Gute Planung ist die halbe Miete

10 Tipps für Datenschutz und Datensicherheit in der Cloud

| Autor / Redakteur: Florian van Keulen * / Florian Karlstetter

Datensicherheit und Datenschutz gehen beim Umstieg in die Cloud über rein technische Maßnahmen weit hinaus. Die zehn wichtigsten Punkte im Überblick.
Datensicherheit und Datenschutz gehen beim Umstieg in die Cloud über rein technische Maßnahmen weit hinaus. Die zehn wichtigsten Punkte im Überblick. (Bild: © Kirsty Pargeter - Fotolia.com)

Mehr als die Hälfte der Unternehmen in Deutschland setzt mittlerweile auf Speicherkapazitäten, Rechenleistung oder Software aus der Cloud. Vor allem der Mittelstand hat nachgezogen. Nichtsdestotrotz bleiben Sicherheitsbedenken weiterhin aktuell.

Fragen zur Sicherheit sind noch immer das größte Hemmnis, wenn es um den Einsatz von Cloud-Technologien geht. Zu diesen Ergebnissen kommt der Cloud Monitor 2016, eine Studie von Bitkom Research im Auftrag von KPMG.

Datensicherheit und Datenschutz gehen beim Umstieg in die Cloud über rein technische Maßnahmen, wie Backup und Sicherstellung der Verfügbarkeit, weit hinaus.

Vor allem eine gute Planung sowie eine sorgfältige Bewertung der verschiedenen Service-Provider im Vorfeld bereiten eine gute Ausgangslage für die sichere Migration in die Cloud. Florian van Keulen, Principal Consultant Cloud & Security beim IT-Dienstleister Trivadis hat die zehn wichtigsten Tipps für Datenschutz und Datensicherheit in der Cloud zusammengestellt:

1. Vorüberlegungen anstellen

Es gibt unterschiedliche Beweggründe, in die Cloud zu gehen. Um das sicher bewerkstelligen zu können, sind grundlegende Vorüberlegungen essentiell. Ein Unternehmen sollte sich also bereits im Vorfeld darüber im Klaren sein, was es in der Cloud betreiben möchte. Meistens geht es um zwei mögliche Szenarien, für die sich wiederum unterschiedliche Folgeüberlegungen anschließen. Handelt es sich um eine Modernisierung oder Auslagerung bestehender Systeme, muss man sich diese genau anschauen, denn ein 1:1-Umzug der IT in die Cloud ist meistens wenig sinnvoll: Sind die Systeme und Anwendungen Cloud-fähig? Bestehen Abhängigkeiten zu anderen Anwendungen oder Systemen? Welche Applikationen müssen neu entwickelt werden? Im zweiten Szenario soll ein neuer Service, Geschäftsprozess oder eine neue Funktionalität für das Unternehmen in der Cloud eingeführt werden. Um das sicher aufsetzen zu können, ist es wichtig, den Business Case dahinter zu kennen und die Sicherheitsgrundsatzfragen Schritt für Schritt zu durchleuchten.

2. Compliance und gesetzliche Anforderungen beachten

Gerade wenn die IT-Systeme in der Cloud betrieben werden, ist es enorm wichtig zu wissen, welche Richtlinien einzuhalten sind. Unter Compliance versteht man die Einhaltung von unternehmensinternen, gesetzlichen und vertraglichen Regelungen sowie Industrie- und Branchenauflagen. Unternehmensrichtlinien könnten zum Beispiel untersagen, dass bestimmte Daten im Ausland vorgehalten und verarbeitet werden. Gesetzliche Anforderungen betreffen vor allem den Datenschutz. Hier gilt es zu bedenken, dass 2018 eine neue EU-Datenschutzgrundverordnung in Kraft tritt. Bei neuen Projekten sollten diese Regelungen bereits jetzt mit einbezogen werden. Auch bestehende Verträge müssen natürlich berücksichtigt werden. UnterUmständen dürfen Daten eines Kunden das Unternehmen oder die EU nicht verlassen. Außerdem gibt es auch Branchenauflagen, wie im Finanzbereich PCI DSS oder im Gesundheitswesen HIPAA.

3. Daten kategorisieren

Die Datenkategorisierung ist ein essentielles Werkzeug, wenn es um Datenschutz und Datensicherheit geht. Dazu muss man wissen, welche Daten in der Cloud verarbeitet werden sollen und ob diese gewissen Compliance-Anforderungen unterliegen. Für sensible Personendaten gelten beispielsweise strenge Datenschutzregelungen, sie müssen dementsprechend besonders geschützt werden. Anhand der durchgängigen Kategorisierung können dann pro Datentyp entschieden werden, ob und wie diese in der Cloud verarbeitet werden oder geschützt werden müssen, und Folgemaßnahmen, wie Datenverschlüsselung oder lokale Speicherung On-Premise, definiert werden.

Der Autor: Florian van Keulen, Trivadis Sicherheitsbeauftragter mit über 15 Jahren IT-Erfahrung.
Der Autor: Florian van Keulen, Trivadis Sicherheitsbeauftragter mit über 15 Jahren IT-Erfahrung. (Bild: Trivadis)

4. Provider mit Bedacht auswählen

Beim Cloud Computing vertraut man sich und seine Daten dem Provider an. Bevor sich ein Unternehmen also für einen Cloud Provider und diesen Vertrauenszuspruch entscheidet, sollte es verschiedene elementare Fragen und Anforderungen abklopfen: Bietet der Provider die erforderlichen Funktionen für die Sicherheit? Wie werden die Daten gesichert? Welchen Policies und Regelungen hat sich der Provider verpflichtet? Wo hat er seine Datencenter? Bezieht er Subunternehmer oder andere Provider mit ein? Welche Garantien, SLA-Leistungen und Schadensersatzansprüche bietet er? Wie stark ist der Provider am Markt? Besteht vielleicht die Gefahr, dass es das Unternehmen irgendwann nicht mehr gibt? Können Daten und Informationen jederzeit wieder extrahiert und gegebenenfalls der Provider gewechselt werden?

Know-how-Transfer unter dem Motto Digitale Business-Transformation und Cloud

Advertorial

Know-how-Transfer unter dem Motto Digitale Business-Transformation und Cloud

28.06.16 - Bereits zum 42. Mal findet am 9. und 10. September in Regensdorf bei Zürich der Trivadis TechEvent statt. Was vor 15 Jahren als reine Mitarbeiter-Veranstaltung begann, hat sich inzwischen zu einem der größten IT-Events im deutschsprachigen Raum entwickelt. Erwartet werden wieder über 500 IT-Experten. lesen

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44189699 / Recht und Datenschutz)