Stein auf Stein

Datenschutz braucht mehr als eine Maßnahme

| Autor: Elke Witmer-Goßner

Nur Anbieter von Cloud-Services, die verzahnte Sicherheitsmaßnahmen nachweisen können, sind wirklich vertrauenswürdig.
Nur Anbieter von Cloud-Services, die verzahnte Sicherheitsmaßnahmen nachweisen können, sind wirklich vertrauenswürdig. (Bil: Romoli Tavani, Fotolia)

Mit Cloud Computing, aber auch den neuen Hypes Big Data und Industrie 4.0, stellen nicht wenige Anwender den Anbietern die Gretchenfrage: Wie hältst du es mit Datenschutz und Datensicherheit?

Die vermutlich in Kürze endlich ratifizierte EU-Datenschutzgrundverordnung soll hier zumindest auf europäischer Ebene Anwendern wie Anbietern eine rechtliche Grundlage sichern für den Schutz personenbezogener Daten im freien Datenverkehr. Christoph Kull, Regional Vice President DACH & Country Manager Germany bei Workday, weist allerdings darauf hin: Auf Gesetze alleine sollte man sich nicht verlassen. Mit einem gewissen Misstrauen, aber auch durch sorgfältige Auswahl des Anbieters, sind Nutzer eher auf der sicheren Seite.

CloudComputing-Insider: Bei der Diskussion um Cloud Services geht es unweigerlich auch immer um die Datensicherheit. Worauf sollten Unternehmen bei der Auswahl eines Cloud-Anbieters achten?

Christoph Kull: Cloud-basierte Services sind heute aus den meisten Unternehmen nicht mehr wegzudenken: Auch deutsche Unternehmen setzen, nach anfänglichem Zögern, verstärkt auf Cloud und Cloud-Services für eine flexible, effiziente und kostensparende IT-Infrastruktur. Entscheidend ist dabei natürlich, wie sorgsam Anbieter mit den bereitgestellten Daten umgehen und ob sie über umfassende Sicherheitsvorkehrungen verfügen. Die aktuelle Diskussion über Safe Harbour und den sicheren Transfer personenbezogener Daten zwischen der EU und den USA hat die Unsicherheit diesbezüglich noch verstärkt. Doch worauf sollten Unternehmen achten? Zertifizierungen, Audits, Verschlüsselung – es gibt einige zentrale Maßnahmen der Cloud-Anbieter, die Aufschluss darüber geben, ob die Daten beim Partner sicher sind.

Und welche Maßnahmen sind das konkret?

Kull: Für eine sichere Cloud müssen individuelle Maßnahmen auf jeden Fall staatliche Regularien ergänzen: Staatliche Institutionen bemühen sich aktuell, geeignete Regularien für die IT-Sicherheit und insbesondere für den länderübergreifenden Datentransfer zu schaffen, etwa im Rahmen von Safe Harbour, TTIP oder der EU-Datenschutzverordnung. Diese Regularien sind notwendige, aber noch keine hinreichenden Bedingungen, die alle Anbieter cloud-basierter Lösungen erfüllen sollten.

Worauf kommt es dann bei einem guten Anbieter an?

Kull: Vertrauenswürdige Anbieter verlassen sich nicht nur auf die Gesetzgebung. Sie werden selbst aktiv und tun etwas, um den verantwortungsvollen Umgang mit Daten zu gewährleisten, wobei sie sich an etablierten Standards ausrichten. So sind etwa die Zertifizierungen nach den ISO-Normen 27001 und 27018 und der Nachweis von Audits wie SOC-1, SOC-2 und SOC-3 wichtige Maßnahmen und Nachweise für die Sicherheit. Die ISO-Norm orientiert sich an dem Datenschutz-Rahmenwerk ISO/IEC 29100 und umfasst anerkannte Kontrollmechanismen und Richtlinien für Sicherheitsmaßnahmen zum Schutz personenbezogener Daten in Public-Cloud-Umgebungen. Regelmäßige, durch unabhängige Dritte durchgeführte umfassende Audits ergänzen diese.

Was sind weitere Aspekte?

Kull: Zudem spielt die Architektur der Services insgesamt eine wichtige Rolle. Native Cloud-Anwendungen, die nicht aus zusammengekauften Einzellösungen bestehen und auch nicht ihre Wurzeln im On-Premise-Bereich haben, benötigen deutlich weniger Schnittstellen und bieten damit auch weniger Einfallstore. Zugleich erhalten alle Anwender zeitgleich das Update auf die neueste Version, sodass Schwachstellen durch veraltete Software vermieden werden können. Ein wichtiger Faktor, auf den Unternehmen bei der Auswahl achten sollten.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44036655 / Allgemein)