5 Tipps für DSGVO-konformen Datenschutz in der Cloud

Ab 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (DSGVO) verbindlich - doch die Umsetzung der neuen Regularien stellt Unternehmen vor große Herausforderungen. Insbesondere für den Datenschutz in der Cloud sind besondere Maßnahmen nötig. Hier kommen fünf Tipps, wie ein Cloud Access Security Broker (CASB) dabei helfen kann. [...]

Daniel Wolf ist Regional Director DACH bei Skyhigh Networks. (c) Skyhigh Networks
Daniel Wolf ist Regional Director DACH bei Skyhigh Networks. (c) Skyhigh Networks

Datenschutzverletzungen sind kein Kavaliersdelikt. Unter der DSGVO drohen Unternehmen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Dazu kommt der hohe Schaden durch Reputationsverlust. Laut Paragraph 24 der DSGVO sind Unternehmen in der Pflicht, „geeignete technische und organisatorische Maßnahmen“ zu ergreifen, um sicherzustellen und nachzuweisen, dass sie die Regularien einhalten. Wie aber können diese Maßnahmen aussehen?

Gerade in der Cloud ist es schwer, die Kontrolle darüber zu behalten, was mit sensiblen Daten passiert. Dabei helfen Cloud Access Security Broker (CASB): Sicherheitssysteme, die speziell für die Anforderungen von Datenschutz und -sicherheit in der Cloud entwickelt wurden. Hier sind die fünf wichtigsten Cloud-Sicherheits-Tipps im Hinblick auf die DSGVO:

1. Blockieren Sie gefährliche Cloud-Services
Nur etwa sechs Prozent der gängigen rund 20.000 Cloud-Services entsprechen den strengen Kriterien der DSGVO. Das ergab eine aktuelle Studie das Cloud-Sicherheits-Anbieters Skyhigh Networks. Unternehmen sollten daher darauf achten, dass Mitarbeiter nur solche Dienste nutzen, die kein Risiko darstellen. Häufig hat die IT-Abteilung jedoch gar keinen Überblick darüber, welche Cloud-Services überhaupt im Unternehmen im Einsatz sind. Ein CASB kann diese Schatten-IT ans Licht bringen. Dafür analysiert er die Log-Dateien von Proxies und Firewalls oder bezieht diese direkt aus einem bestehenden Security Information and Event Mangement (SIEM). Die identifizierten Cloud-Services bewertet der CASB hinsichtlich ihrer Sicherheit und ihrer DSGVO-Konformität. Dabei spielt zum Beispiel eine Rolle, wo der Cloud-Dienst gehostet ist oder welche Privacy Policy er hat. Basierend auf der Risikobewertung kann der CASB automatisiert Richtlinien umsetzen, etwa gefährliche Dienste blockieren oder Anwender auf alternative, sichere Angebote umleiten.

2. Setzen Sie DLP-Richtlinien für die Cloud um
Viele Unternehmen haben für ihre On-Premises-Systeme bereits Lösungen zur Data Loss Prevention (DLP) installiert. Sie dienen dazu, sensible Daten zu identifizieren und anhand von Policies automatisiert Schutzmaßnahmen zu ergreifen. Das hilft dabei zu verhindern, dass Daten in falsche Hände gelangen. Ein CASB kann DLP-Richtlinien auch für die Cloud umsetzen. Diese lassen sich entweder direkt im CASB definieren oder von einer bestehenden DLP-Lösung übernehmen. Policies können zum Beispiel den Upload von personenbezogenen Daten in die Cloud blockieren oder sie vor dem Hochladen automatisiert verschlüsseln. Wichtig dabei ist: Die DLP-Richtlinien müssen sowohl für Daten in Bewegung wirksam sein, also beim Hoch- oder Herunterladen, als auch für Daten, die bereits in der Cloud liegen oder originär dort erstellt wurden. Für Letzteres muss sich der CASB per API an den Cloud-Service anbinden lassen.

3. Verschlüsseln Sie sensible Daten
Verschlüsselung wird in Artikel 32 der DSGVO explizit als geeignete Maßnahme für den Datenschutz genannt. Darüber hinaus bietet sie auch einen Vorteil bei der Meldepflicht. Laut Artikel 34 müssen Unternehmen künftig bei einer Datenschutzverletzung die betroffene Person verständigen, sofern ein hohes Risiko für sie besteht. Waren die Daten verschlüsselt, ist das jedoch nicht erforderlich. Dadurch sparen sich Unternehmen viel Aufwand. Ein CASB kann sensible Daten automatisiert vor dem Upload in die Cloud verschlüsseln. Im API-Modus ist auch eine nachträgliche Verschlüsselung bei bereits in der Cloud ruhenden, personenbezogenen Daten möglich.

4. Kontrollieren Sie den Datenfluss
Unter der neuen DSGVO gilt eine strengere Meldepflicht. Laut Artikel 33 müssen Unternehmen Sicherheitsvorfälle mit Datenschutzverletzung künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Ohnehin ist klar: Je schneller Vorfälle identifiziert werden, desto besser lässt sich der Schaden begrenzen. Wenn der Datenfluss in die und aus der Cloud kontrolliert wird, lassen sich Auffälligkeiten zeitnah erkennen. Bei verdächtigen Verhaltensmustern schlägt der CASB Alarm, etwa wenn ein Nutzer außergewöhnlich große Datenmengen herunterlädt.

5. Loggen Sie alle Cloud-Aktivitäten mit
Mit der Meldepflicht geht auch einher, dass Unternehmen datenschutzbezogene Sicherheitsvorfälle und die ergriffenen Maßnahmen genau dokumentieren müssen. Ein CASB ermöglicht dies, indem er alle Cloud-Aktivitäten mitloggt. So entsteht ein kompletter Audit-Trail, anhand dessen sich sämtliche Vorgänge nachvollziehen lassen. Außerdem sind  Unternehmen damit in der Lage, das Ausmaß des Schadens und seine Folgen besser abzuschätzen.

Fazit
Eine Technologie alleine reicht nie aus, um alle Anforderungen der DSGVO abzudecken. Gefragt ist vielmehr ein Sicherheitskonzept, das technische und organisatorische Maßnahmen umfasst, die auf die Bedürfnisse des Unternehmens und seine Risiken abgestimmt sind. Ein CASB ist dabei ein wichtiger Baustein. Er arbeitet nahtlos mit bestehenden Sicherheitssystemen wie SIEM, Proxies und Firewalls zusammen und ergänzt diese um wichtige Funktionen für den Datenschutz in der Cloud. So kommen Unternehmen der Umsetzung der DSGVO ein gutes Stück näher.
*Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*