Tipps zum Datenschutz in der Cloud

Ob Public, Private oder Hybride Cloud, personenbezogene Daten werden überall und oft unüberlegt abgelegt. Um die Datenhoheit zu gewährleisten und Compliance-Richtlinien zu erfüllen, müssen Sie deshalb einige wichtige Security-Faktoren bei der Entwicklung einer Cloud-Strategie beachten. [...]

Befinden sie sich heute noch auf dem heimischen Computer, sind sie morgen vielleicht schon in Irland oder den USA. Die Rede ist von personenbezogenen Daten. Wir hinterlassen sie überall im Internet: Wenn wir online Geschäfte abwickeln, wenn wir online Beziehungen pflegen oder wenn wir uns online vernetzen. Umso mehr stellt sich die Frage, welche Maßnahmen notwendig sind, um digitale Informationen im Internet und vor allem in der Cloud zu schützen. Regierungen entwickeln zum Thema Datenhoheit zunehmend neue Gesetze und Regulierungen. Unternehmen hingegen müssen selbst auf sichere Technologien und sichere Cloud-Anbieter achten.
Der digitale Wandel hat den Umgang mit personenbezogenen und unternehmenseigenen Daten grundlegend verändert. Der konstante Zugang zu Unternehmensinformationen von jedem Ort und zu jeder Zeit wird heute im beruflichen Alltag vorausgesetzt. Datenschutz und Datensicherheit müssen dabei stets gewährleistet sein. Um die Kontrolle über die Daten zu behalten, ist es für Unternehmen wichtig, ihre aktuelle technologische Infrastruktur und ihre Compliance-Richtlinien zu prüfen und bei Bedarf entsprechend zu optimieren. Bei der Entwicklung ihrer Cloud-Strategie sollten sie daher eine Reihe von relevanten Faktoren beachten.
Optimierung der technologischen Infrastruktur
Im Internet und in der Cloud nehmen Daten drei Stadien ein: in Benutzung (Data-in-use), in Übertragung (Data-in-motion) und im Ruhezustand (Data-at-rest). Früher haben Unternehmen die volle Datenkontrolle häufig nur mit Daten in gespeichertem Zustand, also ruhenden Daten, in Verbindung gebracht. Auch während der Übertragung wurden Sicherheitsvorkehrungen an den physischen Ort der Dateien gekoppelt.
In der Praxis ist es für einen umfassenden Datenschutz allerdings nicht mehr ausreichend, die Sicherheit der Daten von ihrem Speicherort abhängig zu machen. Unternehmen müssen das Thema Datenkontrolle aus diesem Grund vom physischen Ort ihrer Daten lösen und eine Technologie verwenden, die in der Lage ist, die Informationen in allen drei Stadien zu schützen.
IT-Lösungen, wie Customer Managed Encryption Keys, können hierbei der entscheidende Faktor sein. Digitale Dokumente lassen sich damit so komplex verschlüsseln, dass niemand deren Inhalt lesen kann. So behält das Unternehmen die vollständige Kontrolle über Dokumente. Und wird der eingesetzte Schlüssel deaktiviert, ist niemand in der Lage, die Daten zu entschlüsseln – selbst der Anbieter der Lösung nicht.
Darüber lassen sich mithilfe von Information-Rights-Management-Tools (IRM) weitere Sicherheitsvorkehrungen treffen. Dabei haben Unternehmen die Wahl, ob sie die Dateien nach einer gewissen Zeit unwiderruflich löschen oder nur für eine begrenzte Zeit zum Download bereitstellen. Eine solche IT-Lösung hilft ihnen beispielsweise auch dabei, zu bestimmen, an welchen Orten sich die Dateien öffnen lassen und ob die Dokumente mit Nutzername und IP-Adresse des Ursprungsrechners als Kopie gekennzeichnet werden sollen.
Anpassung der Compliance-Richtlinien
Neben den technologischen Maßnahmen müssen Unternehmen auch ihre Compliance-Bestimmungen ändern. Dabei müssen sie besonders berücksichtigen, dass in den einzelnen Ländern, in denen sie agieren, unter Umständen andere Bestimmungen zur Datensicherheit gelten. Denn gerade aktuelle Themen wie die General Data Protection Regulation (GDPR), die Datenschutz-Grundverordnung der Europäischen Union (EU), zeigen, dass das Thema Datenhoheit sehr komplex sein kann.
Regierungen weltweit arbeiten derzeit an strengeren Regulierungen, um die Daten unter Kontrolle zu bekommen. Hong Kong beispielsweise reformierte seine Datenschutzgesetze im Jahr 2012, wobei der Abschnitt zum internationalen Datentransfer bislang noch nicht in Kraft getreten ist. Brasilien hat den Brazilian Internet Act verabschiedet, der sich mit der Behandlung und Nutzung persönlicher Daten im Internet befasst. Nun hat die EU die GDPR eingeführt und damit die aus dem Jahr 1995 stammende Datenschutzrichtlinie der Europäischen Gemeinschaft (Richtlinie 95/46/EG10) abgelöst.
Mit der Datenschutz-Grundverordnung beabsichtigt die EU, die Regeln zur Verarbeitung von personenbezogenen Daten EU-weit zu vereinheitlichen. Sie soll sowohl für öffentliche Stellen als auch private Organisationen in 28 Ländern gelten und innerhalb eines zweijährigen Zeitraums implementiert werden. Das Ziel: personenbezogene von EU-Bürgern zu schützen. Außerdem will sie dadurch einen freien Datenverkehr innerhalb des Europäischen Marktes sicherstellen.
Derzeit bedeuten die gesetzlichen Regelungen zur Datenhoheit für Unternehmen, dass in jeder Niederlassung unter Umständen unterschiedliche Regulierungen gelten können. Diese müssen sie wiederum bei der Übertragung in andere Standorte beachten. Tritt die GDPR wie geplant 2018 in Kraft, könnte sich diese Situation für Unternehmen zumindest EU-weit vereinfachen. Verstoßen sie allerdings gegen die Datenschutz-Grundverordnung der EU und es kommt dadurch zu Sicherheitslücken, müssen sie Bußgelder zahlen, die zirka vier Prozent ihres globalen Jahresumsatzes betragen. Für manche Unternehmen könnte das zu Strafzahlungen in Milliardenhöhe führen. Viele global agierende Unternehmen werden jedoch ihr Europageschäft aufgrund der mit den Verordnungen verbundenen Kosten ganz neu bewerten müssen.
Richtige Auswahl des Cloud-Anbieters
Geschäftsinteressen und Datenschutzvorgaben aufeinander abzustimmen, erfordert große Sorgfalt und in der Regel die Unterstützung durch kompetente Partner. Unternehmen sollten daher bei der Auswahl eines Cloud-Anbieters darauf achten, dass dieser die Datenhoheitsregelungen aller Länder erfüllt, in denen das Unternehmen Geschäfte abwickelt. Angesichts dessen ergeben sich einige Punkte, die Unternehmen bei der Wahl ihres Cloud-Anbieters beachten sollten:
  • Technisch-organisatorische Maßnahmen: Unternehmen sollten genau wissen, wie Cloud-Anbieter ihre Daten schützen. Jeder Dienstleister muss sowohl technische als auch organisatorische Maßnahmen zum Schutz personenbezogener Daten umsetzen. Dazu zählt beispielsweise der Einsatz von Verschlüsselungs- und Datenmanagement-Tools.
  • Zusammenarbeit mit anderen Zulieferern: In der Regel arbeiten Cloud-Anbieter mit Zulieferern zusammen, die ihnen bei der Verarbeitung, Übertragung und Speicherung der Daten helfen. Um den Schutz ihrer Daten sicherzustellen, sollten Unternehmen zunächst wissen, um welche Partner es sich dabei handelt. Anschließend sollten sie ihre Compliance-Richtlinien so ausrichten, dass die Geschäftspartner ebenfalls die Datenschutz-Regelungen beachten und befolgen müssen.
  • Physischer Speicher- und Verarbeitungsort der Daten: Bevor Unternehmen mit der Cloud arbeiten, sollten sie sich auch mit der Frage auseinandersetzen, wo genau der Cloud-Anbieter ihre Daten physisch speichert und welche gesetzlichen Regulierungen entsprechend greifen. Werden die Daten innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet und gespeichert, dürfen die Daten diesen ohne vorab getroffene gesetzliche Vorschriften nicht verlassen. Der europäische Wirtschaftsraum umfasst Island, Norwegen, Liechtenstein sowie alle Länder der EU.
Den Datentransfer von EU-Ländern in die USA regelte bislang das Safe-Harbor-Abkommen, das Anfang Oktober vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurde. Ein europäisch-amerikanisches Datentransferabkommen, wie das kürzlich beschlossene EU-US Data Privacy Shield, könnte allerdings als Alternative die Regelung des Transfers von Daten in die USA übernehmen.
Fazit
Tag für Tag produzieren wir bewusst oder unbewusst Daten. Deren Verarbeitung und Speicherung verlagern Organisationen zunehmend in die Cloud. Sowohl Staaten als auch Unternehmen stehen daher in der Pflicht, Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Unternehmen sollten vor ihrem Einstieg in die Cloud ihre Infrastruktur zur Datenkontrolle und ihre Compliance-Richtlinien an die rechtlichen und technischen Anforderungen im internationalen Umfeld ausrichten. Der Einsatz moderner Information-Management- und Verschlüsselungssoftware sowie der richtige Cloud-Anbieter können hierbei entscheidend sein.

* Deema Freij ist Senior Vice President, stellvertretende Leiterin der Rechtsabteilung und globale Datenschutzbeauftragte bei Intralinks.

Mehr Artikel

News

Game Development Studie 2024: Knowhow aus Österreich ist weltweit gefragt

Nie zuvor hat eine so große Zahl heimischer Entwickler zum Erfolg internationaler Top-Games aber auch zur digitalen Transformation der österreichischen Wirtschaft beigetragen. Die heimischen Game Developer generieren einen gesamtwirtschaftlichen Umsatz von 188,7 Millionen Euro. Jeder Arbeitsplatz in einem Unternehmen der Spieleentwicklung sichert mehr als einen weiteren Arbeitsplatz in Österreich ab. […]

News

Kunden vertrauen Unternehmen immer weniger

Das Vertrauen von Verbraucher:innen in Unternehmen hat den niedrigsten Stand der letzten Jahre erreicht. Fast drei Viertel (72 Prozent) der Verbraucher:innen weltweit vertrauen Unternehmen weniger als noch vor einem Jahr. Als wichtigsten Grund geben 65 Prozent der Befragten in einer Umfrage von Salesforce an, dass Unternehmen leichtfertig mit den Daten ihrer Kund:innen umgehen. […]

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*