Cloud, Sicherheit und die EU GDPR

Auswirkungen der neuen Datenschutz-Grundverordnung

Seite: 2/2

Firmen zum Thema

Cloud-Sicherheit und ihre Vorteile für Unternehmen

Die Cloud selbst ist ein wesentlicher Teil dieses Trends: Sie ist sowohl eine der Ursachen für die neuen Vorschriften als auch ein Mittel, das Unternehmen helfen kann, auf sie zu reagieren. Möglicherweise wird die EU-Datenschutz-Grundverordnung Bestrebungen beschleunigen, Cloud-Dienste zum Schutz von Firmendaten zu nutzen, sodass Unternehmen ihren Investitionsaufwand verringern und stattdessen ins operative Budget investieren können. Seit jeher wird die Cloud als ein Modell betrachtet, das den Bedürfnissen kleinerer Unternehmen entspricht: Es verlagert die Verantwortung für den Schutz von Infrastrukturen und Anwendungen auf den gewählten Dienstleister und verringert den Kapitalaufwand und die damit einhergehenden Auswirkungen auf den Cashflow.

Größere Cloud-Dienstleister haben den Vorteil, besser organisiert und strukturiert als viele kleinere Anbieter zu sein. Cloud-Provider verfügen meist über sehr große Rechenzentren und sind dabei sehr sicherheitsorientiert, weswegen sie die gesetzlichen Vorschriften leichter erfüllen können. Ihr gesamtes Geschäftsmodell ist abhängig davon, dass sie die Compliance-Anforderungen einhalten, die an die einzelnen Kunden und an sie selbst als Akteure in der Branche gestellt werden. Cloud-Dienstleister sollten ihre Infrastruktur von Grund auf sicher angelegt haben, um Sicherheit für alle Kundeninstanzen gewährleisten zu können.

Kleinen wie auch mittelständischen Unternehmen sollte es deshalb leicht fallen, sich für die Cloud zu entscheiden. Sie können alle Unternehmensanwendungen dorthin verlagern und die Passwörter mit einer Single-Sign-on-Lösung auf benutzerfreundliche Weise verwalten. Den Fokus auf den Schutz der internen Netzwerke und des Perimeters müssen sie nicht weiter verstärken – ihre bereits vorhandenen Sicherheitsvorkehrungen reichen dafür aus. Stattdessen müssen KMUs nur dafür sorgen, dass die Laptops und sonstigen Endgeräte sicher sind, weil hier die Daten sowohl erzeugt als auch eingesehen werden.

Für größere Unternehmen kann der Weg in die Cloud komplexer sein. Letztlich bringt ihnen dieser Umstieg jedoch wesentlich mehr Nutzen als ein Festhalten am alten Sicherheitsansatz. Am besten beginnt man damit, die Rechenzentren zu konsolidieren und so viel wie möglich zu virtualisieren. Diese Aufgabe kann nicht Dritten übertragen werden, sondern muss vom Unternehmen selbst erledigt werden, da die Kenntnis der eigenen IT-Infrastruktur und geschäftlichen Anforderungen mit Blick auf die Compliance außerordentlich wertvoll ist. Diejenigen, die schon Rollouts von Virtualisierungstechnologien durchlaufen haben, können noch weiter gehen und sich ansehen, wie sich die Verwaltung ihrer IT-Assets noch stärker rationalisieren und automatisieren lässt.

Größere Unternehmen können sich die Vorteile der Cloud zunutze machen, indem sie Asset Management Tools einsetzen, die auch den cloudbasierten Ansatz unterstützen. Da Cloud-Assets immer wieder verändert und aktualisiert werden können, sollten auch die Bestandsdaten kontinuierlich aktualisiert werden, damit das Unternehmen seine Cloud-Infrastruktur unter Kontrolle behält und Compliance gewährleisten kann. Denn wie kann ein IT-Asset geschützt werden, wenn gar nicht bekannt ist, dass es überhaupt existiert?

Die Beweislast – exzessive Compliance-Kosten verhindern

Gleichzeitig ist es wichtig, dass sich Unternehmen bei ihrem Bemühen um Compliance nicht zu sehr in den Einzelheiten der Vorschriften verlieren. Die „Beweislastregel“ besagt, dass Unternehmen den Nachweis erbringen müssen, angemessene Sicherheitsmaßnahmen getroffen zu haben. Das kann eine Bürde sein, aber immerhin dazu führen, dass Unternehmen das Richtige tun; es kann aber auch zu einem bloßen „Abarbeiten“ von Vorschriften verkommen, bei dem man den Fokus nur auf die Einhaltung der Regeln richtet, anstatt über die besten Optionen für das Unternehmen insgesamt nachzudenken. Wenn die Sicherheitsmaßnahmen nicht genau durchdacht werden, kann das Ergebnis eine Implementierung sein, die zwar dem Geist des Gesetzes entspricht, aber den wirklichen Zielen nicht gerecht wird. Deshalb ist es wichtig, die richtige Balance zu finden und Zeit sinnvoll zu investieren.

Trotz der verschiedenen Herausforderungen, die Unternehmen in den kommenden zwei Jahren werden bewältigen müssen, wird die GDPR auf den Markt insgesamt eine positive Wirkung ausüben. In einer Zeit, in der IT-Infrastrukturen immer komplexer werden und somit auch die Wahrscheinlichkeit von Sicherheitsverletzungen steigt, wird die GDPR Unternehmen zwingen, überholte Sicherheitsrichtlinien und -kontrollen zu überdenken.

Philippe Courtot, Chairman und CEO bei Qualys.
Philippe Courtot, Chairman und CEO bei Qualys.
(Bild: Qualys)

Sowohl den Regulierungsbehörden als auch den betroffenen Unternehmen ist klar, dass zwei Jahre für Großkonzerne eine sehr kurze Frist sind. Schließlich müssen dort Netzwerkarchitekturen verändert werden – und das dauert. In großen Unternehmen mit mehreren Tochterfirmen und fest etablierten IT-Systemen sind zwei Jahre nicht viel Zeit, um die notwendigen Veränderungen zu planen, zu testen und durchzuführen.

Daher sollte darauf hingewiesen werden, dass diese Aktualisierung der EU-Datenschutzrichtlinie den Schwerpunkt auf den Schutz der Kundendaten legt. Unternehmen aller Größen obliegt es jetzt, die Sicherheit auf neue Weise zu betrachten. Der erste Schritt zur Vorbereitung auf dieses gewaltige Projekt besteht darin, dafür zu sorgen, dass alle IT-Assets im gesamten Unternehmen sichtbar sind. Erst, wann das erreicht worden ist, kann begonnen werden, das Gesehene zu schützen.

* Philippe Courtot, Chairman und CEO bei Qualys

(ID:43868751)