Immutable Storage - Definition
Immutable Storage (unveränderliche Datenspeicherung) ist ein Speichermodell, bei dem gespeicherte Objekte für einen definierten Zeitraum oder bis auf Widerruf weder geändert noch gelöscht werden können. In der Praxis wird dies durch eine WORM-Richtlinie (Write Once Read Many), zeitbasierte Aufbewahrungssperren (Retention) sowie einen Legal Hold umgesetzt. Ziel ist Manipulationssicherheit, regulatorische Compliance und die beweisbare Integrität von Daten. Im Kontext der Bild- und Videoanonymisierung bedeutet dies die garantierte Aufbewahrung unveränderter Originaldateien, nicht editierbarer Prozessprotokolle sowie eine kontrollierte Versionierung von Ergebnissen mit Gesichtserkennung und Kennzeichen-Unkenntlichmachung.
In objektbasierten Speicherlösungen wird die Unveränderlichkeit unter anderem durch Object Lock-Mechanismen gewährleistet, in Dateisystemen durch WORM-Richtlinien und kryptografische Integritätsprüfungen. Die Integrität wird durch Prüfsummen und Retention-Metadaten bestätigt. Die Lösung muss mit den Anforderungen der DSGVO hinsichtlich Datenminimierung, Zweckbindung, Speicherbegrenzung und Sicherheit der Verarbeitung vereinbar sein.
Die Rolle von Immutable Storage bei der Anonymisierung von Fotos und Videos
Unveränderliche Speicherung erhöht die Glaubwürdigkeit der Beweiskette (Chain of Custody) und erleichtert Compliance-Audits. Für Prozesse zur Unkenntlichmachung von Gesichtern und Kfz-Kennzeichen ermöglicht sie den Nachweis, dass:
- das Originalvideo oder -foto vor der Anonymisierung nicht verändert wurde,
- das Anonymisierungsergebnis einer konkreten Version des Algorithmus und einer definierten Konfiguration zugeordnet ist,
- Begleitdaten und Protokolle nachträglich nicht manipuliert wurden.
Datenschutzbeauftragte (DSB) und Sicherheitsteams nutzen in der Praxis unveränderliche Repositories zur Aufbewahrung von Originaldateien, Verarbeitungsrichtlinien, Prüfsummen und Prozessberichten. In Gallio PRO betrifft dies sowohl die Eingabedateien als auch die Prozessmetadaten. Die Software speichert keine Protokolle mit Koordinaten oder Erkennungsergebnissen von Gesichtern oder Kennzeichen und erfasst keine weiteren personenbezogenen oder sensiblen Daten.
Technologien für Immutable Storage
Immutable Storage kann sowohl in der Cloud als auch On-Premises implementiert werden. Die folgenden Lösungen unterstützen WORM-Retention, Sperrmechanismen und Integritätsprüfungen. Die Auswahl hängt von rechtlichen Anforderungen, Budget und Integration in die Video-Pipeline ab.
Technologie | Zentrale Eigenschaft | Bereich | Quelle
|
|---|---|---|---|
AWS S3 Object Lock | Governance- und Compliance-Modi, Retention und Legal Hold | Objektspeicher, S3-API | |
Azure Blob Immutable Storage | Zeitbasierte Retention, Legal Hold | Objektspeicher, Blob | |
MinIO Object Lock | S3 Object Lock API-kompatibel | On-Premises, Objektspeicher | |
NetApp SnapLock | WORM auf Volume- und Dateiebene | NAS, On-Premises | |
Dell EMC Retention Lock | Erzwingung von Retention und Sperren | Datensicherungssysteme (produktabhängig) | |
Linux fs-verity | Verifizierbare Dateiintegrität (Manipulationserkennung) | Dateisystem |
Wichtige Parameter und Kennzahlen für Immutable Storage
Bestimmte Parameter entscheiden über Wirksamkeit und Compliance einer Immutable-Storage-Lösung. Nachfolgend eine Übersicht zentraler Attribute, Prüfmethoden und Referenzquellen.
Parameter | Bedeutung | Prüfung | Quelle
|
|---|---|---|---|
Retention-Modus | Governance vs. Compliance, Möglichkeit der Umgehung | Prüfung der Objektmetadaten und Berechtigungen | |
Retention-Zeitraum | Dauer der Nichtlöschbarkeit eines Objekts | Retention-Metadaten (z. B. RetainUntilDate) / Service-API | |
Legal Hold | Sperre ohne festgelegtes Enddatum | Hold-Kennzeichnung in Metadaten | |
Geltungsbereich | Objekt, Container/Bucket, Volume | Konfiguration der Richtlinien | |
Kryptografische Integrität | Dateihash als Nachweis der Unveränderlichkeit | SHA-256 gemäß FIPS 180-4 | |
Versionierung | Änderungshistorie, Schutz vor Überschreiben | Versioning-Status aktiviert | |
Datenhaltbarkeit | Wahrscheinlichkeit eines Datenverlusts | Service-Level-Angaben | |
RPO/RTO unveränderlicher Backups | Wiederherstellungsziel und tolerierbarer Datenverlust | Snapshot-Zeitpläne und Restore-Tests |
Herausforderungen und Compliance-Grenzen
Immutable Storage muss DSGVO-konform konzipiert werden. Zentrale Risiken ergeben sich aus möglichen Konflikten zwischen verpflichtender Aufbewahrung und dem Recht auf Löschung sowie dem Prinzip der Datenminimierung.
- Grundsatz der Speicherbegrenzung - die Retention-Dauer muss auf einer Rechtsgrundlage und einem dokumentierten Löschkonzept beruhen (Art. 5 Abs. 1 lit. e DSGVO).
- Recht auf Löschung - ein Modus, der eine Löschung unmöglich macht, ist zu vermeiden, wenn keine Rechtsgrundlage für eine weitere Aufbewahrung besteht (Art. 17 DSGVO).
- Sicherheit der Verarbeitung - Zugriffskontrollen, Verschlüsselung und Monitoring müssen die Unveränderlichkeit ergänzen (Art. 32 DSGVO).
- Operatives Fehlkonfigurationsrisiko - der Compliance-Modus ist bis zum Ende der Retention unwiderruflich.
- Kosten- und Performance-Aspekte - Versionierung und unveränderliche Backups erhöhen den Speicherbedarf.
Anwendungsbeispiele in Gallio PRO
Das folgende Schema zeigt die praktische Nutzung von Immutable Storage bei der Foto- und Videoanonymisierung mit Gallio PRO. Es betrifft die Batch-Verarbeitung, da die Software keine Echtzeit-Anonymisierung oder Stream-Anonymisierung unterstützt.
- Ingest der Originaldateien in ein Repository mit aktivierter WORM-Retention und Versionierung.
- Start des Gallio PRO-Prozesses, der automatisch ausschließlich Gesichter und Kfz-Kennzeichen unkenntlich macht. Weitere Elemente können im Editor manuell anonymisiert werden.
- Speicherung der Ergebnisse in einem separaten Bucket mit kontrollierter Versionierung und SHA-256-Prüfsummen.
- Speicherung von Prozessmetadaten und Berichten in einem unveränderlichen Repository - ohne Erkennungsprotokolle mit personenbezogenen Daten.
- Durchsetzung von Retention-Richtlinien: kürzere Aufbewahrung für anonymisierte Materialien, längere für Originale, sofern eine Rechtsgrundlage besteht.
- Regelmäßige Wiederherstellungstests und Auditierung der Retention-Metadaten für den Datenschutzbeauftragten.
Normative Verweise und Quellen
- DSGVO: Art. 5, 17, 32 - EUR-Lex, 2016/679, Link.
- ISO/IEC 27040:2015 Information technology - Security techniques - Storage security, ISO, Link.
- NIST SP 800-209 Security Guidelines for Storage Infrastructure, 2020, Link.
- NIST FIPS 180-4 Secure Hash Standard, 2015, Link.
- AWS S3 Object Lock - Dokumentation, Link.
- Amazon S3 FAQ - Haltbarkeit 99,999999999 %, Link.
- Azure Blob Storage - Immutable Storage, Microsoft Docs, Link.
- Linux fs-verity - Kernel-Dokumentation, Link.
- NetApp SnapLock - Technical Report, Link.