Die Nutzung von Cloud-Diensten schreitet voran, wie einschlägige Zahlen belegen. So liegen die weltweiten Ausgaben für Cloud-Strukturen auf Unternehmensseite im Jahresvergleich mittlerweile um etwa 30 Prozent höher. Diese sich verändernde IT-Ausgangssituation muss natürlich auch im Hinblick auf Compliance-Vorgaben berücksichtigt werden: Hier sind Anpassungen erforderlich, um der Datensicherheit gezielt Rechnung zu tragen.
Cloud-Compliance subsummiert eine Reihe von Verfahren und Praktiken, die sicherstellen, dass eine Cloud-Umgebung die jeweils erforderlichen, spezifischen Sicherheits- und Datenschutzstandards erfüllt. Die Rahmenbedingungen, die im individuellen Einzelfall eines Unternehmens zu beachten sind, werden von verschiedensten Faktoren bestimmt, beispielsweise dem rechtlichen Aktionsbereich der Organisation, der Branche oder der Anzahl der Cloud-Nutzer.
Wichtige Vorschriften und ihre Auswirkungen auf die Cloud-Infrastruktur
PCI DSS
Der „Payment Card Industry Data Security Standard“ gilt vor allem für Unternehmen des Handels, die die Daten von Kredit- und anderen Zahlungskarten in der Cloud speichern bzw. verarbeiten.
Das Regelwerk für den Zahlungsverkehr sieht unter anderem den Einsatz und die einschlägige Konfiguration einer Firewall zum Schutz von Daten in der Cloud vor. Dazu gehört auch die Gewährleistung von Zugriffssicherheit. Es kommt gegebenenfalls darauf an, die auf Anbieterseite geforderten Prozesse rund um Systempasswörter und Sicherheitseinstellungen für die Cloud zu adaptieren. Gleichzeitig geht es um den Schutz der hinterlegten Daten zum Karteninhaber und die verschlüsselte Übertragung solcher Informationen in frei zugänglichen, öffentlichen Netzen. Alle Zugriffe auf die zugrundeliegenden Netzwerkressourcen und Daten müssen zudem konsequent erfasst und überwacht werden.
Unternehmen, die die cloudspezifischen PCI DSS-Richtlinien nicht einhalten, laufen Gefahr, Zahlungskartentransaktionen künftig nicht mehr durchführen zu können.
HIPAA
Die Verordnung der US-amerikanischen Gesundheitsbehörde (Department of Health and Human Services – HHS) zielt auf Organisationen ab, die personenbezogene Gesundheitsdaten verarbeiten. Das Gesetz umfasst Datenschutz- und Sicherheitsvorschriften zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Gesundheitsinformationen (electronically protected health information – e-PHI). Es handelt sich hierbei um eine nationale Verordnung, wobei in anderen Ländern vergleichbare Regelungen – mehr oder weniger gesetzlich bindend – gelten. So hat beispielsweise auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) im vergangenen Jahr Technische Richtlinien veröffentlicht, die zu mehr Datenschutz im Gesundheitswesen beitragen sollen.
Nun aber zurück zum konkreten Fall des Health Insurance Portability and Accountability Acts (HIPAA): In dem Zusammenhang gelten vier spezifische Anforderungen bezüglich der Datenhaltung. Erstens muss die Vertraulichkeit, Integrität und Verfügbarkeit von e-PHI durch Verschlüsselung, Passwortschutz und andere Schutzmaßnahmen gewährleistet werden. Zweitens ist es eine Vorgabe, grundsätzlich absehbare Bedrohungen durch regelmäßige Überwachung und Risikoanalyse zu erkennen und abzuwehren. Drittens geht es um den Schutz vor unbefugter Verwendung oder Offenlegung, etwa mithilfe von Computersicherheitsprotokollen, IAM (Identity Access Management), physischen Zugriffsbeschränkungen und wiederkehrenden Audits interner Prozesse. Last but not least muss durch regelmäßige Schulungen sichergestellt werden, dass alle Beteiligten die Vorschriften einhalten.
DSGVO
Die Datenschutz-Grundverordnung (DSGVO) ist eines der weltweit strengsten Datenschutzgesetze mit der weitreichendsten Durchsetzungskraft. Zentrales Ziel ist der Schutz der personenbezogenen Daten von Unternehmen und Einzelpersonen in der Europäischen Union (EU).
Die DSGVO setzt unterschiedlichste Datenschutzvorkehrungen voraus – beispielsweise im Hinblick auf die Protokollierung der Verarbeitung und die Verschlüsselung personenbezogener Informationen, sowohl bei gespeicherten als auch übermittelten Daten.
Welche Lösungen benötigen Unternehmen, um die Vorschriften einzuhalten?
In den meisten Compliance-Regelwerken sind die Vorgaben relativ unkonkret beschrieben. Wie können Unternehmen also sicher sein, dass ihre Daten in der Cloud geschützt sind und sie die verschiedenen für sie geltenden Vorschriften einhalten? Ihre Aufgabe ist es, IT-Sicherheitslösungen zu integrieren, die ihre Cloud-Umgebungen und die Daten ihrer Kunden bestmöglich schützen. Folgende Aspekte sind in dem Zusammenhang entscheidend:
- Multifaktor-Authentifizierung (MFA): Eine MFA-Lösung ist für alle drei oben genannten Compliance-Frameworks relevant und inzwischen ein Muss für jedes Unternehmen, dass sich beim Datenzugriff nicht auf dünnes Eis begeben möchte. Eine kürzlich durchgeführte Pulse-Umfrage ergab, dass 76 Prozent der Befragten eine Cloud-Integration von MFA als Mittel der Wahl sehen, um Compliance-Vorgaben nachhaltig zu erfüllen.
- Visualisierung: Eine weitere Anforderung, die sich in allen Vorschriften wiederfindet, ist die Notwendigkeit der Visualisierung und Überwachung der Cloud-Umgebung. Das bedeutet, dass eine Lösung eingesetzt werden muss, die effektive Echtzeitberichte liefert. So haben Unternehmen wirklich die Kontrolle über die gespeicherten Daten ihrer Kunden.
- Cloud-Firewall: Der Einsatz der entsprechenden Technologie ist essenziell, um die Anforderungen der HIPAA- und DSGVO-Regelwerke zu erfüllen. Unternehmen sollten darauf achten, dass dabei sowohl gespeicherte als auch übermittelte Daten verschlüsselt werden und sich potenzielle Malware-Angriffe konsequent abwehren lassen.
- WLAN: Im Fall von HIPAA und PCI DSS kommt es nicht zuletzt darauf an, auch WLAN-Strukturen – beispielsweise in Krankenhäusern oder Geschäften – jederzeit abzusichern, denn auch diese können Hackern einen Netzwerkzugang verschaffen. Sind Cyberkriminelle einmal in die Unternehmenssphäre vorgedrungen, können sie sich seitwärts dem eigentlichen Ziel nähern und Cloud-Strukturen, in denen sich zu schützende Daten befinden, ins Visier nehmen.
Die Einhaltung der gesetzlichen Vorschriften ist für Unternehmen von entscheidender Bedeutung. Nur so können sie ihre Geschäfte reibungslos führen. Mit dem Einsatz der richtigen Lösungen ist es ihnen möglich, die Vorteile der Cloud zu nutzen und hinsichtlich der jeweils geltenden Vorgaben stets auf der sicheren Seite zu bleiben. Zudem müssen sie sich keine Sorgen machen, das Hackerangriffe zu finanziellen Verlusten und Rufschädigung führen.
Autor: Paul Moll