DSGVO als Chance betrachten

Datenschutz in der Cloud dank DSGVO

| Autor / Redakteur: Hans-Peter Bauer* / Florian Karlstetter

Die DSGVO lässt sich im Zusammenhang mit Cloud Computing auch durchaus als Chance begreifen.
Die DSGVO lässt sich im Zusammenhang mit Cloud Computing auch durchaus als Chance begreifen. (Bild: © Oliver Boehmer / bluedesign – AdobeStock.com)

Seit 25. Mai 2018 müssen Unternehmen bei Datenlecks nicht mehr nur um ihre Reputation fürchten. Die EU-Datenschutzgrundverordnung (DSGVO) verordnet strikte Datenschutzvorgaben und bestraft Nicht-Compliance mit nicht unerheblichen Bußgeldern. Unternehmen sollten den neuen Regelkatalog jedoch nicht ausschließlich als drohende Ursache für Abmahnungen und Bußgelder sehen.

Vielmehr bietet der Regelkatalog der DSGVO die Chance, die eigene Infrastruktur zeitgemäß aufzurüsten und einen Dorn im Auge der IT-Abteilungen unter Kontrolle zu bringen: Die Schatten-IT.

Die zunehmende Vielfalt von IT-Infrastrukturen, verbunden mit deren einfacher Bedienung bereiten IT-Abteilungen zunehmend Kopfzerbrechen. Konzepte wie „Bring your own Device“ mögen für die Angestellten ein angenehmer Aspekt ihrer täglichen Arbeit sein, allerdings eröffnen sie zusätzliche Gefahrenherde, indem sie Einfallstore für Cyber-Kriminelle öffnen können. Ebenso ist es heute dank der Cloud so einfach wie nie zuvor, neue Komponenten im Firmennetzwerk einzupflegen. Innerhalb weniger Minuten können Mitarbeiter selbständig Software, Speicherplatz oder Infrastrukturen erwerben, ohne vorher die IT-Abteilung fragen zu müssen.

Diese Schatten-IT fliegt also unter dem Radar der Sicherheitsverantwortlichen, die diese Anwendungen eigentlich absichern müssen. Die Nutzung solcher nicht genehmigter Cloud-Dienste stellt mit der DSGVO nun einen zusätzlichen Brennpunkt dar. Daten, die in die Cloud und/oder umgekehrt fließen, können einen Verstoß gegen die neuen Auflagen darstellen. Mit dem neuen Regelkatalog sind Unternehmen nun in der Lage, Maßnahmen zu ergreifen, um diese Gefahr einzudämmen.

Ganzheitliche Sicherheit auf dem Weg zur Compliance

Vielen ist die schwammige Formulierung der DSGVO ein Dorn im Auge. Statt konkreter Angaben ist von „geeigneten“ Maßnahmen die Rede, die „angemessen“ und „auf dem aktuellen Stand der Technik“ sind. Dies ist bewusst unklar gehalten, da sich Prozesse und Datenverarbeitungspraktiken von Unternehmen zu Unternehmen erheblich unterscheiden. Was beim einen also einen „angemessenen“ Datenschutz darstellt, kann beim anderen aufgrund der komplexeren Infrastruktur schon nicht mehr ausreichen. Es gibt also nicht den einen Weg, der checkboxartig abgehakt werden kann, um am Ende compliant zu sein.

Die Grundlage für alle Unternehmen ist ein fundiertes und lückenloses Wissen über den Status Quo, wo ihre Daten lagern und wohin sie fließen. Und das zu jeder Zeit. Was banal klingt, ist in Wahrheit schon die erste große Herausforderung. Der Data Residency Report von McAfee hat gezeigt, dass nicht einmal die Hälfte aller Unternehmen über ihre Datenflüsse im Bilde sind. Das liegt mitunter auch an der fragmentierten Lösungslandschaft in Unternehmen, die ihre Teilbereiche, aber nicht das große Ganze abzudecken vermögen. Anti-Virenprogramme sowie Netzwerk- und Endgeräteschutz müssen heutzutage Bestandteil einer ganzheitlichen und integrierten Sicherheitsarchitektur sein, um lückenlosen Schutz zu gewährleisten.

Sämtliche Daten identifizieren und schützen

Man kann nur schützen, was man auch kennt. Daher muss der erste Schritt sein, sämtliche Datenbestände im Unternehmen ausfindig zu machen. Data Loss Prevention (DLP) Software ist hier ein probates Mittel. Diese Lösungen identifizieren Datensätze, egal wie verstreut sie sind und verschaffen Unternehmen somit einen Überblick über ihre Datenlandschaft. In Zusammenarbeit mit Identity-Lösungen und Verschlüsselung lassen sich auch isolierte Daten finden und absichern.

Die ständige Kontrolle über die eigenen Daten, die in der DSGVO gefordert wird, besagt auch, stets darüber Bescheid zu wissen, wenn die Integrität der Daten gefährdet ist. Dazu gehört es, Sicherheitsverletzungen zeitig zu erkennen und entsprechende Maßnahmen einzuleiten. Aufgrund der diffizilen Sicherheitslage mit einer stetig wachsenden Bedrohungslandschaft bestraft die DSGVO nicht Datenkompromittierungen an sich. Allerdings setzt sie voraus, dass Unternehmen in der Lage sind, solche innerhalb kurzer Zeit zu erkennen und innerhalb der vorgegebenen Frist von 72 Stunden zu melden, was Unternehmen oftmals noch Kopfzerbrechen bereitet. Laut dem McAfee Data Residency Report liegt die durchschnittliche Erkennungszeit bei 11 Tagen, was häufig der verstreuten Software-Landschaft geschuldet ist. Sicherheitslösungen mit verschiedenen Schwerpunkten wie Anti-Viren- und Netzwerkschutz erfassen unterschiedliche Daten, stellen eigene Analysen bereit und müssen individuell ausgelesen werden.

Next Generation Security-Lösungen können diese Prozesse verschlanken. Security Information and Event Management (SIEM)-Systeme können auch verzweigte Infrastrukturen ganzheitlich kontrollieren und in Echtzeit abbilden. Sie aggregieren sämtliche Datenströme aller Komponenten und werten diese eigenständig aus. Zudem sind sie in der Lage, Regelabweichungen oder unberechtigte Zugriffsversuche zu erfassen und an die IT-Abteilung weiterzugeben. Diese Maßnahmen entlasten nicht nur die Mitarbeiter, sondern sparen auch wertvolle Zeit, indem Prozesse deutlich schneller ablaufen. Mitarbeiter müssen nur noch entscheiden, ob es sich um meldepflichtige Vorfälle gemäß der DSGVO handelt und können diese dann weiterleiten.

Türsteher für die Cloud

Laut dem dritten alljährlichen Cloud-Report von McAfee setzen 96 Prozent der deutschen Unternehmen inzwischen auf Cloud-Anwendungen. Diese stellen noch einmal zusätzliche Herausforderungen an den Datenschutz. Außerhalb der Kontrolle der hauseigenen IT-Abteilung fließen eine Menge Unternehmensdaten in die betreffenden Dienste und müssen ebenso gesichert werden wie die innerhalb der hausinternen Umgebung. Ein großes Problem hierbei stellen die Anwendungen dar, von denen die IT keine Ahnung hat. 49 Prozent der befragten Unternehmen in Deutschland geben solche Anwendungen der Schatten-IT als Sicherheitsrisiko an, da sie auch nicht von den oben beschriebenen Lösungen geschützt werden können.

Für den Schutz sämtlicher „as-a-Service“-Angebote empfehlen sich daher Cloud Access Security Broker (CASB). Heute noch bei weniger als 10 Prozent der Unternehmen im Einsatz prognostizieren die Analysten von Gartner, dass solche Lösungen bis 2020 bei 60 Prozent zum Einsatz kommen werden. CASBs fungieren als eine Art Türsteher für die Cloud und als verlängerter Arm von On-Premises-Sicherheitslösungen. Unternehmen kontrollieren damit den Zugriff auf Cloud-Anwendungen und können die Sicherheitsrichtlinien ihres Unternehmens darauf ausweiten. Wie SIEM-Anwendungen sind sie außerdem in der Lage, Verstöße eigenständig festzustellen und die Verantwortlichen zu alarmieren. So lassen sich auch ehemals unbemerkte Anwendungen aufspüren und absichern, wodurch die Gefahr von Datenschutzverletzungen durch die Schatten-IT eingedämmt wird.

Fazit: Sicherheit bis in die Cloud

Hans-Peter Bauer ist Vice President Central & Northern Europe bei McAfee.
Hans-Peter Bauer ist Vice President Central & Northern Europe bei McAfee. (Bild: McAfee)

Eine Modernisierung der IT-Sicherheit und die damit verbundene Anpassung an heutige Herausforderungen wäre bei vielen Unternehmen auch ohne die DSGVO dringend nötig. CISOs und IT-Sicherheitsverantwortliche haben nun mehr Argumente und per Gesetz die Chance, ihre Infrastruktur auf den neuesten Stand zu bringen, um aus der verzweigten Landschaft isolierter Einzellösungen eine ganzheitliche Sicherheitsarchitektur aufzubauen, die Daten auch bis in Cloud-Anwendungen hinein schützt und somit deren volles Potenzial für das Unternehmen zugänglich macht.

*Der Autor

Hans-Peter Bauer ist Vice President Central & Northern Europe bei McAfee. Er wechselte zum 1. Januar 2008 von Juniper Networks, wo er zuletzt als Vice President für das Enterprise-Geschäft in EMEA verantwortlich war. Er bringt eine mehr als 20-jährige Erfahrung in der Computer- u. Informationstechnologie-Branche in seine Position ein.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45480215 / Recht und Datenschutz)