Ab 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (DSGVO) verbindlich - doch die Umsetzung der neuen Regularien stellt Unternehmen vor große Herausforderungen. Insbesondere für den Datenschutz in der Cloud sind besondere Maßnahmen nötig. Hier kommen fünf Tipps, wie ein Cloud Access Security Broker (CASB) dabei helfen kann. [...]
Datenschutzverletzungen sind kein Kavaliersdelikt. Unter der DSGVO drohen Unternehmen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Dazu kommt der hohe Schaden durch Reputationsverlust. Laut Paragraph 24 der DSGVO sind Unternehmen in der Pflicht, „geeignete technische und organisatorische Maßnahmen“ zu ergreifen, um sicherzustellen und nachzuweisen, dass sie die Regularien einhalten. Wie aber können diese Maßnahmen aussehen?
Gerade in der Cloud ist es schwer, die Kontrolle darüber zu behalten, was mit sensiblen Daten passiert. Dabei helfen Cloud Access Security Broker (CASB): Sicherheitssysteme, die speziell für die Anforderungen von Datenschutz und -sicherheit in der Cloud entwickelt wurden. Hier sind die fünf wichtigsten Cloud-Sicherheits-Tipps im Hinblick auf die DSGVO:
1. Blockieren Sie gefährliche Cloud-Services
Nur etwa sechs Prozent der gängigen rund 20.000 Cloud-Services entsprechen den strengen Kriterien der DSGVO. Das ergab eine aktuelle Studie das Cloud-Sicherheits-Anbieters Skyhigh Networks. Unternehmen sollten daher darauf achten, dass Mitarbeiter nur solche Dienste nutzen, die kein Risiko darstellen. Häufig hat die IT-Abteilung jedoch gar keinen Überblick darüber, welche Cloud-Services überhaupt im Unternehmen im Einsatz sind. Ein CASB kann diese Schatten-IT ans Licht bringen. Dafür analysiert er die Log-Dateien von Proxies und Firewalls oder bezieht diese direkt aus einem bestehenden Security Information and Event Mangement (SIEM). Die identifizierten Cloud-Services bewertet der CASB hinsichtlich ihrer Sicherheit und ihrer DSGVO-Konformität. Dabei spielt zum Beispiel eine Rolle, wo der Cloud-Dienst gehostet ist oder welche Privacy Policy er hat. Basierend auf der Risikobewertung kann der CASB automatisiert Richtlinien umsetzen, etwa gefährliche Dienste blockieren oder Anwender auf alternative, sichere Angebote umleiten.
2. Setzen Sie DLP-Richtlinien für die Cloud um
Viele Unternehmen haben für ihre On-Premises-Systeme bereits Lösungen zur Data Loss Prevention (DLP) installiert. Sie dienen dazu, sensible Daten zu identifizieren und anhand von Policies automatisiert Schutzmaßnahmen zu ergreifen. Das hilft dabei zu verhindern, dass Daten in falsche Hände gelangen. Ein CASB kann DLP-Richtlinien auch für die Cloud umsetzen. Diese lassen sich entweder direkt im CASB definieren oder von einer bestehenden DLP-Lösung übernehmen. Policies können zum Beispiel den Upload von personenbezogenen Daten in die Cloud blockieren oder sie vor dem Hochladen automatisiert verschlüsseln. Wichtig dabei ist: Die DLP-Richtlinien müssen sowohl für Daten in Bewegung wirksam sein, also beim Hoch- oder Herunterladen, als auch für Daten, die bereits in der Cloud liegen oder originär dort erstellt wurden. Für Letzteres muss sich der CASB per API an den Cloud-Service anbinden lassen.
3. Verschlüsseln Sie sensible Daten
Verschlüsselung wird in Artikel 32 der DSGVO explizit als geeignete Maßnahme für den Datenschutz genannt. Darüber hinaus bietet sie auch einen Vorteil bei der Meldepflicht. Laut Artikel 34 müssen Unternehmen künftig bei einer Datenschutzverletzung die betroffene Person verständigen, sofern ein hohes Risiko für sie besteht. Waren die Daten verschlüsselt, ist das jedoch nicht erforderlich. Dadurch sparen sich Unternehmen viel Aufwand. Ein CASB kann sensible Daten automatisiert vor dem Upload in die Cloud verschlüsseln. Im API-Modus ist auch eine nachträgliche Verschlüsselung bei bereits in der Cloud ruhenden, personenbezogenen Daten möglich.
4. Kontrollieren Sie den Datenfluss
Unter der neuen DSGVO gilt eine strengere Meldepflicht. Laut Artikel 33 müssen Unternehmen Sicherheitsvorfälle mit Datenschutzverletzung künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Ohnehin ist klar: Je schneller Vorfälle identifiziert werden, desto besser lässt sich der Schaden begrenzen. Wenn der Datenfluss in die und aus der Cloud kontrolliert wird, lassen sich Auffälligkeiten zeitnah erkennen. Bei verdächtigen Verhaltensmustern schlägt der CASB Alarm, etwa wenn ein Nutzer außergewöhnlich große Datenmengen herunterlädt.
5. Loggen Sie alle Cloud-Aktivitäten mit
Mit der Meldepflicht geht auch einher, dass Unternehmen datenschutzbezogene Sicherheitsvorfälle und die ergriffenen Maßnahmen genau dokumentieren müssen. Ein CASB ermöglicht dies, indem er alle Cloud-Aktivitäten mitloggt. So entsteht ein kompletter Audit-Trail, anhand dessen sich sämtliche Vorgänge nachvollziehen lassen. Außerdem sind Unternehmen damit in der Lage, das Ausmaß des Schadens und seine Folgen besser abzuschätzen.
Fazit
Eine Technologie alleine reicht nie aus, um alle Anforderungen der DSGVO abzudecken. Gefragt ist vielmehr ein Sicherheitskonzept, das technische und organisatorische Maßnahmen umfasst, die auf die Bedürfnisse des Unternehmens und seine Risiken abgestimmt sind. Ein CASB ist dabei ein wichtiger Baustein. Er arbeitet nahtlos mit bestehenden Sicherheitssystemen wie SIEM, Proxies und Firewalls zusammen und ergänzt diese um wichtige Funktionen für den Datenschutz in der Cloud. So kommen Unternehmen der Umsetzung der DSGVO ein gutes Stück näher.
*Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.
Be the first to comment