 in der Bekanntmachung vom 30. April 2003,

für die Schweiz

• die gesetzlichen Vorschriften des Obligationenrechts (OR §§ 957 ff.) und

• die Geschäftsbücherverordnung (GeBüV)

sowie für Österreich

• das Unternehmensgesetzbuch (UGB, insbesondere §§ 190 und 216),

• die Bundesabgabenordnung (BAO, insbesondere §§ 131 und 132),

• die Grundsätze ordnungsmäßiger Buchführung (GoB),

• das Datenschutzgesetz (DSG, insbesondere § 14) und

• die Fachgutachten „Die Ordnungsmäßigkeit von EDV-Buchführungen“ (KFS/DV1) und „Abschlussprüfung bei Einsatz von Informationstechnik“ (KFS/DV2) des Fachsenats für Datenverarbeitung des Institutes für Betriebswirtschaft, Steuerrecht und Organisation der Kammer der Wirtschaftstreuhänder

zu Grunde gelegt.

1.3 Art und Umfang der Prüfungshandlungen

Unsere Arbeiten führten wir anhand der uns vorgelegten Dokumentation, durch Gespräche mit Mitarbeitern der NetApp Deutschland GmbH sowie durch systemgestützte Prüfungshandlungen durch.

Wir haben die Prüfung (mit Unterbrechungen) im Zeitraum vom 16. März bis 15. April 2009 in unseren Geschäftsräumen und in den Räumen der NetApp-Niederlassung in Grasbrunn durch-geführt. Art und Umfang unserer Prüfungshandlungen haben wir in unseren Arbeitspapieren festgehalten.

ABCD NetAppBericht


April 2009

4 6643-1262257

Alle zur Prüfung erforderlichen Unterlagen wurden uns zur Verfügung gestellt. Die gewünsch-ten Auskünfte und Erläuterungen wurden uns von den Mitarbeitern der Gesellschaft erteilt. Unsere Feststellungen und Beurteilungen zum Sachverhalt beruhen auf dem zum Prüfungszeit-punkt vorgefundenen Stand des Systems.

Die Geschäftsführung hat uns die Vollständigkeit der erteilten Aufklärungen und Nachweise, der zur Verfügung gestellten Verfahrensdokumentation sowie der Change Requests schriftlich bestätigt.

ABCD NetAppBericht


April 2009

6643-1262257 5

2 Zusammengefasstes Prüfungsergebnis und Soft-warebescheinigung

Wir haben die Data-ONTAP (Version 7.3)-basierten Speicherlösungen der FAS- und NearSto-re-Produktlinien mit der zusätzlichen Funktionalität SnapLock (Compliance und Enterprise) gemäß den vorstehenden Bedingungen geprüft und die folgende Bescheinigung erstellt:

Softwarebescheinigung

An die NetApp Deutschland GmbH, Grasbrunn

Sie haben uns den Auftrag erteilt, die Funktionsfähigkeit der Data-ONTAP (Version 7.3)-ba-sierten Speicherlösungen der FAS- und NearStore-Produktlinien mit der zusätzlichen Funktio-nalität SnapLock in den Ausprägungen Compliance und Enterprise zu prüfen. Die Verantwor-tung für die Funktionsfähigkeit dieses Systems liegt bei den gesetzlichen Vertretern der NetApp Deutschland GmbH. Unsere Aufgabe ist es, auf der Grundlage der von uns durchgeführten Prü-fung eine Beurteilung darüber abzugeben, ob das Betriebssystem ONTAP (Version 7.3) unter Nutzung des Features SnapLock bei sachgerechtem Einsatz eine den handels- und steuerrechtli-chen Ordnungsmäßigkeitskriterien entsprechende Speicherung und Retrieval von elektronischen Dokumenten ermöglicht, sowie eine der deutschen Röntgenverordnung entsprechende Archivie-rung von Aufzeichnungen und Röntgenbildern erlaubt.

Wir haben unsere Prüfung der Software nach dem vom Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) veröffentlichten Prüfungsstandard PS 880 „Erteilung und Verwendung von Softwarebescheinigungen“ vorgenommen. Danach ist die Prüfung von Softwareprodukten so zu planen und durchzuführen, dass nach Bestandsaufnahme des Prüfungsobjekts und der Testumgebung die notwendigen Verarbeitungsfunktionen identifiziert und die programmierten Verarbeitungsregeln mit Hilfe der Testfallmethode geprüft werden. Dazu sind sowohl eigene als auch Testfälle des Herstellers zu Grunde zu legen. Des Weiteren sind die Softwaresicherheit und die Dokumentation zu beurteilen. Wir sind der Auffassung, dass unsere Prüfung eine hinreichend sichere Grundlage für unsere Beurteilung bildet.

ABCD NetAppBericht


April 2009

6 6643-1262257

Auf Grund der von uns durchgeführten Prüfung, über die wir mit Datum vom 15. April 2009 gesondert Bericht erstattet haben, kommen wir zu dem Ergebnis, dass die Data-ONTAP (Ver-sion 7.3)-basierten Speicherlösungen der FAS- und NearStore-Produktlinien mit der zusätzli-chen Funktionalität SnapLock in den Ausprägungen Compliance und Enterprise bei sachgerech-ter Anwendung --unter Beachtung der nachfolgend genannten Sachverhalte-- eine den deut-schen Grundsätzen ordnungsmäßiger Buchführung, den Schweizer und österreichischen Anfor-derungen an die Führung und Aufbewahrung von Geschäftsbüchern sowie der deutschen Rönt-genverordnung entsprechende Speicherung und Abfrage von elektronischen Dokumenten er-möglicht.

Klarstellend weisen wir darauf hin, dass die sachgerechte Anwendung und der ordnungsmäßige Betrieb einer Data ONTAP-basierten Speicherlösung insbesondere die Umsetzung der folgen-den Maßnahmen beinhalten sollten:

• Wie generell für solche Systeme gefordert, ist durch infrastrukturelle Maßnahmen sicherzu-stellen, dass nur berechtigte Personen einen kontrollierten Zugang zur Speicherlösung haben (closed-shop).

• Ein angemessenes Berechtigungskonzept hat sicherzustellen, dass nur Personen mit betriebsbedingter Notwendigkeit lokalen (und damit administrativen) Zugang zur Speicher-lösung erhalten. Mehrere Administratoren sind aus Gründen der Nachvollziehbarkeit zu per-sonalisieren.

• Auf Ebene der kontrollierenden Applikation muss nachweisbar sein, dass für aufbewah-rungspflichtige Daten die Transaktion zum endgültigen Setzen des Read-Only-Attributs aus-geführt wurde.

• Es ist eine sichere Kommunikation zwischen der Speicherlösung und den kontrollierenden Applikationen aufzubauen (z. B. durch Firewall, VPN, Nutzung von verschlüsselter Daten-kommunikation), um einen unautorisierten Datenzugriff zu unterbinden.

• Zur Einhaltung der Ordnungsmäßigkeit der Lösung gehört auch die Bereithaltung einer an-gemessenen Anzahl von freien Festplatten (spares), die im Falle eines Plattendefekts zeitnah vom System eingebunden werden können.

• Im Rahmen einer Migration hat das organisatorische Umfeld sicherzustellen, dass sowohl die Unveränderbarkeit der Dokumente nicht kompromittiert wird als auch relevante Migra-tionsunterlagen ordnungsmäßig aufbewahrt werden.

ABCD NetAppBericht


April 2009

8 6643-1262257

3 Prüfungsergebnisse im Einzelnen

3.1 Beschreibung des Prüfungsgegenstands

3.1.1 Darstellung der Hardwarekomponenten

Zur Speicherung von Daten in NAS- und SAN-Umgebungen werden von NetApp die Produkt-linien FAS und NearStore angeboten, welche die Data ONTAP-Software als Betriebssystem einsetzen.

Eine NetApp-Speicherlösung besteht aus drei Grundkomponenten:

• einer Haupteinheit („head“; sendet und empfängt die zu speichernden oder gespeicherten Daten)

• einer oder mehrerer Disk Shelves (enthalten die eigentlichen Festplatten, auf denen die Daten abgelegt werden)

• Data ONTAP Software (Betriebssystem und Managementsoftware für den Zugriff auf die Daten der Disk Shelves)

Die Haupteinheit kann mit diversen PCI-Schnittstellenkarten um verschiedene Zugangsmög-lichkeiten erweitert werden (z. B. Ethernet, Fast Ethernet, Gigabit Ethernet, Fibre Channel).

Die maximal verwaltbare Kapazität einer Data ONTAP-basierten Speicherlösung wird grund-sätzlich durch die verwendete Hardwareplattform und durch die Anzahl der eingesetzten Festplatten begrenzt. In einem maximalen Aufbau kann eine solche Lösung derzeit mehrere Terabyte verwalten.

ABCD NetAppBericht


April 2009

6643-1262257 9

3.1.2 Darstellung der grundlegenden Funktionalität

Die Software Data ONTAP ist das von NetApp eigenentwickelte Betriebssystem, welches sämtliche Funktionalitäten der Speicherlösung bereitstellt. Neben einem Software-basierten RAID 4-Controller und der Verwaltung des NetApp-eigenen Dateisystems stellt der monolithi-sche Kernel auch die Schnittstelle zu verschiedenen Netzwerk-Protokollen dar und bietet ins-besondere verschiedene Funktionalitäten zur Datensicherung (z. B. SnapMirror und VolCopy) an.

Für den Anwender ist eine NetApp Speicherlösung ein geschlossenes System, auf das er keinen allumfassenden Zugriff hat, sondern das über das ONTAP-Betriebssystem angesprochen wird. Dazu stehen verschiedene Möglichkeiten zur Verfügung:

• zur Datenspeicherung:

− im SAN-Umfeld die Nutzung block-basierter Protokolle (iSCSI und FCP)

− im NAS-Umfeld die Nutzung der file-basierten Protokolle FTP, http, CIFS und NFS

• zur Administration:

− Zugriff über die Kommandoschnittstelle (per Telnet oder Konsole)

− Zugriff über Windows-spezifische Tools (Server Manager, User Manager)

− Verwaltung über die Web-Schnittstelle

− Verwaltung über das NetApp-Produkt DataFabric Manager

Ausgewählte Funktionen der Datenspeicherung und der Administration lassen sich außerdem über die bereitgestellte Programmierschnittstelle (Application Programming Interface – API) nutzen.

Bei der Speicherung von Daten verhält sich die Speicherlösung prinzipiell wie eine herkömm-liche Festplatte. Dabei kann jedes der von der Data ONTAP-Software unterstützten file-basierten Protokolle genutzt werden, um auf Dateien zuzugreifen, die mit Hilfe eines anderen file-basierten Protokolls geschrieben wurden. Auch die block-basierten Protokolle sind so un-tereinander austauschbar.

ABCD NetAppBericht


April 2009

10 6643-1262257

Zur physischen Organisation der Daten auf den Festplatten wird ein eigenentwickeltes File-system (WAFL) verwendet, welches auskunftsgemäß mit herkömmlichen Filesystemen (z. B. Reiser FS, NTFS, FAT etc.) nicht kompatibel ist.

Disks in Disk Shelves

RAID 4 (software based)

WAFL (Write Anywhere File Layout)

iSCSI CIFS NFS FCP etc.Schnittstellen

Dat

a O

NTA

P-ba

sier

te

Spei

cher

lösu

ng F

AS

oder

Nea

rSto

re

HTTP

Konzeptionelles Layout Data ONTAP

SnapLock SnapRestore etc.optionale Funktionalitäten SnapMirror

NVRAM (non volatile random access memory)

Abbildung: Konzeptioneller Aufbau der Data ONTAP-Software

Auf Ebene der Applikation werden Festplatten zu RAID-Gruppen zusammengefasst. Je nach verwendeter RAID-Strategie werden pro Gruppe mindestens zwei (traditionelles RAID 4) bzw. drei (RAID 4 mit Double Parity) Festplatten benötigt.

Die nächste logische Ebene ist die Zusammenfassung der RAID-Gruppen zu Volumes (traditio-nelles Volume) oder Aggregaten. Aggregate dienen der Entkopplung der Volumes von der Hardware und enthalten sog. flexible Volumes. Durch diese Virtualisierung ist es möglich, einem flexiblen Volume mehr Speicherplatz zu garantieren, als physisch derzeit vorhanden ist.

Jedem Volume wird bei der Erzeugung ein sog. Volume Global Unified Identifier (Volume GUID) zugeordnet, der unveränderbar über den Lebenszyklus des Volumes bestehen bleibt. Auf Grund des internen Algorithmus bei der Erstellung des GUID ist dieser weder reproduzierbar noch vom Anwender beeinflussbar.

ABCD NetAppBericht


April 2009

6643-1262257 11

3.1.3 Darstellung der SnapLock-Funktionalität

Der Leistungsumfang der Data ONTAP-Software ist über optionale Funktionalitäten erweiter-bar; diese können in Abhängigkeit von den Geschäftserfordernissen lizenziert werden. Eine wesentliche Funktion im Rahmen dieser Prüfung stellt SnapLock dar (verfügbar seit Data ONTAP Version 6.4), bei deren Nutzung es möglich ist, Daten dauerhaft und vor Veränderun-gen geschützt zu speichern.

Da die betrachtete Speicherlösung auf Festplatten basiert, sind gespeicherte Daten zunächst nicht physisch vor Veränderung oder Löschen geschützt. Vielmehr müssen weitere Rahmenbe-dingungen erfüllt sein, um die Unveränderbarkeit der auf einer Data ONTAP-basierten Speicherlösung abgelegten Dokumente dauerhaft zu sichern:

Aktivierung der SnapLock-Funktionalität

Von NetApp werden zwei unterschiedliche SnapLock-Lizenzen (Enterprise und Compliance) vertrieben, die vom Anwender entsprechend seinen Anforderungen gewählt und aktiviert werden. Als Unterschied zwischen den beiden Lizenzen erlaubt die Enterprise-Lizenz das vor-zeitige Löschen ohne Berücksichtigung von Aufbewahrungsfristen

− von gesamten SnapLock-Volumes einschließlich aller darin enthaltenen Dateien,

− wie auch das gezielte Löschen einzelner Dateien (privilegiertes Löschen)

durch besonders dazu berechtigte Personen.

Nutzung von CIFS oder NFS zur Aktivierung des WORM-Status

Der Status der Unveränderbarkeit (WORM-Status) kann sinnvoll nur unter den file-basierten Protokollen NFS und CIFS gesetzt werden. Zur Speicherung von Dateien über block-basierte Protokolle müssten transparent für die kontrollierende Applikation auf dem zu nutzenden Volume so genannte LUNs (Logical Unit Numbers) angelegt werden, die dann wie Shares zur Nutzung freigegeben werden und sich bei Zugriff über ein file-basiertes Protokoll wie ein einzi-ges File darstellen. Bedingt durch dieses Vorgehen kann bei der block-basierten Speicherung kein WORM-Status für eine einzelne Datei in einem LUN gesetzt werden, sondern nur für ein ganzes LUN, womit dieses LUN insgesamt nicht mehr beschreibbar wäre. Da es im praktischen Umfeld eine nicht unerhebliche zeitliche Verzögerung zwischen dem Speichern einer Datei in einem und dem Setzen des WORM-Status für dieses LUN kommen wird, sind block-basierte Protokolle zur Ablage von unveränderbar zu speichernden Dokumenten nicht geeignet.

ABCD NetAppBericht


April 2009

12 6643-1262257

Vorbereitung eines SnapLock-Volumes

Zur Speicherung der Dokumente muss ein Volume bzw. Aggregat speziell zur Aufnahme von unveränderbar zu sichernden Daten vorbereitet werden. Ein Volume ist dabei entweder eine Zusammenfassung von mindestens zwei Festplatten (traditionelles Volume) oder eine logische Einheit (flexibles Volume) eines kapselnden Aggregats und wird von der Data ONTAP-Software wie ein unabhängiges Filesystem behandelt. Bereits bei der Erstellung eines Volumes bzw. eines Aggregats muss angegeben werden, ob es sich um ein SnapLock-Volume bzw. Ag-gregat handelt.

Wurde ein Volume als SnapLock-Volume angelegt, kann der SnapLock-Status weder durch das System noch befehlsseitig geändert werden. Ein Volume kann nicht zerstört werden, wenn es noch nicht abgelaufene SnapLock-Dateien enthält.

Wurde ein Aggregat als SnapLock-Aggregat angelegt, kann der SnapLock-Status weder durch das System noch befehlsseitig geändert werden. Ein Aggregat kann nicht zerstört werden, wenn es noch --die zur Speicherung von Dateien notwendigen-- Volumes enthält.

Zum Einsatz der Funktionalität des privilegierten Löschens ist zudem das Vorhandensein eines zur Protokollierung eingerichteten SnapLock Compliance-Volume erforderlich. Da ein vorzeiti-ges Löschen von durch eine SnapLock Compliance-Lizenz geschützten Dateien wie auch von ganzen SnapLock Compliance-Volumes nicht möglich ist, wird damit sichergestellt, dass eine Manipulation der Protokollinformationen nicht möglich ist.

Bestimmung der Aufbewahrungsfrist

Jedem zu speichernden Objekt wird eine Aufbewahrungsfrist (retention period) zugewiesen. Vor Ablauf dieser Aufbewahrungsfrist ist das Löschen des Objekts bei aktiviertem SnapLock-Status nicht möglich. Die Aufbewahrungsfrist eines Objekts wird durch folgende Parameter bestimmt:

• Die minimale Aufbewahrungsfrist (minimum retention period) wird auf Volume-Ebene fest-gelegt. Sie gilt nicht für bereits angelegte Objekte und bestimmt den Zeitraum, den ein Objekt mindestens aufbewahrt werden muss. Im Standard beträgt die minimale Aufbewah-rungsfrist null Tage und hat damit keine Auswirkungen.

• Die maximale Aufbewahrungsfrist (maximum retention period) wird ebenfalls auf Volume-Ebene festgelegt. Sie bestimmt den Zeitraum, den ein Objekt maximal aufbewahrt werden muss.

• Wird einem Objekt eine Aufbewahrungsfrist (durch Manipulation des letzten Zugriffs-datums) mitgegeben, muss diese im Bereich zwischen der minimalen und der maximalen Aufbewahrungsfrist des Volumes liegen.

ABCD NetAppBericht


April 2009

6643-1262257 13

• Die Standard-Aufbewahrungsfrist (default retention period) wird angewendet, wenn einem Objekt keine Aufbewahrungsfrist übergeben wird. Sie ist bei Nutzung der SnapLock Compliance-Lizenz --wie die maximale Aufbewahrungsfrist-- im Standard auf 30 Jahre konfiguriert. Auf einem mit der SnapLock Enterprise-Lizenz konfigurierten Volume ist die Standardaufbewahrungsfrist werkseitig mit der minimalen Aufbewahrungsfrist gleichgesetzt und entspricht null Tagen.

Setzen des Read-Only-Attributs

Der Status der Unveränderbarkeit wird auf Dateiebene festgelegt und muss für das zu sichernde Dokument explizit gesetzt werden. Dies geschieht in Abhängigkeit vom genutzten Protokoll und wird bei Nutzung des CIFS-Protokolls (Common Internet File System) durch Setzen des Read-Only-Attributs und bei Nutzung des NFS-Protokolls (Network File System) durch Entfernen aller Schreibrechte ausgelöst.

Nach Aktivierung des Schreibschutzes ist es nicht mehr möglich, die dem Objekt zugeordnete Aufbewahrungsfrist zu verkürzen, jedoch kann sie jederzeit verlängert werden.

Im Folgenden gehen wir bei unseren Betrachtungen immer davon aus, dass die Speicherung der Daten unter Nutzung der SnapLock-Funktionalität erfolgt.

Vorzeitiges Löschen eines Volume oder einer Datei unter Verwendung des privilegierten Löschens

Mit dem Löschen ganzer Volumes unter Verwendung der SnapLock Enterprise-Lizenz wird beispielsweise dem Umstand Rechnung getragen, dass die Speicherlösung vermehrt in externen oder internen Dienstleisterszenarien eingesetzt wird. Entscheidet sich ein Kunde eines Dienstleisters, der Speicherplatz auf SnapLock-Volumes anbietet, den Dienstleistungsvertrag vor Ablauf der bei seinen Daten hinterlegten Aufbewahrungsfristen zu kündigen, hätte der Dienstleister auch nach Erlöschen seiner Leistungspflicht keine Möglichkeit, die bei ihm gespeicherten Daten von einem SnapLock Compliance-Volume zu löschen. Die Folge wäre, dass der Speicherplatz bis zum Ablauf der Aufbewahrungsfrist blockiert ist. Dies lässt den Einsatz von SnapLock Compliance in einem Dienstleisterszenario wirtschaftlich unattraktiv erscheinen.

Der Einsatz des privilegierten Löschens zum Löschen einzelner Dateien ist seit der Betriebssys-temversion Data ONTAP 7.3.1 möglich und insbesondere vor dem Hintergrund von Daten-schutzbestimmungen zu betrachten, die beispielsweise das gezielte Löschen personenbezogener Daten erforderlich machen können. Dabei ist zu beachten, dass die Möglichkeit der Ver-wendung des privilegierten Löschens neben einer SnapLock Enterprise-Lizenz auch das Vorhandensein einer SnapLock Compliance-Lizenz voraussetzt, da diese zur Absicherung der Protokollierung über den Einsatz des privilegierten Löschens verwendet wird.

ABCD NetAppBericht


April 2009

14 6643-1262257

Die Aufbewahrungsdauer einer Protokolldatei des privilegierten Löschens wird dabei system-seitig überwacht und entspricht der Aufbewahrungsdauer der gelöschten Datei, die --ohne Ein-satz des privilegierten Löschens-- am längsten hätte aufbewahrt werden müssen.

Neben der Protokollierung von Einstellungsänderungen an den Parametern des privilegierten Löschens (Aktivierung, Deaktivierung, permanente Deaktivierung) werden bei Anwendung der privilegierten Löschfunktion umfangreiche Informationen zur späteren Nachvollziehbarkeit des Vorgangs in der Protokolldatei abgelegt. Dazu gehören insbesondere:

• die Volume-UUID und der Pfad zur gelöschten Datei

• der Name und sonstige Attribute (inkl. Zeitstempel) der gelöschten Datei

• Datum und Uhrzeit des Löschvorganges, der verwendete Nutzeraccount

• der Fingerprint der gelöschten Datei

• verwendete IP-Adresse des Client und das verwendete Protokoll

3.1.4 Darstellung der verwendeten Testumgebung

Die uns zur Verfügung gestellte Testumgebung bestand aus den folgenden Komponenten:

• einem NetApp-System des Typs FAS270

• einer Disk Shelf mit 19 Festplatten zu je 68 GB

• der Software Data ONTAP in der Version 7.3.1

Die Lizenzen zur Nutzung der SnapLock Compliance- und -Enterprise-Funktionalität waren installiert. Die Initialisierung der Compliance Clock war im Vorfeld der Prüfung durchgeführt worden.

Zur Prüfung der Verarbeitungsfunktionen und Zugriffsberechtigungen wurde eine Windows XP-Installation als Client genutzt.

ABCD NetAppBericht


April 2009

6643-1262257 15

3.2 Verarbeitungsfunktionen

3.2.1 Ablage und Speicherung

3.2.1.1 Unveränderbarkeit der Dokumente

Anforderung

An die Speicherung und Archivierung aufbewahrungspflichtiger Unterlagen (Dokumente) auf anderen Datenträgern i. S. d. § 147 Abs. 2 AO stellen die GoBS grundsätzlich die Anforderung, dass Änderungen an einmal archivierten Dokumenten nicht mehr möglich sind, ohne dass der ursprüngliche Zustand erkennbar ist. In Bezug auf ursprünglich in Papierform verkörperte Dokumente („analoge Dokumente“) wird darüber hinaus die Anforderung gestellt, dass sicher-gestellt sein muss, dass die digital gehaltenen Daten unveränderbar sind.

Bei der Archivierung von Röntgenbildern ist nach § 28 Abs. 5 Nr. 2 RöV die Unveränderbarkeit durch geeignete Maßnahmen sicherzustellen. Nachträgliche Ergänzungen und Änderungen der Röntgenaufzeichnungen sind als solche erkennbar ebenfalls zu sichern und aufzubewahren.

Über die sich aus dem deutschen Recht ergebenden Anforderungen hinaus ergeben sich nach schweizerischem und österreichischem Recht keine ergänzend einzuhaltenden Anforderungen.

Ergebnis

Wir haben uns anhand der vorgelegten Konzepte und anhand von selbst durchgeführten Tests davon überzeugt, dass die unter Nutzung der SnapLock-Funktionalität gespeicherten Daten angemessen vor Änderungen geschützt sind.

Grundsätzlich stellt die von uns betrachtete Data ONTAP-basierte Speicherlösung drei Zugriffs-möglichkeiten bereit.

Zugriff über file-basierte Protokolle

Ablauf der Speicherung

Bereits bei der Anlage eines SnapLock-Volumes oder eines SnapLock-Aggregats wird der SnapLock-Status des Volumes bzw. des Aggregats im Label der zugehörigen Festplatten hinterlegt und kann dort nicht mehr entfernt werden. Um über die unterstützten file-basierten Protokolle Daten auf einem SnapLock-Volume zu speichern, müssen das Volume oder der

ABCD NetAppBericht


April 2009

16 6643-1262257

Qtree (besonderes Verzeichnis in einem Volume) als Share freigegeben oder exportiert werden. Bei der Anlage eines Shares müssen die generellen Zugriffsmöglichkeiten (Read/Write oder Read-Only) angegeben werden. Clientseitig können nun in dieser Freigabe Dateien --ähnlich wie auf einer normalen Festplatte-- gespeichert, gelesen und attributiert werden, soweit das genutzte Protokoll diese Funktionen unterstützt und keine restriktiveren Sicherheitseinstellun-gen greifen.

Sicherheit des Verfahrens

Mit der Speicherung von Daten auf einem SnapLock-Volume werden diese noch nicht automa-tisch unveränderbar abgelegt. Vielmehr verhält sich ein SnapLock-Volume wie eine normale Festplatte, auf der Dateien beliebig geändert oder gelöscht werden können.

Der WORM-Status einer Datei wird in einem internen Bit festgehalten, auf dessen Zustand mit dem Befehlssatz der Software im Auslieferungszustand weder lesend noch schreibend direkt zugegriffen werden kann. Daraus ergeben sich drei Besonderheiten für unveränderbar zu speichernde Daten:

• Das Schreibattribut (bzw. Read-Only-Attribut) kann keine verlässliche Aussage über die Unveränderbarkeit einer Datei geben. Vielmehr sind Dateien, die bereits mit gesetztem Read-Only-Attribut auf ein SnapLock-Volume kopiert werden, weiterhin veränderbar. Erst durch das Auslösen des Mechanismus zum Setzen des internen Bits wird die Unveränder-barkeit garantiert. Wird eine Datei beispielsweise mit Hilfe eines Dateimanagers kopiert, muss das Read-Only-Bit zuerst gelöscht werden, bevor es erneut gesetzt werden kann. Erst dieses erneute Setzen sichert die Unveränderbarkeit.

• Der Status der Unveränderbarkeit wird nicht kopiert, wenn eine unveränderbar gespeicherte Datei auf ein anderes oder an eine andere Stelle des gleichen SnapLock-Volumes unter Nutzung von Standardwerkzeugen (z. B. Explorer unter Windows oder der cp-Befehl unter Unix) kopiert wird. Die Kopie ist lösch- sowie änderbar. Nach Auskunft von NetApp erlau-ben das Network Data Management Protokoll (NDMP) oder die NetApp-eigene Funktionali-tät SnapMirror das Kopieren von Dateien unter Erhaltung ihres WORM-Status.

• Der WORM-Status lässt sich nicht direkt an der Datei erkennen. Der Status kann nur indirekt (z. B. durch den Versuch, eine Datei umzubenennen oder ihre Attribute zu verändern) bestimmt werden.

Eine Löschung von Dateien mit WORM-Status ist --abgesehen vom privilegierten Löschen auf SnapLock Enterprise-Volumes über die dem Administrator vorbehaltene Kommandoschnittstel-le-- mit keinem der von der Data ONTAP-Software bereitgestellten Protokolle möglich, solange die übergebene Aufbewahrungsfrist nicht abgelaufen ist. Die Aufbewahrungsfrist je Datei ergibt sich aus den oben in Abschnitt 3.1.3 beschriebenen Mechanismen. Die Überwachung der Auf-

ABCD NetAppBericht


April 2009

6643-1262257 17

bewahrungsfristen erfolgt anhand der Compliance Clock, die unabhängig von der Systemuhr läuft und vor Nutzung der SnapLock-Funktionalität einmalig initialisiert werden muss. Nach der Initialisierung wird die Zeit der Compliance Clock zwar weiterhin mit der Systemuhr synchro-nisiert, die von der Compliance Clock übernommenen Zeitdifferenzen sind jedoch so eng begrenzt, dass Manipulationen weitgehend ausgeschlossen sind.

Standardaufbewahrungsfrist

Es besteht grundsätzlich das Risiko, dass aufbewahrungspflichtige Dokumente ohne Aufbewah-rungsdauer an ein SnapLock Enterprise-Volume übergeben werden. Mit der standardmäßig definierten Aufbewahrungsfrist von null Tagen wäre es damit möglich, die Dokumente von der Speicherlösung innerhalb der Aufbewahrungspflicht jederzeit wieder zu löschen.

Caching

Klassische Archivsysteme (insbesondere mit angeschlossenen Jukeboxen) nutzen häufig aus Performancegründen Cache-Bereiche, auf denen die zu archivierenden Daten zwischenge-speichert werden. Es erfolgt bereits eine Rückmeldung über die erfolgreiche Speicherung, obwohl aus technischer Sicht noch eine Latenzzeit von einigen Sekunden bis mehreren Stunden zu berücksichtigen wäre und die Daten im Cache-Bereich ohne technische und organisatorische Vorkehrungen manipulierbar bleiben (Cache-Problematik).

Auch NetApp setzt aus Performancegründen in den betrachteten Systemen einen batteriegepuf-ferten Cache-Speicher (Non-Volatile RAM – NVRAM) ein.

Zum Schutz der Datenintegrität kann auf den Cache-Bereich einer NetApp-Speicherlösung befehlsseitig kein Einfluss genommen werden. Eine manipulative Handlung an den in einem Cache-Speicher gehaltenen Daten wird über die internen Prüfsummen (CRCs) erschwert. Damit und durch das zur Speicherung genutzte Verfahren erscheint der Cache-Bereich angemessen sicher vor Veränderung.

Wenn das Datensicherungskonzept der konkreten Installation im Kundenumfeld keine zusätzli-che Absicherung vor dem Verlust von Daten in einen defekten NVRAM trifft, können Cluster aus NetApp-Speicherlösungen gebildet werden, in denen sich die NVRAMs gegenseitig syn-chronisieren. Der Verlust der in einem Cache gehaltenen Daten kann somit noch weiter redu-ziert werden.

Das Common Internet File System (CIFS) erlaubt die Nutzung sog. Oplocks (opurtunistic locks). Damit ist es einem CIFS-Client (z. B. Archivserver) möglich, unter bestimmten Um-ständen Lese-, Schreib- und Lock-Informationen lokal zu speichern (caching), um damit eine Verringerung des Netzwerkverkehrs und damit eine verbesserte Systemperformanz zu errei-chen. Es sind jedoch Fälle denkbar, in denen das regelmäßige Zurückschreiben der Daten auf den Server (flushing) durch einen Fehler im Netzwerk oder in der Applikation gestört wird.

ABCD NetAppBericht


April 2009

18 6643-1262257

Zur Sicherstellung der Datenintegrität ist für eine ordnungsmäßige Datenspeicherung die stan-dardmäßige Aktivierung der Nutzung von Oplocks zu entfernen.

Zugriff über die Programmierschnittstelle (Application Programming Interface – API)

Die Programmierschnittstelle stellt ein Set von Funktionen bereit, mit denen sowohl die Admi-nistration der Speicherlösung wie auch die Datenverwaltung möglich sind. Die notwendigen Berechtigungen fügen sich in das von der Data ONTAP-Software bereitgestellte Nutzer/Rollen/ Rechte-Konzept (Role-based Access Controls – RBAC) ein. Für den Zugriff über die Program-mierschnittstelle gelten damit die gleichen Restriktionen wie für die file-basierten Protokolle und das Kommandozeileninterface.

Zugriff über den Administrationszugang

Veränderungen an Daten

Eine explizite Veränderung von Daten ist über das Kommandozeileninterface, die Web-Schnittstelle oder die Konsole prinzipiell nicht möglich, da ein entsprechendes Kommando nicht im Befehlssatz des Administrationszugangs enthalten ist. Es ist jedoch möglich, gezielt Dateien auf einem SnapLock Enterprise-Volume zu löschen, wenn diese Funktionalität nicht endgültig deaktivert ist.

Löschung von Volumes und der Einsatz des privilegierten Löschens

Insgesamt kann der Einsatz des SnapLock Enterprise-Features nur dann ordnungsmäßig sein, wenn nachvollziehbar dargelegt werden kann, dass keine aufbewahrungspflichtigen Dokumente vor Ablauf der Aufbewahrungsfrist gelöscht wurden. Dazu ist es erforderlich, den Befehl zur Löschung eines Volume wie auch das privilegierte Löschen nur unter sehr restriktiven Bedingungen zum Einsatz kommen zu lassen.

Empfehlung

Auf Ebene der kontrollierenden Applikation muss nachweisbar sein, dass für aufbewahrungs-pflichtige Daten die Transaktion zum endgültigen Setzen des Read-Only-Attributes ausgeführt wurde.

Generell (d. h. auch für die SnapLock Compliance) gilt: Zur Sicherstellung der ordnungsmäßi-gen Aufbewahrungsfrist der an SnapLock Volume übergebenen Dokumente ist seitens der kontrollierenden Applikationen sicherzustellen, dass bei der Speicherung eine gültige Auf-bewahrungsfrist übergeben wird. Damit sollte es bei keinem gespeicherten Dokument nötig sein, auf die Standardaufbewahrungsfrist zurückzugreifen.

ABCD NetAppBericht


April 2009

6643-1262257 19

Zusätzlich sollte für jedes zur Speicherung aufbewahrungspflichtiger Dokumente eingesetzte Volume die Standardaufbewahrungsfrist auf die maximale Aufbewahrungsdauer aller auf dem Volume zu speichernden Dokumente gesetzt werden.

Darüber hinaus sollten die Parameter „Minimale Aufbewahrungsdauer“ und „Maximale Auf-bewahrungsdauer“ genutzt werden, um die Übergabe einer Aufbewahrungsfrist in einem ge-wünschten Intervall zu erzwingen.

Bei Nutzung der SnapLock Enterprise-Lizenz sollte des Weiteren eine unabhängige Fixierung der eindeutigen Volume-GUID unmittelbar nach Inbetriebnahme des Systems erfolgen. Eine unveränderte Volume-GUID ist Bestandteil des Nachweises, dass der Datenbestand nicht mani-puliert wurde.

Zudem ist --soweit die Funktionalität des privilegierten Löschens nicht endgültig deaktiviert ist (Status disallowed)-- der Einsatz des privilegierten Löschens zu dokumentieren und durch regelmäßige Überwachung mit der eingerichteten Protokollierung abzugleichen, da einzelne Dateien --anders als ein Volume in Form seiner GUID-- keine eindeutigen Kennungen besitzen und damit leicht unter gleichem Namen ersetzt werden könnten.

3.2.1.2 Notwendige Protokollierungen

Anforderung

Um den Prozess der Ablage nachvollziehbar zu gestalten, müssen Bearbeitungsvorgänge an den gespeicherten Dokumenten protokolliert werden. Diese Protokolle unterliegen einer Aufbewah-rungsfrist von 10 Jahren. Darüber hinaus müssen bearbeitete Dokumente als Kopie gekenn-zeichnet werden.

Ergänzend zu den im deutschen Recht kodifizierten Anforderungen müssen für die sachgerechte Anwendung in der Schweiz gemäß Art. 8 GeBüV und in Österreich alle (lesenden und schrei-benden) Zugriffe auf die Dokumente protokolliert werden. Für die Protokollierungsunterlagen gelten dieselben Aufbewahrungsanforderungen wie für die auf dem Datenträger gespeicherten Daten.

Ergebnis

Beim Einsatz der SnapLock-Funktionalität sind Änderungen an Dateien nicht möglich. Dieses Verfahren der Speicherung erfordert daher keine Protokollierung von Bearbeitungsvorgängen an Dokumenten.

ABCD NetAppBericht


April 2009

20 6643-1262257

Soll dennoch eine Versionsverwaltung abgebildet werden, ist es Aufgabe der kontrollierenden Applikation, die erforderlichen Protokollierungen durchzuführen.

Data ONTAP bietet selbst keine Funktionalität, alle lesenden und schreibenden Zugriffe zu protokollieren. Zur Erfüllung der österreichischen und schweizerischen Anforderungen ist eine entsprechende Protokollierung daher über die kontrollierende Applikation zu gewährleisten.

3.2.1.3 Indizierung und Retrieval

Anforderung

Um unverzügliche Lesbarmachung zu gewährleisten, muss auf die Dokumente über geeignete Ordnungskriterien gezielt zugegriffen werden können. Der dazu zu führende Index darf nicht veränderbar sein. Der Aufbewahrungspflichtige hat sicherzustellen, dass die eingesetzte Indizie-rungssystematik einen gezielten Zugriff erlaubt. Die Risiken der Fehlindizierung und dadurch der Unauffindbarkeit sind zu minimieren. Die Anwendung muss geeignete Werkzeuge zur Ver-fügung stellen, um archivierte Dokumente zeitnah in ausreichender Qualität lesbar zu machen.

Ergebnis

Die Software Data ONTAP stellt zur Indexierung grundlegende Funktionalitäten zur Verfü-gung, die von der kontrollierenden Applikation genutzt werden können, um eine den Anforde-rungen der GoBS entsprechende Indexverwaltung zu gewährleisten.

Ein WORM-Volume kann anhand einer eindeutigen Seriennummer identifiziert werden, die in Abhängigkeit von einer zufällig erzeugten Zahl, dem aktuellen Zeitstempel und der weltweit eindeutigen Seriennummer der Speicherlösung erstellt wird und auf deren Berechnung von außen kein Einfluss genommen werden kann. Diese Seriennummer kann von der kontrollieren-den Applikation unter Nutzung des Simple Network Management Protokolls (SNMP) abgefragt werden. Dieses Protokoll kann auch genutzt werden, um den WORM-Status eines Volumes zu bestimmen.

Der zur Datei gehörende relative Pfad auf den Festplatten ist für ein SnapLock-Volume unver-änderbar und wird für einen gezielten und eindeutigen Zugriff auf eine Datei genutzt.

Um die Eindeutigkeit des relativen Pfades zu unveränderbar gespeicherten Dateien sicherzustel-len, kann ein einmal angelegtes Verzeichnis (directory) auf einem SnapLock-Volume nicht umbenannt werden. Jedoch kann ein Verzeichnis solange gelöscht werden, wie in ihm noch keine Dateien mit WORM-Status abgelegt wurden.

ABCD NetAppBericht


April 2009

6643-1262257 21

Außerhalb der Verantwortung der Data ONTAP-Software ist der absolute Pfad zu einer Datei zu sehen. Die Software kann nicht sicherstellen, dass Zuordnungen von Laufwerksbuchstaben bei dem der kontrollierenden Applikation unterliegenden Betriebssystem zu von der Data ONTAP-Software bereitgestellten Dateipfaden (network drive mapping) unveränderbar vorlie-gen. Es muss daher seitens des organisatorischen Umfelds sichergestellt werden, dass keine Modifikationen oder Manipulationen an den Zuordnungen der Dateipfade vorgenommen werden können.

3.2.2 Ordnungsmäßige Wiedergabe

Anforderung

Die deutsche Abgabenordung erfordert, dass auf Datenträger geführte aufbewahrungspflichtige Unterlagen während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind und unverzüg-lich lesbar gemacht werden können. Vergleichbare Regelungen gelten nach schweizer und ös-terreichischem Recht.

Durch regelmäßige Integritätsprüfungen hat die Speicherlösung sicherzustellen, dass Festplat-tendefekte zeitnah erkannt werden. Bei der Migration von Daten ist außerdem sicherzustellen, dass die Vollständigkeit und Richtigkeit der migrierten Daten erhalten bleibt. Darüber hinaus sind auch nach der Migration die gesetzlichen Aufbewahrungspflichten einzuhalten. Soweit sie für das Verständnis und die Nachvollziehbarkeit der Migration von Bedeutung sind, unterliegen Migrationsunterlagen den gleichen Aufbewahrungspflichten wie die rechnungslegungsrelevan-ten Unterlagen.

Ergebnis

Die Daten werden in einem Disk Shelf auf handelsüblichen Festplatten gespeichert. Nach gegenwärtigem Kenntnisstand gelten diese Medien als zukunftssicher und sind (bei Einsatz im Rahmen der vom Hersteller empfohlenen Umgebungsbedingungen) in der Lage, die Infor-mationen während der gesamten Dauer der Aufbewahrungsfrist sicher zu speichern.

Eine Lesbarmachung der in einer Speicherlösung gehaltenen Daten ist so lange möglich, wie die genutzten Protokolle Verwendung finden und zukünftige Entwicklungen der geprüften Software abwärtskompatibel bleiben. Derzeit zeichnet sich eine Ablösung der zur Bereitstellung der Daten genutzten Protokolle nicht ab. Zusätzlich sind die file-basierten Protokolle untereinander austauschbar, so dass beispielsweise mit CIFS geschriebene Daten auch über http, FTP oder NFS gelesen werden können.

Auf Festplattenebene wird zum Zeitpunkt der Speicherung eine CRC-Prüfsumme (cyclic redun-dancy check) berechnet. Beim Lesen von Daten und periodisch über die gesamte Speicherdauer

ABCD NetAppBericht


April 2009

22 6643-1262257

wird eine neue Prüfsumme berechnet und mit der bereits abgelegten Summe verglichen. Im Standard erfolgt die periodische Prüfung jeden Sonntag für sechs Stunden. Reicht diese Zeit nicht aus, wird eine Markierung gesetzt, an der die Prüfung beim nächsten Start fortgeführt wird. Der Zeitplan der periodischen Prüfung kann kundenspezifisch angepasst werden. Es wird empfohlen, die Zeitspanne zwischen zwei Aufrufen so kurz wir möglich zu halten, ohne die Performance des Systems wesentlich zu beeinflussen. Auftretende Fehler werden durch Umko-pieren in andere Festplattenbereiche oder auf freie Festplatten behoben.

Die Speicherlösung unterstützt grundlegende Funktionalitäten zur Migration von Daten unter Beibehaltung des SnapLock-Status (z. B. ndmpcopy oder Qtree SnapMirror). Darüber hinaus ist die Speicherlösung jedoch von weiteren organisatorischen Maßnahmen (insbesondere Doku-mentation) zur Sicherstellung einer ordnungsmäßigen Migration abhängig.

Die Speicherlösung erlaubt die Berechnung eines Hashwerts je Datei (file fingerprint). Hierbei kommen Standardverfahren (MD5, SHA256) zum Einsatz. Damit kann beispielsweise im Rah-men einer Migration sichergestellt werden, dass Daten unverändert übertragen wurden.

Empfehlung

Zur Einhaltung der Ordnungsmäßigkeit der Lösung gehört auch die Bereithaltung einer ange-messenen Anzahl von freien Festplatten (spares), die im Falle eines Plattendefekts zeitnah vom System eingebunden werden können.

Im Rahmen einer Migration hat das organisatorische Umfeld sicherzustellen, dass sowohl die Unveränderbarkeit der Dokumente nicht kompromittiert wird als auch relevante Migrationsun-terlagen ordnungsmäßig aufbewahrt werden.

3.3 Softwaresicherheit und Systemadministration

3.3.1 Systemkonfiguration

Anforderung

Um das Risiko zu minimieren, dass eingerichtete Zugriffsschutzverfahren umgangen werden, ist das System nach anerkannten Sicherheitsrichtlinien zu konfigurieren. Dazu gehört unter anderem, dass die angebotenen Kommunikationsdienste nur verschlüsselt übertragen werden.

Laut GeBüV (Art. 9 lit. B Nr. 2) ist es zudem erforderlich, dass zur Aufbewahrung von Unterla-gen auf veränderbaren Informationsträgern der Zeitpunkt der Speicherung der Informationen

ABCD NetAppBericht


April 2009

6643-1262257 23

unverfälschbar nachweisbar ist, z. B. durch Speichern des aktuellen Datums und der aktuellen Uhrzeit aus einer authentisierten Zeitquelle zusammen mit dem Dokument.

Ergebnis

Verfügbare Schnittstellen

Eine NetApp-Speicherlösung verfügt hardwareseitig über einen seriellen Anschluss zum direkten Anschließen eines Servicelaptops oder einer Konsole und über einen weiteren Wartungszugang. Darüber hinaus lässt sich eine NetApp-Speicherlösung fast beliebig über diverse PCI-Schnittstellenkarten erweitern. Um einen sicheren Betrieb zu gewährleisten, müssen die möglichen Anschlüsse des Systems organisatorisch oder technisch soweit geschützt werden, dass nur erlaubte Zugriffsmöglichkeiten auf das System möglich sind.

Die Administrationszugänge des Systems (API, Command Line Interface – CLI – und Web-schnittstelle – FilerView) erlauben die Einrichtung einer Verschlüsselung per Secure Socket Layer (SSL)- bzw. Secure Shell (SSH)-Protokoll. Die Lizenzierung weiterer Funktionalitäten des Data ONTAP-Betriebssystems ist dafür nicht notwendig.

3.3.2 Zugriffsschutz

Anforderung

Sowohl die deutschen als auch die schweizerischen und österreichischen Regelungen erfordern zum Schutz von rechnungslegungsrelevanten Daten wirksame Zugriffsberechtigungskontrollen, die so zu gestalten sind, dass nur berechtigte Personen in dem ihrem Aufgabengebiet entspre-chenden Umfang auf Programme und Daten zugreifen können.

Bei Einsatz der Lösung im Umfeld der Röntgenverordnung ist bei der Nutzung allgemein zu-gänglicher Netze zur Datenübertragung zwingend der Einsatz von Verschlüsselungsmethoden zu berücksichtigen (§ 28 Abs. 6 RöV).

Physische Sicherungsmaßnahmen dienen dem Schutz der Hardware sowie der Programme und Daten vor Verlust, Zerstörung und unberechtigter Veränderung.

Ergebnis

Administrationszugang

Für die Administration einer Data ONTAP-basierten Speicherlösung stehen eine Web- und eine Kommandozeilen-Schnittstelle zur Verfügung. Beide Administrationsmöglichkeiten greifen auf

ABCD NetAppBericht


April 2009

24 6643-1262257

die gleiche lokale Nutzerauthentifizierung zu und sind durch eine User-ID/Passwort-Kombination geschützt, die für alle Zugänge über das Netzwerk (telnet, rsh, ssh, http) oder über die serielle Schnittstelle (console port) identisch ist.

Aus Gründen der Nachvollziehbarkeit können mehrere Nutzer für den Administrationszugang eingerichtet werden. Eine Funktionstrennung ist --in Hinsicht auf die untersuchte SnapLock-Funktionalität-- insbesondere zwischen der Berechtigung zum Löschen von ganzen Volumes und der Berechtigung zum privilegierten Löschen möglich. Dabei wird der Einsatz des privile-gierten Löschens nur über die Kommandozeile, nicht jedoch über die Web-Schnittstelle unter-stützt.

Soweit technisch möglich, sollten zur Administration die unsicheren Dienste deaktiviert und durch die sicheren Dienste ssh und https ersetzt werden. Eine weitere Erhöhung der Sicherheit des Administrationszugangs kann durch Einsatz des OSI-Layer 3-Protokolls IPSec oder durch Kryptoboxen im zu schützenden Netzwerk erreicht werden.

Zugang zu den Daten

Der Zugang zu den Daten erfolgt über block- oder file-basierte Protokolle. Alle Protokolle werden seitens der Data ONTAP Software durch verschiedene standardisierte Authentifizie-rungsmechanismen unterstützt. Diese sind beispielsweise

• Authentifizierung durch einen Domain Controller (DC) im Windows-Umfeld (CIFS)

• Einsatz eines /etc/passwd und des Network Information Systems (NIS) für NFS

• Begrenzung der Zugriffsrechte auf Host-Ebene (iSCSI) oder

• Authentifizierung im Unix- (/etc/passwd) oder Windows-Umfeld (DC) für FTP

Im konkreten Kundenumfeld ist zu prüfen, welche Protokolle für den Zugriff auf die Daten ein adäquates Sicherheitsniveau erlauben. Es ist zu beachten, dass einige Protokolle im Standard auch die unverschlüsselte Übertragung von Authentifizierungsinformationen (z. B. NFS oder CIFS) unterstützen. Gegebenenfalls sind entsprechende weiter gehende Schutzmechanismen wie Kryptoboxen oder VPNs einzusetzen. Des Weiteren sollten entweder die Logging-Mechanismen des Domain-Controllers oder die vom System bereitgestellten Mechanismen für die Überwachung von Zugriffen auf das System genutzt werden.

Den von der Software Data ONTAP unterstützten logischen Strukturen zur Aufnahme eines eigenen Filesystems (Volume und Qtree) können Security-Styles zugeordnet werden, die für die abgelegten Daten bestimmen, ob Windows- oder Unix-Dateizugriffsbeschränkungen genutzt werden. Die Zugriffsarten werden vom WAFL-Dateisystem virtuell bereitgestellt, um entspre-chenden Windows- oder Unix-Clients die Beschränkung auf Dateiebene zu erlauben. Daher sind

ABCD NetAppBericht


April 2009

6643-1262257 25

Windows-Zugriffe auf Volumes, für die der NFS-Security-Style eingerichtet wurde, genauso möglich wie Unix-Zugriffe auf Windows-Shares. Programmtechnisch wird sichergestellt, dass gesetzte Dateizugriffsbeschränkungen dabei nicht verloren gehen.

Netzwerksicherheit

Die in der Software Data ONTAP implementierten Schutzmaßnahmen können die Sicherheit der Daten auf einer NetApp-Speicherlösung nur in Verbindung mit der Umsetzung angemesse-ner infrastruktureller und organisatorischer Maßnahmen zu einem von den handels- und steuer-rechtlichen Reglungen geforderten Grad sicherstellen. Dies gilt insbesondere in Bezug auf die folgenden Bedrohungsszenarien:

• Bei unverschlüsselter Übertragung sind Angriffe (man-in-the-middle-attacks) denkbar, welche die Unveränderbarkeit der Daten gefährden.

• Die Data ONTAP-Software kommuniziert über verschiedene TCP/IP-Ports, die in Abhän-gigkeit von den genutzten Features geöffnet werden. Damit werden Szenarien möglich, die Angreifern mit entsprechendem Aufwand (brute-force-attacks) Zugang zu in der Speicher-lösung gespeicherten Daten verschaffen, unberechtigterweise Daten speichern oder die Spei-cherlösung durch unberechtigte Anfragen so auslasten, dass sie dem normalen Geschäftsbetrieb nicht mehr zur Verfügung steht (denial-of-service).

Empfehlung

Durch angemessene Funktionstrennung ist sicherzustellen, dass nur Personen, die eine betriebs-bedingte Notwendigkeit nachweisen können, lokalen (und damit administrativen) Zugang zur Speicherlösung erhalten. Mehrere Administrationsnutzer sind durch Individualaccounts eindeu-tig identifizierbar einzurichten.

Es ist Aufgabe des Betreibers der Speicherlösung, bei Bedarf entsprechende Schutzmaßnahmen gegen unberechtigtes Lesen oder Verändern der Daten zu installieren. Dazu können Funktionen gehören, die bereits in der Data ONTAP-Software implementiert sind (z. B. Kerberos, als eine sichere Zugangskontrollfunktion) oder private Netze, Firewalls oder verschlüsselte Datenüber-tragungen (z. B. IPSec, Kryptoboxen).

Im Rahmen der Installation ist dafür Sorge zu tragen, dass entsprechende Mechanismen zum Schutz vor brute-force und denial-of-service Angriffe implementiert werden (z. B. Firewall, Virtual Private Network, etc.).

Wie generell für solche Systeme gefordert, ist durch infrastrukturelle Maßnahmen sicherzustel-len, dass nur berechtigte Personen einen kontrollierten Zugang zur Speicherlösung haben (closed-shop).

ABCD NetAppBericht


April 2009

26 6643-1262257

3.3.3 Datensicherungs- und Wiederanlaufverfahren

Anforderung

Laut GoBS und Schweizer Geschäftsbücherverordnung hat der Aufbewahrungspflichtige Maß-nahmen zur Sicherung der Informationen vor Verlust und schädlichen Einwirkungen zu treffen. Dazu ist die Durchführung von Datensicherungsprozeduren erforderlich, die alle wesentlichen Datenbestände berücksichtigen. Implementierte Wiederanlaufverfahren sollen sicherstellen, dass das Datenarchiv im Katastrophenfall zeitnah wiederhergestellt werden kann.

Ergebnis

Die Software bietet durch die implementierten Sicherungsmaßnahmen angemessenen Schutz vor Verlust von Daten.

Das Risiko einzelner Datenverluste durch Medienfehler, die während der Aufbewahrung auf-treten können, wird bei der geprüften Software durch den Einsatz von CRC-Prüfsummen und RAID-Gruppen verringert.

Mehrere Festplatten werden auf Dateisystemebene zu RAID-Gruppen zusammengefasst. Bei der Software Data ONTAP kommt standardmäßig RAID-Level 4 in einer modifizierten Version (RAID 4 Double Parity – RAID-DP) zum Einsatz. Dabei werden --im Gegensatz zum klassi-schen RAID 4 und vorausgesetzt, dass mindestens drei Festplatten verfügbar sind-- zwei Paritätsplatten genutzt. Damit ist es möglich, auch beim gleichzeitigen Ausfall von zwei Platten die Datenintegrität und -verfügbarkeit sicherzustellen. Sind weniger Platten verfügbar oder wird RAID-DP explizit ausgeschlossen, wird weiterhin RAID-Level 4 verwendet.

Die Software erlaubt die Zusammenfassung von bis zu 28 Festplatten zu einer RAID-Gruppe, die in diesem Fall 27 Datenplatten und eine bzw. zwei Paritätsplatten enthält. Neben dem enor-men Performancegewinn einer Konstellation mit steigender Anzahl von Platten steigt jedoch auch das Risiko, dass von den betrachteten Festplatten mehrere Platten gleichzeitig ausfallen. Für diesen Fall kann das genutzte RAID-Level die Datenintegrität und -verfügbarkeit prinzipiell nicht mehr gewährleisten. Es ist daher im kundenspezifischen Umfeld zu prüfen, ob das beste-hende Datensicherungskonzept das Risiko derart großer RAID-Gruppen abfängt.

Bei dem Austausch von Festplatten in einem Disk Shelf auf Grund von Ausfällen muss organi-satorisch sichergestellt werden, dass je RAID-Gruppe nur die entsprechende Anzahl von Festplatten entfernt wird, die vom jeweils verwendeten RAID-Level (RAID 4 oder RAID-DP) unterstützt werden. Außerdem ist sicherzustellen, dass genügend Spare-Platten im System an-gemeldet sind, so dass die Replikation der Daten der auszutauschenden Platten erfolgen kann.

Um die Ausfallsicherheit weiter zu erhöhen, besitzt die Software Data ONTAP eingebaute Mechanismen der Replikation, mit der Daten einer Speicherlösung bei Bedarf in einer (entfern-

ABCD NetAppBericht


April 2009

6643-1262257 27

ten) Speicherlösung (an einem anderen Standort) abgelegt werden können. Die Geschwindigkeit der Replikation ist dabei von der verwendeten Bandbreite der Anbindung zwischen den geogra-phisch verteilten Standorten abhängig. Diese ebenfalls lizenzierungspflichtigen Features (SyncMirror, etc.) waren jedoch nicht Teil dieser Prüfung.

Mit Erscheinen der geprüften Version 7.3.1 erlaubt die Lösung auch den Einsatz der Funktiona-lität der Deduplizierung in Zusammenhang mit flexiblen SnapLock-Volumes. Bei Aktivierung dieser Funktionalität werden gleiche Blöcke (4096 Bytes) von Dateien eines Volumes physisch nur noch einmal abgelegt und entsprechend der Anzahl der Verwendungen logisch referenziert. Ein Block wird somit erst dann gelöscht, wenn sein letzter Verweis --und damit die letzte Datei, die diesen Block verwendet-- gelöscht wird. Bei unserer stichprobenhaften Prüfung ergaben sich dabei keine Beeinträchtigungen der SnapLock-Funktionalität.

3.3.4 Programmentwicklung, -wartung und -freigabe

Anforderung

Die bei der Programmentwicklung verwendeten Methoden sollten schriftlich dokumentiert sein. Um die erstellten Programme und Programmbestandteile dauerhaft warten und wieder verwen-den zu können, sollten Regelungen für den Programmaufbau, Namenskonventionen und Doku-mentationsanforderungen in einer Programmierrichtlinie zusammengefasst sein. Die Nutzung einer geeigneten Entwicklungsumgebung für ein Projekt dieser Größenordnung ist nachzuwei-sen.

Um durch Fehlerkorrekturen und Funktionserweiterungen die Qualität des existierenden Programmcodes nicht zu gefährden, sollte zur Umsetzung ein schriftlich fixiertes Verfahren existieren. Dessen Umsetzung muss durch eine geeignete Protokollierung nachvollziehbar sein. Ein derartiges Verfahren sollte mindestens folgende Schritte beinhalten:

• schriftliche Anforderung für Fehlerbeseitigung bzw. Funktionserweiterung mit Stellungnah-me der Projektleitung

• Test der fehlerkorrigierten Programmfunktion bzw. der Funktionserweiterung --dieser Test darf nicht von den Entwicklern durchgeführt werden-- und Freigabe

• Integrationstests und Freigabe

• Gesamtfreigabe der fehlerkorrigierten bzw. neuen Version durch die Projektleitung

ABCD NetAppBericht


April 2009

28 6643-1262257

Ergebnis

Für den Produktentwicklungsprozess hat NetApp eine ISO-9001:2000 Zertifizierung vorgelegt. Der Produktentwicklungsprozess bei NetApp gliedert sich in eine Vorphase und fünf Haupt-phasen. Am Ende jeder Phase müssen die folgenden Positionen per Unterschrift die Fortführung des Projekts bestätigen:

• Engineering Representative

• Marketing Representative

• Customer Satisfaction Representative (nicht Vorphase)

• Manufacturing Representative (nicht Vorphase, nicht Phase 1)

In der Vorphase --Product Initiation-- wird entschieden, ob ein neues Produkt aufgesetzt wird. Dabei wird der Einfluss des möglichen neuen Produkts auf das Geschäft und bereits vorhandene Produkte untersucht und festgestellt, ob das Produkt sinnvoll ist. Es gibt erste Abschätzungen zu Entwicklungskosten und -zeit und die Anforderungen des Kunden werden aufgenommen.

In der ersten Phase --Requirements-- werden die Anforderungen des Marketings bestimmt und dokumentiert und dienen als Design-Input für das Engineering. Output dieser Phase ist das Product Requirements Document (PRD), welches die Anforderungen an ein neues Produkt genau spezifiziert (z. B. functionality, capacity, cost, metrics, standards, and agency approval required).

Die zweite Phase --Technical Assessment-- dient der technischen Machbarkeitsanalyse und der Aufstellung einer Ressourcenschätzung und eines Zeitplans.

Organisationspläne für die Entwicklung des neuen Produkts und dessen Einführung werden in der dritten Phase --New Product Planning-- erstellt. Die Ressourcen- und Zeitanforderungen werden jetzt auf die einzelnen Organisationseinheiten heruntergebrochen und die Abhängigkei-ten und Ressourcenbindungen werden definiert.

In der vierten Phase --Development and Verification-- erfolgt die Entwicklung der einzelnen Komponenten eines Produkts und eines Prototypen des Produkts. Zum Abschluss der Phase müssen alle Funktionen des Produkts gestestet werden, ob diese konsistent mit den Anforderun-gen aus der Design Specification sind.

In der fünften Phase --Beta & Introduction-- wird validiert, ob das Produkt die Anforderungen der Kunden erfüllt. Zum Abschluss dieser Phase müssen alle beteiligten Organisationseinheiten erklären, dass sie zur Markteinführung des Produkts (shipping) bereits sind.

ABCD NetAppBericht


April 2009

6643-1262257 29

Zur zentralen Verwaltung und Freigabe des Programmcodes wird die Software Perforce der gleichnamigen Firma eingesetzt. Einzelne Versionsstände sind auskunftsgemäß jederzeit nach-vollziehbar, ebenso wie die zugehörige Dokumentation.

Zur Verwaltung der durchgeführten Tests an dem Produkt wird eine eigen entwickelte Daten-bank eingesetzt, in der die Testfälle, ihre Beschreibungen, ihr Bearbeiter und ihr Status vorgehalten werden. Von den Mitarbeitern der Qualitätssicherung werden stichprobenartig Test-fälle nachvollzogen.

Durch den gesteuerten Entwicklungsprozess ist NetApp in der Lage, qualitativ hochwertige Produkte zu entwickeln. Anhand der vorgelegten Dokumente und durch Gespräche mit Projektmitarbeitern haben wir uns davon überzeugt, dass die Entwicklung des Produkts dem vorgeschriebenen Prozess folgte.

3.4 Dokumentation

Anforderung

Nach den GoBS müssen aus der Verfahrensdokumentation Inhalt, Aufbau und Ablauf des Verfahrens vollständig ersichtlich sein. Die Verfahrensdokumentation umfasst daher die Systemdokumentation, die Betriebsdokumentation und die Anwenderdokumentation.

Die Verfahrensdokumentation hat insbesondere folgende Teile zu beinhalten:

• die Beschreibung der sachlogischen Lösung,

• die Beschreibung der programmtechnischen Lösung,

• eine Beschreibung, wie die Programm-Identität gewahrt wird,

• eine Beschreibung, wie die Integrität von Daten gewahrt wird und

• Arbeitsanweisungen für den Anwender.

Sie hat das eingesetzte Verfahren richtig zu beschreiben und muss für einen sachverständigen Dritten verständlich sein. Die Verfahrensdokumentation ist regelmäßig zu aktualisieren und unterliegt den gleichen Aufbewahrungspflichten, wie die durch das beschriebene Verfahren erfassten, entstandenen oder bearbeiteten buchhaltungspflichtigen Unterlagen.

Vergleichbare Anforderungen sind nach Schweizer und österreichischem Recht definiert.

ABCD NetAppBericht


April 2009

30 6643-1262257

Ergebnis

Für unsere Prüfung haben wir folgende durch NetApp erstellte oder bereitgestellte Dokumenta-tionen der Data ONTAP™ Versionen 7.3 bzw. 7.3.1 herangezogen:

• “Data ONTAP™ 7.3 Archive and Compliance Management Guide” vom 12. Dezember 2008

• „Data ONTAP™ 7.3 System Administration Guide” vom Juni 2008

• „Data ONTAP™ 7.3 Software Setup Guide” vom 12. Dezember 2008

• „Data ONTAP™ 7.3 Storage Management Guide” vom Juni 2008

• „Data ONTAP™ 7.3 File Access and Protocols Management Guide” vom 12. Dezember 2008

• „Data ONTAP™ 7.3 Network Management Guide” vom 12. Dezember 2008

• „Data ONTAP™ 7.3 Block Access Management Guide” vom 12. Dezember 2008

• „Data ONTAP™ 7.3 Data Protection Online Backup and Recovery Guide” vom 12. Dezember 2008

• „Data ONTAP™ 7.3 Upgrade Guide” vom 12. Dezember 2008

• „Data ONTAP™ 7.3 Core Commands – Quick Reference” vom Juni 2008

• „Data ONTAP™ 7.3 Commands: Manual Page Reference” Volumes 1 und 2 vom Juni 2008

• „Data ONTAP™ 7.3.1 Release Notes“ vom 23. Januar 2009

• „Data ONTAP™ Application Programming Interface“ (API) – Beschreibung unterstützter Funktionen

• verschiedene „Technical Reports“ (TR) von der Homepage der Gesellschaft (www.netapp.com, now.netapp.com)

Die vorgelegte oder abrufbare Dokumentation ist für einen sachverständigen Dritten verständ-lich und versetzt diesen in die Lage, sich ein Bild vom Inhalt und Aufbau des eingesetzten Verfahrens zu machen. Sie ist in den von uns geprüften Teilen richtig und umfasst in ihrer Gesamtheit die geforderte Betriebs- und Anwenderdokumentation.

ABCD NetAppBericht


April 2009

6643-1262257 31

Die sachlogische Lösung ist im Dokument „Data ONTAP™ Storage Management Guide“ so-wie im „Data ONTAP™ Archive and Compliance Management Guide“ anforderungsgemäß beschrieben.

Die Beschreibung der programmtechnischen Lösung wird in verschiedenen Technical Reports dargestellt, die über freie oder nur für Kunden zugängliche Webseiten des Unternehmens er-reicht werden können. Die stichprobenartig geprüfte Dokumentation erfüllte die Anforderungen an Vollständigkeit, Richtigkeit und Nachvollziehbarkeit.

Die Maßnahmen zur Wahrung der Datenintegrität sind in dem Dokument „Data ONTAP™ Data Protection Online Backup and Recovery Guide” beschrieben.

Die zum ordnungsgemäßen Einsatz eines Archivsystems notwendigen Arbeitsanweisungen sind im „Data ONTAP™ System Administration Guide“ enthalten.

Die Erstellung, Aktualisierung und Aufbewahrung der Verfahrensdokumentation erfolgt regel-mäßig im Rahmen einer Kundeninstallation. Der von NetApp erzeugte Teil der Verfahrens-dokumentation liegt zum einen der ausgelieferten Hardware bei und kann zum anderen (insbesondere bei Aktualisierungen) kostenlos von der Webseite des Herstellers geladen wer-den.

Empfehlung

Im Rahmen einer Kundeninstallation sind die regelmäßige Aktualisierung sowie die Aufbewah-rung der Verfahrensdokumentation entsprechend der Anforderungen sicherzustellen.

Anlage

Diese Seite bleibt aus drucktechnischen Gründen leer.

A

Documents

NetApp Deutschland GmbH, Grasbrunn - kpmg.de · PDF fileNetApp Deutschland GmbH, Grasbrunn Bericht über die Prüfung der Data ONTAP-basierten Speicherlösungen der FAS- und NearStore-Produktlinien