Datenpannen beim Software-Test vermeiden Erst Cloud-Datenschutz, dann Security-Test

Sicherheit spielt bei der Cloud eine zentrale Rolle. Entsprechend vielfältig ist der Markt für Cloud-Sicherheitslösungen. Generell ist es empfehlenswert, bei der Auswahl einer solchen Lösung einen Test zu machen. Doch bereits dieser Test kann zu einer Datenschutzverletzung führen.

Anbieter zum Thema

Wer Cloud-Sicherheitslösungen vor der Anschaffung testen will, läuft Gefahr, eine Datenschutzverletzung nach DSGVO zu begehen.
Wer Cloud-Sicherheitslösungen vor der Anschaffung testen will, läuft Gefahr, eine Datenschutzverletzung nach DSGVO zu begehen.
(Bild: gemeinfrei / Pixabay )

Wenn Unternehmen für Security-Lösungen investieren, geht es immer noch viel zu selten um Cloud-Sicherheit: Obwohl nicht nur die Pandemie-Bewältigung zeigt, dass Cloud-Dienste von zentraler Bedeutung sind, geben Unternehmen laut der Marktforscher von Gartner am wenigsten für Cloud-Security aus, wenn es um die Aufteilung des Security-Budgets geht.

Allerdings steigt der Anteil für Cloud-Sicherheit stark an, die Gartner-Analysten sehen hier ein Wachstum von 41,2 Prozent, bei Netzwerksicherheit zum Beispiel nur 8,9 Prozent (Information Security & Risk Management End User Spending by Segment, 2020-2021, Gartner).

Offensichtlich finden gegenwärtig viele Entscheidungen und Projekte statt, die für die Cloud mehr Sicherheit bringen sollen. Eine gute Entwicklung, die aber aus bestimmten Gründen zu Datenpannen führen kann.

Nicht voreilig mit Cloud-Security starten

Mit Remote Work und Hybrid Work als Unternehmensalltag will man natürlich jede weitere Verzögerung vermeiden, um die noch unzureichende Cloud-Sicherheit endlich gewährleisten zu können.

Da ist es nicht unbedingt einfach, die passende Lösung für Cloud-Security „auf die Schnelle“ zu finden. Zu vielfältig und zu komplex ist der Lösungsmarkt inzwischen. Allein schon die hohe Zahl an Abkürzungen, die es inzwischen in der Cloud-Sicherheit gibt, macht die Orientierung für Anwender und Anwenderunternehmen nicht leicht.

Doch zum Glück kann man sich bei Cloud-Sicherheit relativ einfach und bequem einen Eindruck von der Lösung verschaffen. Man muss keine Hardware testweise bestellen, keine Software zum Test installieren, man nutzt einfach die Demo- und Test-Versionen, die es im Bereich Cloud-Sicherheit zuhauf gibt.

Allerdings sollte man sich nicht unüberlegt und ungeprüft in einen Test von Cloud-Diensten begeben, das gilt auch und gerade für Cloud-Security-Lösungen.

Das Problem mit Testdaten und der Cloud

Security-Lösungen müssen umfangreiche Berechtigungen haben, um Risiken erkennen zu können. Eine oberflächliche Kontrolle von Dateien kann nicht das Ziel sein, wenn vermieden werden soll, dass Malware in die Cloud übertragen oder aus der Cloud geladen wird.

Auch wenn es zum Beispiel darum geht, personenbezogene und andere zu schützende Daten zu erkennen, den Schutzbedarf zu ermitteln und entsprechend Sicherheitsmaßnahmen wie eine automatische Verschlüsselung einzuleiten, müssen die entsprechenden Security-Lösungen alle Daten sichten und dann die zu schützenden bestimmen.

Wie aber kann man sich als Anwender von der Leistung einer solchen Security-Lösung überzeugen? Reicht es da, einige Testdaten in einem Cloud-Verzeichnis abzulegen und einen Cloud-Scan anzustoßen?

Es ist generell ein Problem, Testdaten realitätsnah und praxisbezogen zu wählen, ohne aus einem Test gleich einen möglichen Sicherheitsvorfall zu machen. Wenn es sich um cloud-basierte Lösungen handelt, kommt noch ein weiterer Punkt hinzu: Die Testdaten werden womöglich in eine Security-Cloud übertragen, über die der Anwender erst einmal wenig wissen wird. Aber er oder sie muss sehr viel wissen, denn das Datenschutzniveau dieser Cloud muss bekannt sein.

Der Test-Fall als Datenpanne

Wer eine Cloud testen will und erst recht eine Security-Cloud mit weitgehenden Berechtigungen, muss verhindern, dass der Security-Test zur Datenschutzverletzung nach DSGVO (Datenschutz-Grundverordnung) ausartet.

Die Aufsichtsbehörden für den Datenschutz haben sehr klar gemacht, dass der Datenschutz in einer Testumgebung nicht geringer ausfallen darf als in einer Produktivumgebung. Das gilt nicht nur im Fall von Cloud Computing, sondern generell.

Wenn es aber um den Test von Cloud-Services geht oder im speziellen um Cloud-Security-Dienste, dann kommen alle Vorgaben des Datenschutzes für die Cloud zum Tragen. Cloud-Datenschutz darf also nicht ein Thema nach dem Funktionstest von Cloud-Security sein, sondern es muss vor dem Funktionstest geprüft werden.

Datenübermittlung, auch bei möglichen Tests

Ein Blick auf den Lösungsmarkt für Cloud-Sicherheit zeigt schnell, dass viele der Anbieter US-Anbieter sind oder aus anderen Drittländern stammen, jenseits der EU. Selbst wenn ein Anbieter seine Cloud-Dienste speziell aus einem Rechenzentrum innerhalb der EU anbietet, kann dies ein Problem aus Datenschutz-Sicht darstellen. Insbesondere könnte die Test-Cloud direkt in dem Drittland betrieben werden, als internationales Test-Angebot.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Wenn dann bei dem Security-Test personenbezogene Daten betroffen sind, was in aller Regel der Fall sein wird, würde der Testfall zu einer Datenübermittlung in ein Drittland. Im Fall von US-(Test-)Clouds kann man sich bekanntlich nicht mehr auf den Angemessenheitsbeschluss Privacy Shield berufen. Deshalb müssen die Rechtsgrundlagen nach DSGVO (Datenschutz-Grundverordnung) geklärt werden, wohlgemerkt vor jedem Testen und nicht etwa nur vor der Kaufentscheidung.

Den Datenschutz zuerst im Blick haben

Für den Datenschutz ist der Test-Fall bereits der Ernstfall, ein leichtfertiger Test von Cloud-Security-Lösungen kann dann zum Problem, ja zur Datenpanne werden. Bei aller gebotenen Eile zur Verbesserung der Cloud-Sicherheit darf an der Datenschutz-Prüfung vor dem Security-Test nicht gespart werden. Cloud-Datenschutz darf nicht der gewünschten Cloud-Sicherheit geopfert werden, auch nicht einmal testweise.

(ID:47967359)