Managament , Fachartikel

Sag mir, wie sicher die Daten sind

Sag mir, wie sicher die Daten sind

Daniel Reppmann, Director Sales DACH, EE & Benelux, WinMagic

Datenschutz in der Cloud nach den Vorgaben der neuen Datenschutz-Grundverordnung + Die Cloud ist in Deutschland weiter auf dem Vormarsch. Immer mehr Unternehmen haben die Vorteile der stets verfügbaren, hochgradig skalierbaren und vor allem kostengünstigen Technologie erkannt. Bietet sie ihnen doch die Möglichkeit, schnell und einfach auf neue Rechner- und Datenspeicherressourcen zuzugreifen, ohne dafür eigene teure IT-Infrastruktur anzuschaffen.

Einer Studie der Bitkom Research GmbH im Auftrag der KPMG AG Wirtschaftsprüfungsgesellschaft zufolge versprechen sich 74 Prozent der befragten Unternehmen durch die Cloud einen besseren Zugriff auf IT-Ressourcen.  Am beliebtesten sind Private-Cloud-Dienste, dicht gefolgt von Hybrid-Cloud- und Public-Cloud-Lösungen. Doch bei aller Euphorie und dem Blick auf die Vorteile bleibt auch Skepsis. Insbesondere in Bereichen, in denen Compliance sowie das Vertrauen von Kunden und Bürgern eine große Rolle spielen, sind die Verantwortlichen weiterhin zurückhaltend. Dies betrifft beispielsweise die öffentliche Verwaltung oder den Handel.

Zögern bei der Cloud

Noch immer halten sich Sicherheitsbedenken: 60 Prozent der von Bitkom befragten Unternehmen haben Angst vor einem unberechtigten Zugriff auf sensible Unternehmensdaten, 39 Prozent befürchten einen Datenverlust. Auch die Rechtslage ist vielen Nutzern oft nicht klar (33 Prozent). Die Vorbehalte führen letztlich auch dazu, dass viele Unternehmen vor der Cloud-Nutzung zurückschrecken.

Unternehmen stehen mittlerweile einem umfangreichen Katalog an rechtlichen Vorgaben gegenüber. Man nehme nur die neue Datenschutz-Grundverordnung der EU, die im April 2016 vom EU-Parlament beschlossen wurde und bis 2018 umgesetzt werden muss. Unternehmen und Behörden bleiben also knapp zwei Jahre, um ihre Prozesse und Rahmenbedingungen für Datenverarbeitung und -speicherung entsprechend anzupassen.

Unternehmen und Behörden in der Pflicht

Die Anforderungen sind vielfältig: So müssen Unternehmen und Behörden der Verordnung zufolge alle Verletzungen des Schutzes personenbezogener Daten – sowohl böswillig als auch versehentlich – innerhalb von 72 Stunden melden und ihre Maßnahmen für Sicherheit und Datenschutz kurzfristig nachweisen. Dies bedeutet aber auch, dass die Unternehmen mitverantwortlich für den Datenschutz sind, wenn sie externe Cloud-Dienstleister für ihre Datenspeicherung nutzen.

Was auf den ersten Blick als unüberwindbares Problem erscheint, ist auf den zweiten Blick technisch und praktisch heute bereits lösbar. Der Königsweg lautet Verschlüsselung. Wenn Daten verschlüsselt sind, bleiben sie auch geschützt, wenn Angreifer alle Schutzmechanismen wie Passwörter oder Firewalls überwunden haben. Doch wie lässt sich Datensicherheit in der Cloud möglichst wasserdicht umsetzen? Die folgenden Tipps geben Antwort:

Analyse der Arbeitsabläufe: Indem sie untersuchen, wie und wo die Daten in ihrem Unternehmen oder ihrer Organisation verarbeitet und gespeichert werden, erhalten Sicherheitsverantwortliche einen besseren Überblick über die Verwendung sensibler Daten. Dabei sollten neben Festplatten auch mobile Endgeräte und Applikationen nicht vergessen werden. Denn nur wer weiß, was mit den Daten geschieht, kann sie auch schützen.

Ganzheitliche Datenschutz-Strategie: Wichtigste Basis für eine Strategie, mit der die Daten von Anfang bis Ende über ihren kompletten Lebenszyklus hinweg geschützt werden, ist eine detaillierte Statusaufnahme des gesamten Netzwerks. Dabei müssen Cloud-Provider ebenso analysiert werden wie die Technologie-Infrastruktur im eigenen Unternehmen. Es gilt insbesondere zu klären, für welche Aspekte der Netzwerksicherheit der Cloud-Anbieter verantwortlich ist und welche Bereiche unter die eigene Zuständigkeit fallen. Des Weiteren sind Risiken und Schwächen offen und ehrlich zu definieren. Die Überwachung der Datensicherheit muss kontinuierlich erfolgen.

Klassifizierung der Daten: Unternehmen müssen definieren, welche Daten am sensibelsten sind. Diese Daten (zum Beispiel Patientendaten im Healthcare-Bereich, Kontodaten im Financial-Services-Sektor oder Ausweis- und Kontaktdaten in der öffentlichen Verwaltung) werden im Sinne einer umfassenden Sicherheitsstrategie besonders stark geschützt, wobei auch Compliance-Vorgaben des jeweiligen Unternehmens und Datenschutzgesetze beachtet werden müssen. Für viele IT-Verantwortliche stellt dieser Schritt bereits eine Herausforderung dar. Denn häufig fehlt ihnen in Zeiten von „Bring Your Own Device“ und semi-offiziell eingesetzten Public-Cloud-Angeboten schlicht die Übersicht über die Klassifizierung und Speicherorte aller Daten, die ihr Unternehmen betreffen.

Vermeidung von Lücken: Die Cloud-Infrastruktur ist nur so sicher wie ihr schwächstes Glied. Trotz aller Sensibilisierung sind noch immer 50 Prozent aller Datenvorfälle auf menschliche Fehler zurückzuführen. Um dies zu vermeiden, gilt es, auch auf vermeintliche Kleinigkeiten zu achten: Hat der ausgeschiedene Mitarbeiter seine Zugangsmittel zurückgegeben? Wurden externe Zugriffsrechte annulliert? Ist sichergestellt, dass Verschlüsselungs-Keys nicht extern weitergegeben und nur von autorisierten Mitarbeitern genutzt werden dürfen? Fragen wie diese sind zu klären. Ebenso müssen Vorgaben definiert und durchgesetzt werden, die dafür sorgen, dass die Mitarbeiter umfassend in die Datenschutz-Strategie eingebunden sind.

Zentrale Verwaltung der Datensicherheit: Auf Basis einer intelligenten Verschlüsselungslösung erhält ein Unternehmen oder eine Organisation die Kontrolle über die eigenen Verschlüsselungs-Keys zurück, die im Normalfall auf Seiten der externen Cloud-Anbieter liegt, beispielsweise, wenn ein Verschlüsselungs-Key geändert werden muss. Der Status der Sicherheitsschlüssel lässt sich mithilfe von intelligenten Plattformlösungen übersichtlich anzeigen und somit schneller und flexibler verwalten. Dadurch wird gewährleistet, dass die Daten in der Cloud zuverlässig geschützt werden – unabhängig von den Compliance-Aktivitäten der externen Cloud-Anbieter.

<< Erste < Vorherige 1 2 Nächste > Letzte >>