:quality(80)/p7i.vogel.de/wcms/3b/6d/3b6de5d5ee985e4d83860aa710a88d64/0108679613.jpeg "Der zentrale Überblick mittels des Multi-Cloud-Managements sorgt für Kostentransparenz; Reports und intelligente Analysen zeigen Optimierungspotenzial auf und ermöglichen Vergleiche der Konditionen verschiedener Anbieter. (Bild: dell - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/aa/66aa92e9e5f3707c120969f3a9dc2dc5/0108541020.jpeg "Vor allem Lösungen für ERP und CRM sind Treiber des konstanten Wachstums im SaaS-Markt und des voranschreitenden Trends zur Digitalisierung und Automatisierung. (Bild: gemeinfrei Ronald Carreno)")
:quality(80)/p7i.vogel.de/wcms/9b/68/9b681c20a7f5797bd1a81726aa5ad997/0108274887.jpeg "Kernfunktion aktueller Cloud-Content-Management-Lösungen ist es, Anwendern den ortsunabhängigen Zugriff auf für sie relevante Geschäftsdaten zu ermöglichen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/03/4c0352ffdc96296602f6a9994783530d/0110599468.jpeg "Die Dekommissionierung bzw. Stillegung nicht mehr benötigter IT-Systeme vor einer Cloud-Migration senkt Kosten und Aufwand. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ac/a5/aca50b4dfd6fe448ee00272c52083d91/0110357050.jpeg "Azure OpenAI Service bietet Zugang zu KI-Modellen von OpenAI wie GPT-3, ChatGPT, DALL-E 2 und anderen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/73/3b/733ba48b0c28a33e80ddfe6ae66bc9a7/0109414498.jpeg "T-Systems offeriert mit der Open Telekom Cloud eine sichere Alternative zu den Hyperscalern. (Bild: gemeinfrei, cocoparisienne / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/77/a8/77a84fef3c21c37b61a2f8ab0fba2715/0110343435.jpeg "Microsoft Outlook steht Mac-Usern jetzt kostenlos zur Verfügung. (Bild: frei lizenziert Matias Cruz - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/45/b4/45b405dd4a34cc31e38d6fc3ed6a60fd/0110612942.jpeg "Murrelektronik im baden-württembergischen Oppenweiler führte im Pilotprojekt die SAP Data Warehouse Cloud ein. (Bild: © Alexander Becher)")
:quality(80)/p7i.vogel.de/wcms/b9/1e/b91e0d042aaac49e2012980e90294472/0109999884.jpeg "Wie fällt die Bilanz nach zehn Jahren Industrie 4.0 aus – wo sind die Produktivitätsgewinne? (Bild: frei lizenziert wdreblow0 - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/35/76/3576b02d0a1bffa7f6d61679724ad5dc/0110376810.jpeg "Die SaaS-Plattform für rechtssicheres Vertragsmanagement PocketLaw ist ab sofort auch in Deutschland verfügbar. (Bild: Edward Lich)")
:quality(80)/p7i.vogel.de/wcms/07/cc/07cc1cf7902bd162cf65e45efe9c5846/0110594536.jpeg "„You Have to Be at CloudFest if You Work in the Cloud“ – wer mit der Cloud arbeitet, Infrastruktur und Services für Cloud Computing anbietet kommt am CloudFest im Europapark Rust nicht vorbei. (Bild: VIT / ewg)")
:quality(80)/p7i.vogel.de/wcms/5a/39/5a393cf6af5b9b05aacab7af43598b30/0109272973.jpeg "Brooklyn Data hat im Auftrag von Fivetran einen Data Warehouse Report erstellt. (Bild: © ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/c9/30c909fd2d08a194f3adafc5385a80b8/0110474841.jpeg "ServiceNow hat mit „Utah“ ein Update seiner Now-Plattform vorgestellt. (Bild: frei lizenziert manniguttenberger / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/fe/a3/fea375a60daeacbb5ab9ecd2617eafab/0109897506.jpeg "Jed Ayres, CEO von Igel, und Matthias Haas, CTO von Igel, präsentieren Igel Cosmos auf der Disrupt23 in München. (Bild: Igel)")
:quality(80)/p7i.vogel.de/wcms/be/87/be877eac12fe4c83b446c0f115a18196/0110380431.jpeg "Unternehmen, die sich auf die komplexe Workload-Migration auf AWS einlassen wollen, sollten gründlich prüfen, wie gut sie darauf vorbereitet sind, Daten und Anwendungen in die Cloud zu verschieben. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/7f/c77fefc23446b27178da58d6dfb1a28a/0110403454.jpeg "Die Salesforce Hyperforce EU Operating Zone soll Kunden mehr Kontrolle über Datenzugriffe ermöglichen. (Bild: torstensimon)")
:quality(80)/p7i.vogel.de/wcms/12/60/1260a96a2111b7c5c10194822f4f810b/0110403469.jpeg "NoSpamProxy hat den Funktionsumfang seiner E-Mail Security Suite weiter ausgebaut. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/39/b0/39b0447b32892a802447c09afb46ea2b/0110424179.jpeg "Gaia-X hat Mitte März die Market-X Conference & Expo in Wien veranstaltet. (Bild: frei lizenziert Leonhard Niederwimmer / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/02/b7/02b788adae328d839a6fee59654ed175/0110588925.jpeg "Aufgrund wirtschaftlicher und politischer Unsicherheit, instabiler Lieferketten, hoher Energiepreise und permanenter Cyberbedrohungen nutzen immer mehr Unternehmen Cloud-Modelle für geschäftskritische Anwendungen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/ff/feffdd095a81fbe50c02285a4202b1c1/0109971847.jpeg "Unternehmen setzen zunehmend auf digitale Lösungen, und die Anforderungen an Dokumentenmanagementsysteme steigen – nicht zuletzt auf Grund von Compliance-Vorgaben. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/bb/26/bb26887f6002604d4ba7c8b42a613aa6/0110244573.jpeg "Profinit expandiert in die DACH-Region. Das Unternehmen zählt laut IDC zu den Top 3 der größten Entwickler von Individualsoftware in Tschechien. (Bild: Profinit DE GmbH)")
:quality(80)/p7i.vogel.de/wcms/45/29/4529d45ef3cc038d551fa03ce892c000/0110209992.jpeg "Bedeuten die jüngsten Entlassungen, dass der Fachkräftemangel im Tech-Bereich vorbei ist? (Bild: frei lizenziert: Dirk Wouters)")
:quality(80)/p7i.vogel.de/wcms/98/33/983325b3e6f5bd686468697749b9c787/0110620652.jpeg "Daniel Zhang, seit 2015 CEO und seit 2019 auch Vorstandsvorsitzender der Alibaba Group, soll neben der Konzernspitze auch die neue Cloud-Gruppe leiten. (Bild: Alibaba Group)")
:quality(80)/p7i.vogel.de/wcms/f4/59/f4594d0235247f7186bf002963c3dfdc/0110566586.jpeg "Gordon Moore: Halbleiter-Pionier, Autor von „Moore’s Law“ und Mitgründer von Intel. (Bild: Intel Coroporation)")
:quality(80)/p7i.vogel.de/wcms/e9/be/e9bef4fa2e312555d2bd6e2492735b44/0110258442.jpeg "Ein Cloud-Service macht noch keinen Sommer, erklärt Seqis in diesem Beitrag und verweist auf Probleme, mit denen sich Entwickler in Unternehmen konfrontiert sehen könnten. (Bild: frei lizenziert Joe - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/16/aa/16aabd4bfe9389f9e71c1120f312d3d1/0110105744.jpeg "Quick-Connect Studio von Renesas basiert auf Quick-Connect IoT, einer Plattform mit standardisierter Hardware, die über branchenübliche Schnittstellen wie PMOD, Arduino und MIKROE verfügt. (Bild: Renesas Electronics)")
:quality(80)/p7i.vogel.de/wcms/a1/e6/a1e6079e89a83d872a1a8d164edc8f97/0110412957.jpeg "Angesichts einer Krise macht es keinen Sinn, den Kopf in den Sand zu stecken. (Bild: frei lizenziert Engin Akyurt - Pixabay)")
Datenschutz in der Cloud So hilft Cloud-Verschlüsselung bei der DSGVO-Compliance
In der Mehrheit der Unternehmen sind Cloud-Anwendungen inzwischen im Einsatz. Mit der bevorstehenden Anwendung der Europäischen Datenschutz-Grundverordnung (DSGVO) in weniger als einem Jahr könnte jedoch die Begeisterung in der Nutzung für Cloud-Apps ein wenig getrübt werden. Dabei gibt es mit Cloud-Verschlüsselung ein Mittel um sich deutlich entspannter dem Thema DSGVO zu nähern.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/cf/5ecf8e2080a3f/stackit-pos-hex-bildmarke-jpg.png "STACKIT_POS_HEX_Bildmarke.jpg.png (STACKIT)")
Die DSGVO verlangt für IT-Umgebungen das Prinzip Privacy by Design, womit Datenschutz und Sicherheit in den Mittelpunkt gerückt werden. Geht es um die Verarbeitung von Kundendaten, so erachtet die DSGVO die Unternehmen als Auftragsdatenverarbeiter. Für sie gelten im Umgang mit Kundendaten unter anderem die Vorgaben der Sparsamkeit bei der Datenerhebung, die Datenverarbeitung mit Einverständnis der Kunden, Auskunftspflicht und insbesondere Informationspflicht bei Datensicherheitsvorfällen: In derartigen Fällen haben Unternehmen die betroffenen Kunden unverzüglich zu informieren und binnen 72 Stunden die zuständigen Aufsichtsbehörden über die Sicherheitslücke in Kenntnis zu setzen. Erfolgt die Benachrichtigung nicht im gegebenen Zeitraum und nicht in ausreichendem Umfang, können empfindliche Geldbußen fällig werden (Art. 83, Abs. 4 DSGVO).
Effizientere IT-Prozesse und eine flexiblere Preisgestaltung, die langfristige Kostenvorteile mit sich bringt, überzeugen laut dem aktuellen Cloud Monitor von Bitkom und KPMG in Deutschland derzeit 64 Prozent der Unternehmen vom Nutzen von Cloud-Anwendungen. Insbesondere bei der Nutzung von Cloud-Anwendungen sollten Unternehmen aber den Regelungen der DSGVO verstärkte Aufmerksamkeit widmen, bringt diese doch ein erhöhtes Maß an Verantwortung mit sich. Wenn es um die Sicherheit der Unternehmensdaten in der Cloud geht, scheint es derzeit noch gängige Praxis zu sein, stillschweigend die Verantwortung dem Cloud-Anbieter zuzuschreiben. Mit der DSGVO können Unternehmen eine derartige Sorglosigkeit leider nicht mehr an den Tag legen.
Besondere Sorgfaltspflicht im Rahmen der DSGVO
Im Rahmen der DSGVO sind sie dazu verpflichtet, sich zu vergewissern, dass die Datenverarbeitungsprozesse ihres Cloud-Anbieters dem in der DSGVO geforderten Datenschutzniveau entsprechen. Um den Unternehmen die Überprüfung zu erleichtern, sieht die DSGVO eine Zertifizierung von Cloud-Anbietern vor. Diese kämpft jedoch noch mit einigen Schwierigkeiten: Derzeit gibt es noch keine einheitlichen europäischen Standards, die Zertifizierung ist freiwillig und Gütesiegel, die gegenwärtig von Cloud-Anbietern genutzt werden, bleiben meist deutlich hinter den Anforderungen der DSGVO zurück. Darüber hinaus sind die Gütesiegel – zumindest noch zur Zeit - nur begrenzt hilfreich: Denn der alleinige Blick auf ein Gütesiegel entbindet Unternehmen nicht von der Verpflichtung, das tatsächliche Datenschutzniveau beauftragter Cloud-Anbieter zu überprüfen. Kommt ein Unternehmen dieser Sorgfaltspflicht nicht nach, kann es bei einem Datensicherheitsverstoß auf Seiten des Cloud-Anbieters ebenfalls zur Verantwortung gezogen werden. Und zwar dann, wenn von dem Unternehmen erhobene personenbezogene Daten davon betroffen sind und sich herausstellen sollte, dass das Datenschutzniveau des beauftragten Cloud-Anbieters nicht den Anforderungen der DSGVO entspricht. Hat das Unternehmen hingegen sichergestellt, dass das Datenschutzniveau des beauftragten Cloud-Anbieters ausreichend ist, steht bei einem derartigen Vorfall der Cloud-Anbieter in der Verantwortung.
Für Unternehmen bedeutet dies: Bis Mai 2018 die Verfahrensverzeichnisse ihrer Cloud-Anbieter eingehend überprüfen und für die Zukunft regelmäßige IT-Audits einfordern, um sicherzustellen, dass die Datensicherheit fortwährend gewährleistet ist. Gegenwärtig ist allerdings anzunehmen, dass allein der erste Teil der Aufgabe eine Vielzahl der Unternehmen an ihre Grenzen bringt. Insbesondere, wenn personelle und finanzielle Ressourcen für die Einführung der DSGVO-Standards knapp sind, wird der Zeitdruck empfindlich spürbar.
Doch selbst bei fristgerechter, gewissenhafter Verifizierung des Datenschutzniveaus der Cloud-Anbieter bleibt für Unternehmen ein gewisses Restrisiko: Als Auftragsdatenverarbeiter müssen sie der Informationspflicht ihren Kunden gegenüber auch bei Datensicherheitsvorfällen nachkommen, für die der Cloud-Anbieter die Verantwortung trägt. Ein Imageschaden gegenüber den Kunden ist somit trotz aller sorgfältigen Bemühungen nicht ausgeschlossen. Ebenso besteht theoretisch die Möglichkeit, dass auf Seiten des Cloud-Anbieters sich jemand unberechtigt Zugriff auf sensible Unternehmensdaten verschafft, dies jedoch unbemerkt bleibt. Ein gewisses Maß an Unsicherheit bleibt für Cloud-Nutzer somit trotz allem bestehen.
Datenverschlüsselung: Sicherheitsvorteil und Zeitgewinn
Die Rolle als Auftragsdatenverarbeiter gewissenhaft wahrzunehmen und vollständige Kontrolle über sämtliche Daten zu behalten, ist insbesondere bei der Nutzung von Cloud-Anwendungen also gar nicht so einfach. Doch die DSGVO hält dafür sogar einen Lösungsweg bereit, wie in Artikel 34, Abs. 3a) dargelegt: „Die Benachrichtigung der betroffenen Person […] ist nicht erforderlich, wenn […] der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,“[…]. Einfach gesprochen bedeutet dies, dass die Informationspflicht gegenüber Kunden entfällt, sofern durch eine Verschlüsselungslösung sichergestellt ist, dass die Daten in der Cloud im Falle eines Verlusts oder Diebstahls nutzlos sind. Im Sinne der DSGVO hat damit kein meldepflichtiger Datenverlust stattgefunden. Weiterhin kann auch die Meldung an die Aufsichtsbehörde entfallen, da sichergestellt ist, dass „[…] die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ (Art. 33, Abs. 1)
Bei dem Verschlüsselungsverfahren sollten Unternehmen auf den höchsten Standard, derzeit AES-256 (Advanced Encryption Standard) setzen. Der Advanced Encryption Standard nutzt 256-Bit-Schlüssel für die Chiffrierung von Daten. Ein Initialisierungsvektor stellt sicher, dass bei jedem Verschlüsselungsvorgang ein neuer, zufälliger Schlüssel generiert wird. Damit in einer großen Datenmenge dauerhaft ausreichend Zufälligkeit sichergestellt ist, sollte der Initialisierungsvektor ebenso lang sein wie der Schlüssel – also ebenfalls 256 Bit.
Ein genauer Blick lohnt sich an dieser Stelle: Bei manchen Lösungen wird der Initialisierungsvektor häufig gekürzt, um die Anwendungsperformance nicht zu gefährden. Vorsicht ist auch bei der Verwaltung der Schlüssel geboten: Die Verschlüsselungsanwendung sollte dem nutzenden Unternehmen das Generieren und Verwalten von Schlüsseln ermöglichen. Damit wird dafür gesorgt, dass die Informationen zu den Schlüsseln das Unternehmen nicht verlassen. Innerhalb des Unternehmens sollte auch Schwachstellen durch Benutzer vorgebeugt werden, indem die Verwaltung der Schlüssel sowie die Zugriffsrechte in die Hände eines möglichst kleinen Personenkreises gegeben werden sollten. Mit derartigen Prinzipien ist ein Höchstmaß an Sicherheit gegeben – bei der Verwendung durch Unternehmensangehörige, der Übertragung zu und der Speicherung in der Cloud.
Der andere unbestreitbare Vorteil, den Cloud-Verschlüsselung den Unternehmen derzeit bietet, ist Zeit. Mit dem Einsatz eines zuverlässigen Verschlüsselungsverfahrens ist für Unternehmen die eingehende Überprüfung ihrer Cloud-Anbieter weniger zeitkritisch, da Datensicherheit grundsätzlich gegeben ist. Bis Mai 2018 bleibt für sie daher zunächst nur zu klären, ob ihr Cloud-Anbieter Subunternehmen nutzt, und diese gegebenenfalls in EU-Drittstaaten beheimatet sind, also Daten ins EU-Ausland übertragen werden. Sollte dies der Fall sein, muss noch rechtzeitig vor Ausführung der DSGVO das Einverständnis der Kunden eingeholt werden. Ansonsten können Unternehmen mit einer zuverlässigen Verschlüsselungslösung und einem passenden Zugriffskonzept der Cloud-Nutzung vor dem Hintergrund der DSGVO mit einer gewissen Gelassenheit entgegensehen.
Über den Autor: Eduard Meelhuysen ist Vice President Sales EMEA bei Bitglass.
:quality(80)/images.vogel.de/vogelonline/bdb/1210900/1210934/original.jpg "Am 25. Mai 2018 endet die Umsetzungsfrist für die EU-DSGVO – Deutschland will einen härteren Kurs fahren, sollte gegen Datenschutzrichtlinien verstoßen werden. (© n8aktiver - Fotolia)")
Auch Geschäftsführern und Mitarbeitern drohen Bußgelder
Umsetzungsgesetz für EU-DSGVO verschärft Haftung
(ID:44933440)
:quality(80)/images.vogel.de/vogelonline/bdb/1941600/1941628/original.jpg "EU ist Vorreiter beim Datenschutz; andere Staaten orientieren sich daran und ziehen mit eigenen Regelungen nach. (© Blue Planet Studio - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1914800/1914886/original.jpg "Für den Datentransfer in eine US-Cloud, aber auch andere außereuropäische Clouds, müssen neue Rechtsgrundlagen gesucht und gefunden werden. (© deepagopi2011 - stock.adobe.com)")