Verschlüsselung und Policy Management

Cloud-Sicherheit – Wohin die Reise gehen muss

| Autor / Redakteur: Daniel Reppmann* / Elke Witmer-Goßner

Neue Datenschutzvorgaben legen die Latte für Cloud-Dienstleister und -Anwender noch einmal höher.
Neue Datenschutzvorgaben legen die Latte für Cloud-Dienstleister und -Anwender noch einmal höher. (Bild: © alswart – Fotolia.com)

„Erstmals nutzt die Mehrheit der deutschen Unternehmen Cloud Computing“, berichtet die Schlagzeile einer aktuellen Bitkom-Meldung. So hat eine Umfrage von Bitkom Research im Auftrag der KPMG AG gezeigt, dass mittlerweile 54 Prozent der Unternehmen hierzulande diese hochskalierbaren Speicher- und Rechenlösungen einsetzen.

Vor allem kleine und mittelständische Unternehmen haben zugelegt: Bei Firmen mit 20 bis 99 Mitarbeitern lag der Anstieg bei elf Prozent, in Unternehmen mit 100 bis 1.999 Mitarbeitern bei sieben Prozent. Ist damit der Durchbruch geschafft und der Weg frei für mehr Effizienz, Verfügbarkeit und zukunftsweisende Geschäftsmodelle? Nicht ganz, denn noch immer halten sich Sicherheitsbedenken: 58 Prozent der von Bitkom Research befragten Unternehmen haben Angst, dass unberechtigte Dritte auf ihre sensiblen Daten zugreifen, und 45 Prozent fürchten Datenverlust.

DSVGO macht’s komplizierter

Die Skepsis bleibt also, und die Komplexität bei den rechtlichen Rahmenbedingungen steigt. Denn zum sehr umfangreichen Bundesdatenschutzgesetz kam im April 2016 beispielsweise noch die neue Datenschutz-Grundverordnung der EU (DSVGO) hinzu, die bis 2018 in den Mitgliederländern umzusetzen ist. Was dies im Einzelnen bedeutet, dürfte vielen Unternehmen – gerade kleinen Firmen und Mittelständlern – noch nicht klar sein.

Unter anderem sind die Unternehmen künftig in der Pflicht, Datenvorfälle innerhalb von 72 Stunden bei den vom DSVGO definierten Aufsichtsbehörden und – unter bestimmten Umständen – auch bei den Betroffenen zu melden. Ebenso müssen sie kurzfristig nachweisen können, dass sie Maßnahmen für Sicherheit und Datenschutz eingeleitet haben. Dies ist besonders anspruchsvoll, wenn Unternehmen mit externen Cloud-Anbietern zusammenarbeiten. Denn sie tragen nun auch eine Mitverantwortung für die Maßnahmen, die ihre Partner und Lieferanten für den Datenschutz ergreifen. Werden die Vorgaben nicht eingehalten, drohen Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes von Unternehmen. Eine der derzeit wenigen wasserdichten Möglichkeiten, um auf der sicheren Seite zu sein, ist die Verschlüsselung von Daten: Kommt es zu einem Datenleck und die Daten sind verschlüsselt, kann ein Datenverlust nahezu ausgeschlossen werden.

Verschlüsselung in der Cloud

Generell sind alle Cloud-Anbieter dazu verpflichtet, eine Verschlüsselung ihrer gespeicherten Kundendaten zu gewährleisten. Wie dies umgesetzt wird, bleibt den Providern allerdings selbst überlassen. So setzen File-Sharing-Anbieter wie WeTransfer aktuell häufig auf die server-seitige Verschlüsselung und die client-seitige Verschlüsselung. Bei der server-seitigen Verschlüsselung muss der Server den Codierungs-Schlüssel kennen. Hierfür erhält der Cloud-Dienstleister die Daten zusammen mit dem Schlüssel und speichert diese bei sich. Die client-seitige Verschlüsselung schützt die gespeicherten Daten auch vor dem Zugriff des Cloud-Betreibers, denn der Codierungs-Schlüssel gelangt niemals außerhalb des Nutzerrechners. Jedoch ist hierbei ein gutes Key-Management gefordert, denn beim Zurücksetzen von Passwörtern würden auch die Entschlüsselungs-Keys verloren gehen. An diesem Punkt können Lösungen zur Verwaltung von Verschlüsselungs-Keys unterstützen.

Die Beispiele zeigen, dass der Einsatz von Verschlüsselungslösungen nicht einheitlich geregelt ist. Folgende sieben Tipps helfen den Verantwortlichen bei Unternehmen und Behörden, dennoch den Überblick zu behalten, Risiken zu erkennen und ihre Daten Compliance-gerecht zu schützen:

1. Den Status quo kennen

Nur, wer weiß, wie und wo sensible Daten intern und extern verarbeitet und gespeichert werden, kann eine lückenlose Sicherheitsstrategie entwickeln. Dabei ist nicht nur zu klären, ob und in welcher Form Festplatten, mobile Endgeräte und Applikationen im Einsatz sind. Auch Sicherheitsrichtlinien von externen Dritten sind in die Überlegungen einzubeziehen, ebenso wie Verantwortlichkeiten im Unternehmen und darüber hinaus.

2. Die Zusammenarbeit mit Beratern und Subunternehmern berücksichtigen

Cloud-basierte Lösungen bieten viele Effizienz- und Produktivitätsvorteile für den Austausch und die gemeinsame Nutzung von Daten – nicht nur innerhalb des Unternehmens, sondern vor allem bei der Arbeit mit externen Beratern und Subunternehmen. Dabei gilt es zu klären, welche Sicherheitsmaßnahmen die vertraulichen Unternehmensdaten schützen, ohne den produktiven Arbeitsfluss zu unterbrechen.

3. Den Cloud-Dschungel durchdringen

Oftmals nutzen Mitarbeiter eigene Consumer-File-Sharing-Lösungen neben den offiziell vorgegebenen professionellen Cloud-Lösungen im Unternehmen. IT-Verantwortliche müssen daher für Sicherheitsmaßnahmen sorgen, die Daten an allen Speicherorten gleichermaßen schützen. Lösungen für die zentrale Sicherheits- und Richtlinienverwaltung helfen dabei, die Daten unabhängig von ihrem Speicherort zu sichern.

4. Den Datenschutz priorisieren

Neben der Bestandsaufnahme von Verantwortlichkeiten und Arbeitsabläufen müssen Unternehmen definieren, welche Daten für sie am sensibelsten sind und demzufolge besonders stark geschützt werden müssen. Dies können beispielsweise Patentdaten in der Industrie sein oder elektronische Patientenakten im Gesundheitswesen.

5. Die Datenschutz-Strategie ganzheitlich angehen

Nach der Statusaufnahme und der Priorisierung von Daten geht es an die Strategieentwicklung für die Umsetzung der Vorgaben entsprechend der Datenschutz-Grundverordnung. Ziel der Strategie sollte es sein, die Daten von Anfang bis Ende über ihren kompletten Lebenszyklus hinweg zu schützen – und zwar sowohl innerhalb der eigenen Technologie-Infrastruktur, auf den mobilen Endgeräten der Mitarbeiter (Stichwort: Bring Your Own Device) als auch in Zusammenarbeit mit externen Cloud-Providern.

6. Die Mitarbeiter sensibilisieren

Jede noch so umfassende Sicherheitsstrategie hat eine Lücke. Häufig sind es trotz aller Informationen und Aufklärung über Compliance-Anforderungen die Mitarbeiter, die noch immer 50 Prozent aller Datenvorfälle verursachen. Hier ist dringend eine umfassende Sensibilisierung notwendig, sodass die Mitarbeiter die Notwendigkeit der Thematik nachvollziehen können. Ebenso sollten Regeln etabliert werden, die für den Datenschutz zu befolgen sind.

7. Die Compliance-Vorgaben nachweisbar einhalten

In sehr datensensiblen Branchen wie der Finanzindustrie oder dem Gesundheitswesen unterliegen Unternehmen oft gesetzlichen Vorgaben, die eine äußerst strenge Kontrolle vertraulicher und personenbezogener Daten erfordern. Sie müssen daher in Audits und durch umfangreiche Berichte nachweisen können, dass sie Daten zuverlässig schützen.

Auf der sicheren Seite agieren

Daniel Reppmann, Winmagic.
Daniel Reppmann, Winmagic. (Bild: Winmagic)

Die sieben Ratschläge können Unternehmen nur eine erste Orientierung und Hilfestellung bei der Umsetzung der neuen Datenschutz-Grundverordnung geben. Nun ist es an den Sicherheitsverantwortlichen und den Mitarbeitern, für alle weiteren Schritte Sorge zu tragen. Technologielösungen wie eine Datenverschlüsselung mit zentralem Key-Management unterstützen hierbei. Sie geben Unternehmen die Kontrolle über die Verschlüsselung ihrer Daten zurück und helfen ihnen damit, ihre eigenen Daten sowie die Daten ihrer Kunden und Partner abzusichern – ganz im Sinne der neuen Datenschutz-Grundverordnung, welche die Anonymisierung, Pseudonymisierung und Verschlüsselung fördert, um personenbezogene Daten vor Missbrauch zu bewahren.

* Der Autor Daniel Reppmann ist Director Sales DACH, EE & Benelux, bei WinMagic.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44310658 / Compliance)