Cloud- und Datensicherheit

Ist die DSGVO gut für die Cloud?

| Autor / Redakteur: Stefan Maierhofer* / Florian Karlstetter

Die DSGVO kann man durchaus auch als Chance begreifen, wie dieser Beitrag zeigt.
Die DSGVO kann man durchaus auch als Chance begreifen, wie dieser Beitrag zeigt. (Bild: © PV-2012 - stock.adobe.com)

Seit dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (EU-DSGVO). Stellt sie viele Unternehmen und Cloud-Anbieter noch immer vor Herausforderungen, ist die DSGVO aber auch eine Chance, das Datenmanagement und Verwaltungsprozesse in der Cloud zu optimieren. Moderne Cloud-Lösungen in Kombination mit innovativen Technologien, wie CASB oder DLP, können dabei ein hilfreiches Werkzeug sein.

Die neue Datenschutz-Grundverordnung ist eine Antwort auf die zunehmende Bedeutung der Sicherung sensibler Daten. Sie erfordert die absolute Kontrolle des Datenflusses: Es muss überprüfbar sein, welche Daten durch wen und auf welchem Kanal und zu welchem Zeitpunkt genutzt werden. Dazu müssen IT-Verantwortliche und Datenschutzbeauftragte wissen, wo genau sich die Daten befinden, um den Meldevorschriften bei einem möglichen Zwischenfall gerecht zu werden.

Insbesondere Unternehmen, die das Datenmanagement beziehungsweise die Speicherung und Verarbeitung sensibler Daten auslagern, sind auf ein zusätzliches Maß an Vertrauen gegenüber Drittanbietern angewiesen. Sie müssen diese auf ihre Datensicherheit überprüfen und darauf vertrauen können, bei einem schwerwiegenden Verstoß umgehend informiert zu werden. Gleichzeitig bietet dies Cloud-Anbietern aber auch die Chance, sich durch eine DSGVO-konforme Lösung von der Konkurrenz abzuheben.

Transparenz in der Cloud dank CASB und DLP

Transparenz ist das Schlüsselwort dieser Tage. Denn heute lagern Daten häufig nicht mehr auf eigenen Servern, sondern in der Cloud. Galt Cloud-Computing noch vor wenigen Jahren als Sicherheitsrisiko im Datenmanagement, sind Cloud-Anwendungen heute häufig die sicherere und flexiblere Lösung für die Datenverwaltung. Mit zunehmender Anzahl der Cloud-Anwendungen wird es aber immer schwieriger Sicherheitsrichtlinien der DSGVO konsistent durchzusetzen und zu überwachen. Eine Herausforderung insbesondere bei Data in Use (von Mitarbeitern benutzt) oder Data in Motion (in verschiedenen Cloud-Anwendungen oder im Unternehmensnetzwerken unterwegs).

Galt es noch vor einigen Jahren ein abgeschlossenes Firmennetzwerk gegen Gefahren von außen abzuschirmen, stellen sich Unternehmen heute der Herausforderung, ein hybrides Konstrukt aus Firmennetzwerk und verschiedenen Cloud-Lösungen abzusichern. Doch mit Hilfe von Technologien wie CASB (Cloud Access Security Broker) und DLP-Lösungen (Data Loss Prevention) lässt sich der Datenverkehr einfach erfassen, sichern und analysieren. Das vereinfacht die Berichterstattung über Art, Ort, Status und Zugriffspunkt im Falle eines Datenverlustes.

Verantwortungsbewusster Umgang mit sensiblen Daten

Die Verantwortung für die Datensicherheit bleibt beim Unternehmen, auch wenn die Daten bei einem Provider liegen. Es muss sicherstellen, dass die Daten in der Cloud geschützt sind. Dazu muss beispielsweise eine sichere, verschlüsselte Übertragung gewährleistet sein. Diese zu gewährleisten ist nicht immer einfach, da Mitarbeiter vieler Unternehmen häufig Cloud-Anwendungen einsetzen, von denen die IT nicht in Kenntnis gesetzt wurde.

Im Sinne der DSGVO sollten sich die IT- und Datenschutzverantwortlichen beispielsweise mittels CASB einen Überblick verschaffen und potenziell gefährliche, unsichere Anwendungen durch sichere Alternativen ersetzen. Neben den freigegebenen Anwendungen und Plattformen gibt CASB Aufschluss über undokumentierte Prozesse (Schatten-IT) die im Arbeitsalltag verwendet werden. Aber auch freigegebene Prozesse und Devices können ein erhöhtes Risiko für die Datensicherheit darstellen, wenn Mitarbeiter etwa von außerhalb des Firmennetzwerkes auf Daten zugreifen.

Der Mensch ist noch immer die größte Schwachstelle. Auch wenn moderne Technologien Anomalien, wie zum Beispiel Logins von unsicheren Netzwerken oder anonymisierten Proxies, automatisiert erkennen und unterbinden, ist es wichtig das Bewusstsein der Mitarbeiter im Umgang mit sensiblen Daten zu schärfen. So müssen vor allem Privilegierte User und sensible Daten geschützt werden, indem speziell diese Kanäle analysiert werden, um Leaks zu identifizieren. So werden nicht nur sensible Daten, sondern auch die User geschützt, unabhängig von welchem Ort und über welches Device sie auf diese zugreifen.

DSGVO erfordert umfassende Sicherheitsstrategie für Cloud-Umgebungen

„Eine sichere Cloud-Umgebungen lässt sich in drei Phasen gliedern: Unternehmen müssen wissen, was genau zu schützen ist. Um Datenströme transparent abzubilden müssen die Daten nach Art, Ort und Status analysiert werden. Ist die Analyse abgeschlossen müssen Regularien für eine einfache Compliance-Einhaltung aufgesetzt und verfolgt werden“, sagt Frank Limberger, Data and Insider Threat Security Specialist bei Forcepoint. „Ein solides Cloud-Sicherheitskonzept mit modernen CASB- und DLP-Lösungen minimiert dabei viele Risiken bei der Umsetzung der Datenschutz-Grundverordnung.“

Stefan Maierhofer, Area Vice President of Sales für Mittel- und Osteuropa bei Forcepoint.
Stefan Maierhofer, Area Vice President of Sales für Mittel- und Osteuropa bei Forcepoint. (Bild: Forcepoint)

Cloud-Service-Anbieter haben folglich die Verantwortung, gegenüber ihren Kunden transparent zu sein, was sie tun können und was nicht. „Die erste Aufgabe eines Sicherheitsspezialisten besteht darin, potenziellen Kunden dabei zu helfen, fundierte Entscheidungen darüber zu treffen, wie sie ihre Daten sicher und DSGVO-konform aufbewahren können“, so Limberger weiter.

Die Datenschutz-Grundverordnung ist somit vorteilhaft für die Cloud. Sie rückt den wichtigsten Aspekt ‚Sicherheit‘ in den Fokus. Cloud-Anbieter haben so die Möglichkeit sich von Mitbewerben durch ein ausgereiftes Datensicherheitskonzept abzuheben und ein engeres Vertrauensverhältnis zum Kunden aufzubauen. Unternehmen wiederum stellen die Sicherheit ihrer Cloud-Umgebung auf den Prüfstand und profitieren letztendlich von effizienteren und sicheren Datenmanagement und Verwaltungsprozessen in der Cloud.

* Stefan Maierhofer, Area Vice President of Sales für Mittel- und Osteuropa bei Forcepoint

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45395137 / Compliance)