Anforderungen zum Datenschutz umsetzen

In der Public Cloud auch mit sensiblen Daten arbeiten? Aber sicher!

| Autor / Redakteur: Nadja Müller / Florian Karlstetter

Die Haufe Group plante, neue Produkte in der Cloud anzubieten, wobei die AWS-Cloud auch sensible Daten verarbeiten sollte. Mit der DSGVO veränderten sich Rahmenbedingungen, ein Risk Assessment war notwendig.
Die Haufe Group plante, neue Produkte in der Cloud anzubieten, wobei die AWS-Cloud auch sensible Daten verarbeiten sollte. Mit der DSGVO veränderten sich Rahmenbedingungen, ein Risk Assessment war notwendig. (Bild: gemeinfrei (© skylarvision / pixabay) / CC0)

Unternehmen wissen: Software-Lösungen lassen sich in der Public Cloud schneller und flexibler realisieren, indem sie z.B. auf die bestehenden Infrastruktur-Services von AWS aufsetzen. Ein Anbieter für Softwarelösungen hat dieses Potential an Geschwindigkeit und Flexibilität der Public Cloud erkannt und nach Wegen gesucht, wie Produkte und Angebote auch mit sensiblen Daten in der Public Cloud sicher arbeiten können.

Die Zusammenarbeit mit einer externen Beratung hat schließlich regulatorische und technische Anforderungen geklärt, offene Fragen beantwortet und eine nachhaltige Roadmap für die Prozesse der Zukunft entwickelt.

Die Haufe Group beschäftigt als Anbieter von Software-, Beratungs- oder Weiterbildungslösungen für die Branchen Recht, Steuern und Wirtschaft weltweit 2.000 Mitarbeitende und erzielt einen Jahresumsatz von rund 407 Millionen Euro. Seit 2010 gehört auch der Softwareanbieter Lexware zur Unternehmensgruppe. Mit Lexware bietet die Haufe Group auch Software an, die sich auf kleine und mittlere Unternehmen, Selbständige und Freiberuflerinnen sowie Freiberufler spezialisiert.

Die Haufe Group war schon früh in die Cloud eingestiegen und stellte seit einigen Jahren verschiedene Anwendungen im Umfeld von Amazon Web Services (AWS) bereit. Diese Anwendungen verarbeiteten zunächst Daten ohne besonderen Schutzbedarf oder Personenbezug. Der Bereich Information and Communications Technology (ICT) schuf dafür die Rahmenstrukturen und bündelte das vorhandene Fachwissen im Unternehmen.

Sensible Daten sicher über US-Cloud-Anbieter verarbeiten

Die Haufe Group plante, neue Produkte in der Cloud anzubieten, wobei die AWS-Cloud auch sensible Daten zeitnah verarbeiten sollte. Doch mit der DSGVO veränderten sich Rahmenbedingungen. Das vorgegebene Governance Framework, das Mitarbeitenden weitgehende Autonomie in ihrer Arbeit ermöglichte, erwies sich als nicht mehr ausreichend, um die Auflagen und Anforderungen zur Verarbeitung sensibler Daten zu erfüllen. Eine Neugestaltung war also nötig, um diesen neuen und auch speziellen Kundenansprüchen gerecht zu werden.

Um eine Anwendung als Beispielprojekt in die AWS-Cloud zu heben, hat die Haufe Group Unterstützung von den 360-Grad-Cloud-Spezialistinnen und –Spezialisten der direkt gruppe erhalten. Auf technischer Seite waren zwar viele Anforderungen und Best Practices der AWS umgesetzt, aber vor allem die Regulatorik und Sicherheitsaspekte stellten noch offene Punkte dar. Insgesamt hatten die Projekt-Stakeholder bei der Haufe Group unterschiedliche Sichtweisen auf die Cloud und wie Datenschutz, Datensicherheit und Kundenakzeptanz umgesetzt werden sollten. Die Haufe Group wollte diese Sichtweisen konsolidieren, um einen gemeinsamen Weg zu entwickeln.

Zentral waren dabei die Risikobewertung und Risikoadressierung; denn AWS konnte spezifische Fragestellungen der Datensicherheit in Bezug auf den amerikanischen Speicherort nicht abschließend auflösen.

Risk Assessment von Applikation und Umgebung

Die direkt gruppe führte eine dedizierte Risikobewertung der Anwendung durch und validierte die bestehende AWS-Umgebung, Prozesse, Dokumentationsstände sowie zentrale Betriebsaspekte, um potenzielle Schwachstellen zu ermitteln. Daraus folgten Empfehlungen und Maßnahmen für eine gemeinsame Roadmap unter Einbindung von Technik, Betrieb und regulatorischen Rollen; aus dieser entstand das neue AWS Framework. Zusätzlich hat die direkt gruppe Kosten und Aufwand sowie Bedarf an internen Ressourcen geschätzt und Workshops für die Projekt-Stakeholder moderiert. In diesen haben auf der einen Seite Produktteams, CTO und ICT, auf der anderen Seite die Verantwortlichen für Datenschutz, IT-Security und Compliance ihre Bedürfnisse, Wahrnehmungen und Anforderungen formuliert.

Die Risikovalidierung fokussierte zunächst auf ein Beispielprodukt, das sensible personenbezogene Daten beinhalten sollte. „Ziel war es, entweder eine akzeptable Risikoannahme zu erreichen oder die Risiken vollständig zu beseitigen“, berichtet Adrian Wnek, Senior Cloud Consultant bei der direkt gruppe. Das Projektteam einigte sich in den moderierten Workshops auf die notwendigen technischen wie organisatorischen Änderungen. „Gerade diese Validierung der Umgebung konnte offene Fragen in Bezug auf das AWS-Framework lösen und allgemein annehmbare Lösungen herausstellen“, so Wnek weiter und betont: „Hier hat unsere branchenübergreifende Erfahrung geholfen, um klar mögliche Lösungen anzubieten und gemeinsam zu bewerten.“

Befähigung zur eigenen Weiterentwicklung der Public Cloud

Wichtig war es dabei, zu technischen wie regulatorischen Themen Entscheidungen zu treffen, die von allen mitgetragen werden konnten. Dazu entwickelten die Teammitglieder auch selbst Lösungen und interpretierten gemeinsam die Regulatorik, um sie in Vorgaben für die Technik zu übersetzen. Dabei kam eine Kombination von Wasserfall-Projektmanagement und Scrum zum Einsatz um einen definierten Rahmen mit festem Enddatum und Projektverantwortlichen aufzustellen. Tandems aus Mitarbeitenden der Haufe Group und Consultants der direkt gruppe stellten den Wissenstransfer sicher. Herausforderungen gab es dabei einige zu meistern, vor allem Zeitdruck aufgrund der Liefernotwendigkeit sowie die Verfügbarkeit von Ressourcen - schließlich waren die Mitarbeiterinnen und Mitarbeiter abseits des Projekts parallel anderweitig eingebunden. Das Ziel stellte ein Haufe-Group-spezifisches Handbuch für die Public Cloud dar, um das spezifische AWS-Framework und die Cloud Governance allgemein selbst weiterentwickeln zu können.

Jede Entscheidung mit Konsens und Dokumentation

Um die Akzeptanz der Entscheidungen zu ermöglichen, erfolgten Beschlüsse in Form von Abstimmungen zu jedem Themengebiet des Zielzustands des AWS-Frameworks. Nicht nur Logmanagement, Benutzerrechte und Verschlüsselung waren daher Gegenstand der Diskussionen. „Auch deren Konzept, Implementierung und Dokumentation sowie die gemeinschaftliche Entscheidung zur Architektur waren wichtig“, ergänzt Wnek und fügt hinzu: „Erst deren gemeinsame Bewertung und der Austausch der Argumente und Anforderungen führte zu einer technischen Implementierung, die von allen Beteiligten abgestimmt wurde und die Anforderungen vollkommen erfüllt. Wichtig war, dass sich die Verantwortlichen mit dieser Implementierung identifizieren und sie wertschätzen.“

Die Implementierung des AWS Frameworks auf der technischen Basis einer AWS Landing Zone erfolgte schließlich mit Infrastructure as Code; Konfigurationen wurden in Pipelines hinterlegt. Neue AWS Accounts können seitdem voll automatisiert angelegt werden, was Skalierbarkeit, Wachstum und Sicherheit gewährleistet - denn manuelle Fehler sind damit ausgeschlossen.

Zudem wurde das Zusammenspiel von Cloud-Umgebung (AWS-Framework) und Servicemanagementplattformen (Incident-, Change- und Problemprozesse) orchestriert. Technische Maßnahmen wie Dashboards, Überwachung, Erkennen und Reagieren auf Abweichungen und vorhandene Erfahrungswerte minimieren Risiken weiter. Dazu gehört auch, dass je nach Region, Service und Daten bewusste Limitierungen beim Start neuer Anwendungsentwicklung bereits bestehen.

Die Zusammenarbeit mit der direkt gruppe hat es der Haufe Group ermöglicht, einen gemeinsamen Kenntnisstand und ein gemeinsames Verständnis zur breiteren Nutzung der Public Cloud zu schaffen. Intern können Entwicklerteams, regulatorische Rollen, Architektinnen und Architekten sowie Betriebsverantwortliche eng am gleichen vereinbarten Ziel zusammenarbeiten. Die gemeinsam abgestimmte Roadmap zeigt dabei den Weg zum Onboarding der Kolleginnen und Kollegen, zum Skill-Aufbau im Haus und zur Nutzung der AWS Dienste, die die spezifischen Unternehmensanforderungen und die geplante Skalierung abbildet.

In der AWS Landing Zone können die Produktteams nun im gesicherten Rahmen mit klaren Regeln, Verantwortlichkeiten und technischen Limitierungen sensible Daten verarbeiten. Dabei kam das Shared Responsibility Model von AWS zum Einsatz, bei dem AWS die Infrastruktur und genutzten Services bereitstellt und die Haufe Group für Sicherheit und Datenschutz der darauf basierenden Anwendungen verantwortlich ist. Darüber hinaus teilen nun die internen Haufe-AWS Framework Verantwortlichen die ihnen zugewiesene Shared Responsibility des „Customers“ mit den Entwicklerteams.

Aufbau eines Cloud Competence Centers

Im Haufe Group Cloud-Team selbst werden nicht nur Fachkenntnisse benötigt, sondern auch ein Enterprise-Verständnis, um das Gesamtbild besser zu verstehen. Die direkt gruppe unterstützt Haufe daher im nächsten Schritt beim Aufbau eines Cloud Competence Centers mit einem Senior Cloud Consultant. Das Competence Center fungiert als fachliche und methodische Begleitung der künftigen Cloudprojekte wie z. B. eine weitere Vereinfachung der Governance.

Die vor dem AWS Framework existenten AWS Accounts werden in die neue AWS Landing Zone migriert und damit den neuen gemeinsam definierten Spielregeln innerhalb dieser Struktur angepasst. Ziel ist die kontinuierliche Weiterentwicklung des AWS Frameworks. Mit den Erfahrungen aus diesem Projekt, wie in der Cloud Daten sicher verarbeitet werden können, gewinnt die Haufe Group zudem einen weiteren Vorteil: In einem laufenden Projekt für die Microsoft Azure Cloud kann die Haufe Group nun entsprechende Prozesse und technische Umsetzungen mit geringerem Zeitaufwand einführen.

„Gerade der Wissenstransfer von der direkt gruppe zu uns befähigt uns zu dieser Weiterentwicklung. Wir haben jetzt klarere Antworten und sind besser aufgestellt als zu Beginn, um die Cloud Governance zu steuern“, bilanziert Andreas Plaul, Head of ICT-Services. Die direkt gruppe wird die Haufe Group außerdem einem Health Check unterziehen, um neue Bedürfnisse und Weiterentwicklungen festzustellen und um auf diese zu reagieren.

Fazit

In Zusammenarbeit mit der direkt gruppe hat die offene Fragen beim Einsatz des US-amerikanischen Cloud-Dienstleisters AWS beantworten können. Ein Framework und individuelle Best Practices geben einen gesicherten Rahmen für künftige Projekte vor. Damit verfügt die Haufe Group nun über die Expertise und das Prozessverständnis, um standardisiert und mit reduziertem Zeitaufwand weitere Produkte und Services – bestehende aus dem Hosting-Umfeld oder Innovationen – in die Cloud zu bringen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46361262 / Risk Management)