DSGVO und Multi-Cloud-Umgebungen

Mehr Sicherheit für Multi-Cloud-Anwendungen

| Autor / Redakteur: Gerald Fehringer* / Florian Karlstetter

Eine kritische Auseinandersetzung zum Thema Sicherheit in Multi-Cloud-Umgebungen.
Eine kritische Auseinandersetzung zum Thema Sicherheit in Multi-Cloud-Umgebungen. (Bild: © kran77 - stock.adobe.com)

DSGVO und jetzt auch noch der CLOUD Act in den USA: In Sachen Datenschutz herrscht bei den meisten Unternehmen derzeit große Verunsicherung – vor allem, wenn sie eine Multi-Cloud-Umgebung nutzen und befürchten, endgültig den Überblick zu verlieren. Doch gerade die DSGVO sorgt für Transparenz und eine bislang nicht vorhandene Rechtssicherheit – und legt damit einen wichtigen Grundstein für ein funktionierendes Multi-Cloud-Management.

Der im März in den USA unterzeichnete CLOUD Act (Clarifying Lawful Overseas Use of Data Act) soll es amerikanischen Behörden erlauben, auf die personenbezogenen Daten von US-Bürgern zuzugreifen – selbst, wenn diese im Ausland gespeichert sind. Umgekehrt sollen nicht-amerikanische Strafverfolgungsbehörden auch Zugriff auf die Daten ihrer Bürger erhalten, die in den USA liegen. Unternehmen, die Cloud-Lösungen unterschiedlicher Herkunftsländer verwenden, stehen damit vor neuen Unsicherheiten: Die neue Datenschutzgrundverordnung (DSGVO) und der CLOUD Act widersprechen sich nach aktuellem Stand in wichtigen Punkten. Ob und wie es zu bilateralen CLOUD Act-Abkommen zwischen den USA und europäischen Ländern kommt, steht noch nicht fest. Ebenso wenig, wie die konkrete europäische Rechtsprechung dann schlussendlich gestaltet sein wird.

Der lange Arm der USA - Neues Cloud-Gesetz in Kraft

Die USA verschärfen Überwachung von Internet-Diensten

Der lange Arm der USA - Neues Cloud-Gesetz in Kraft

16.04.18 - Seit dem 23 März gilt in den USA der „Cloud Act“. Das Gesetz verschärft die bisherige Überwachungspraxis im Cloud Computing. Betroffene Provider und Anwender haben weniger Rechte. lesen

Keine Angst vor Datenschutzgesetzen

Der Fall befeuert einmal mehr die Angst deutscher und europäischer Unternehmen, dass Gesetze und Regularien ihre Planungs- und Rechtssicherheit stets aufs Neue untergraben. In manchen Fällen schrecken diese Ängste Business- und IT-Entscheider so sehr ab, dass sie Investitionen in Cloud-Lösungen hinauszögern oder sogar ganz vermeiden. Allerdings sind solche Ängste zum größten Teil unbegründet – zumindest dann, wenn ein Unternehmen nicht bei jedem neuen Datenschutzgesetz wieder von vorne beginnt, sondern bestimmte Grundregeln und Vorgehensweisen einführt, die dem Datenschutz im Unternehmen eine belastbare Basis bieten.

Ein konkretes Beispiel: Hat ein Unternehmen seine Hauptniederlassung in der EU, kann es durch technische Maßnahmen ausschließen, dass direkt auf personenbezogene Daten zugegriffen wird. Wichtigstes und wirkungsvollstes Mittel ist eine konsequente Verschlüsselung. Eine Segmentierung der Daten sollte darüber hinaus ebenfalls auf der Prioritätenliste ganz oben stehen – etwa nach Nationalität. Denn wenn die auf US-Bürger bezogenen Daten in den USA bleiben und die von EU-Bürgern in der EU, sind viele potenzielle Konflikte bereits entschärft. Eine solche Datensegmentierung in einer Multi-Cloud-Umgebung zu bewerkstelligen ist relativ einfach, da die Cloud-Provider zahlreiche regionsbezogene Lösungen im Angebot haben.

Verschlüsselung muss in Unternehmen Standard sein

Auch die Aufwände für solche Maßnahmen sind in den letzten Jahren kontinuierlich gesunken. Beispiel Verschlüsselung: Waren dafür bis vor kurzem noch eigene Verschlüsselungsprogramme notwendig, ist dies heute eine Standardfunktion vieler Anwendungen. So kann jeder Anwender von Microsoft Office 365 seine Daten klassifizieren und verschlüsseln – ohne seine vertraute Office-Umgebung verlassen zu müssen.

Ein weiterer sehr wirksamer Faktor sind saubere Mechanismen der Authentifizierung. So sollten die beauftragten Cloud-Anbieter über keinen Generalschlüssel verfügen, mit dem sie personenbezogene und geschäftskritische Daten wieder in Klartext verwandeln können. Dies sollte nur bestimmten befugten Mitarbeitern des Unternehmens vorbehalten sein.

Natürlich schaffen solche Maßnahmen keine vollständige Rechtssicherheit. Deshalb sollten Unternehmen immer einen Fachanwalt zur Seite haben, der alle wichtigen Entscheidungen begleitet und mithilfe der DSGVO heute auch wesentlich verlässlicher beraten kann, als dies zuvor der Fall war, da die neue Verordnung viele Details eindeutig regelt.

Klare Regeln und Rechtssicherheit dank DSGVO

Denn: Die DSGVO bringt keineswegs grundsätzlich neue Datenschutzanforderungen mit sich: Sie konkretisiert, quantifiziert und erweitert diese Anforderungen vor allem. Dadurch bietet sie Unternehmen ein klares Regelwerk, an dem sie sich orientieren können. Nun ist zum Beispiel klar geregelt, was passieren muss, wenn ein Datenschutzverstoß bekannt wird. Und welche Fristen dabei einzuhalten sind. Durch diese Klarstellungen und die konkret definierten Strafen beschäftigen sich heute Business- und IT-Abteilungen intensiv mit jenen Datenschutzfragen, mit denen sie sich früher oder später ohnehin auseinandersetzen müssen.

Im Zuge dessen müssen viele Unternehmen neue Positionen schaffen: an erster Stelle die des IT-Sicherheits-Beauftragten, der direkt an die Geschäftsleitung berichtet. Er steuert die Governance in Sachen Sicherheit und Datenschutz. Zudem fungiert er als Mediator zwischen Controlling, Rechtsabteilung und Geschäftsleitung einerseits und Fachabteilungen sowie der IT andererseits. Auch Fachanwälte für IT-Sicherheit und Datenschutz sind gefragt, die in einem festen Turnus das Unternehmen beraten – etwa, wenn sich durch ein Gerichtsurteil die Rechtslage geändert hat.

Was verbirgt sich im Schatten der IT?

In Multi-Cloud-Umgebungen wird das Thema Datenschutz noch komplexer, weil personenbezogene Daten hier noch breiter verstreut sind. Zumal das Back-up und die Archivierung von Daten aus wirtschaftlichen Gründen zuletzt immer häufiger über Cloud-Lösungen erfolgt. Treiber sind hier in der Regel die Fachabteilungen, die gerade mit Blick auf die Archivierung der Daten einen Wust ungeordneter Schatten-IT entstehen ließen.

Um den Cloud-Dschungel zu lichten, steht Unternehmen mittlerweile eine Vielzahl smarter Lösungen zur Verfügung, die vor allem an Übergabepunkten im Datenverkehr wie zum Beispiel Firewalls ansetzen. Mithilfe entsprechender Appliances scannen Unternehmen die ein- und ausgehenden Datenströme und sind so innerhalb weniger Tage in der Lage, ein detailliertes Bild zu zeichnen: Welche Cloud-Dienste werden wie intensiv und von wem genutzt? Welche Daten werden wo verarbeitet? Auf Basis dieser Informationen und ihrer Governance-Vorgaben können Unternehmen nun gezielt entscheiden, welche Dienste sie erlauben und welche sie einschränken oder gar ganz einstellen. Angenehmer Nebeneffekt: Die Schatten-IT liegt nun in inventarisierter Form vor.

Bei der anschließenden Klassifizierung der Daten können erfahrungsgemäß die Fachabteilungen am besten unterstützen, denn sie wissen, mit welchen Daten sie täglich arbeiten und welchen Stellenwert sie besitzen. Sind Anwendungen und Daten dann entsprechend geordnet und strukturiert, lassen sich abschließend die notwendigen technischen Maßnahmen – wie zum Beispiel Verschlüsselungen – definieren.

Automatisierung der Dateninventur ist ein Muss

Dieser Prozess lässt sich mittlerweile leicht automatisieren, etwa mit Hilfe des klassischen Managements der Zugriffsrechte. Denn je strikter die Zugangsregeln ausfallen, umso kritischer sind auch die betroffenen Daten. Solche Informationen lassen sich nutzen, um die Daten automatisch mit entsprechenden Werkzeugen zu klassifizieren. Zumal eine solche Automatisierung im Multi-Cloud-Umfeld unerlässlich ist, denn mit manuellem Management verlieren IT-Verantwortliche im Multi-Cloud-Umfeld schnell den Überblick.

Die DSGVO stellt deshalb eine große Chance dar. Durch den Zwang der Verordnung üben Unternehmen Tugenden ein, die ihnen auch bei Fragen der IT-Infrastruktur helfen: von der Bestandsaufnahme und Klassifizierung der Daten und Anwendungen bis hin zur festen organisatorischen Verankerung von Governance-Themen. Insofern werden Unternehmen bei ihrem Multi-Cloud-Management mittel¬- und langfristig von der DSGVO profitieren.

Der Autor: Gerald Fehringer beschäftigt sich bereits sein gesamtes Berufsleben mit IT-Security. Nach diversen Stationen als IT-Sicherheitsexperte und Cloud-Architekt bei Systemhäusern und IT-Unternehmen berät Fehringer als Leiter Multi Cloud Consulting heute Mittelständler für die QSC AG, unter anderem in Sicherheitsfragen im komplexen Multi-Cloud-Umfeld.

Special „Rechtssicheres Cloud Computing“

Special Rechtssicheres Cloud ComputingSicherheit hat viele Facetten, dies gilt auch und insbesondere beim Cloud Computing. Vielen Unternehmen fehlt es an Vertrauen, wenn es darum geht, Daten, Anwendungen und Teile der eigenen IT-Infrastruktur an einen externen Provider auszulagern. Im Special finden Sie nützliche Informationen rund um die Themen Rechtssicherheit, dazu Lösungsansätze, Standards und Initiativen aus der Industrie.  

Zum Special „Rechtssicheres Cloud Computing“

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45386062 / Recht und Datenschutz)