Compliance in der Cloud: Datenschutz und Security
Für kleine Unternehmen oder Start-ups ist der Sprung in die Cloud kein Problem, denn sie bekommen eine sofort einsatzbereite Cloud-Infrastruktur und können loslegen. Die Geschäftstransformation für größere Unternehmen scheint weitaus komplizierter zu sein. Das ist ein wesentlicher organisatorischer Störfaktor auf dem Weg zur Cloud-Migration. Die Neudefinition und Standardisierung jedes Geschäftsprozesses zur Anpassung an die Cloud-Umgebung sind kostspielig. Doch sobald Sie diese Phasen überstanden haben, ist Ihr organisatorischer Albtraum vorbei.
Dauernde Probleme bereitet der Übergang vom Modell der alleinigen Verantwortung zum Modell der geteilten Verantwortung. Er führt zur verteilten Kontrolle über die Cloud-Sicherheit und die Cloud-Compliance-Prozesse. Hinzu kommen noch fremde und externe Risiken. Die Gesamtheit dieser Faktoren bildet das sogenannte „Cloud-Rätsel“.
Nachfolgend fassen wir die Herausforderungen und Ansätze auf dem Weg zur Cloud-Compliance zusammen.
Anfängerprobleme bei der Security-Compliance in der Cloud
Eine Migration in die Cloud ohne Vorerfahrungen ist möglicherweise keine angenehme Reise. Sie werden mit den Problemen konfrontiert, die Sie noch nie hatten. Eine klare Übersicht über die Fallstricke vereinfacht Ihren Weg zur Cloud-Compliance.
Dies sind die Herausforderungen, die sich Organisationen nach dem Gang in die Cloud stellen:
- Prozesskonsistenz. Ihr ganzer Betrieb landet schließlich in der Cloud. Die Compliance-Funktionen und -Prozesse sind in Ihren Cloud-Systemen implementiert. Stellen Sie sicher, dass keine Fehlfunktionen oder Abweichungen vorliegen.
- Mehr Bedrohungen. Das Risiko für neue Gefährdungen wird zunehmen. Ebenso wie die Belastung durch die Einhaltung der Cloud-Sicherheitsbestimmungen. Die zunehmende Mobilität der Belegschaft einer Organisation trägt zu dieser Schwierigkeit bei. Die mobilen Geräte der Mitarbeiter, die mit externen Netzwerken verbunden werden und außerhalb Ihres Kontrollbereichs liegen, bieten den Hackern mehr Angriffsfläche.
- Sichtbarkeit der Daten. Die regulatorischen Anforderungen an die Kontrolle der Datenspeicherung wachsen ständig. Seien Sie bereit, sich einer neuen Realität zu stellen: Ihre kritischen Daten befinden sich nicht mehr an einem sicheren Ort, sondern sind auf Mobilgeräte, Cloud-Apps und Dienste verteilt. Willkommen in der Ära des Edge-Computing! Den Überblick über Ihre Unternehmensdaten zu behalten, wird zu einer ziemlichen Herausforderung.
Compliance durch aufgeteilte Verantwortung
Diverse Cloud-Anbieter stärken die Sicherheit und Compliance ihrer Lösungen. Cloud-basierte Technologien umfassen jetzt die Verschlüsselung, Token-Anwendung, Multi-Faktor-Authentifizierung usw. und unterstützen die Compliance bei der Cloud-Sicherheit.
Die Vorstellung, Compliance in der Cloud sei etwas Vorgefertigtes und Selbstverständliches, ist weit verbreitet, doch leider falsch. Dadurch mögen Einige denken, es gäbe nichts, worüber man sich Sorgen machen müsste. Denn die Datensicherheit und die Einhaltung gesetzlicher Bestimmungen würde ja in der alleinigen Verantwortung des Cloud-Anbieters liegen. Das stimmt so nicht. Man tappt in die „Cloud-Compliance-Falle“.
Die Übergabe Ihrer Daten bedeutet nicht die Übergabe Ihrer gesamten Verantwortung. Die Verantwortung für die Einhaltung Ihrer Cloud-Sicherheitsbestimmungen ist mittlerweile zwischen mehreren Parteien aufgeteilt.
Es gilt herauszufinden, wie diese Aufteilung in Ihrem Einzelfall funktioniert. Je nachdem, wie weit Sie in den Cloud-Stack gelangen, können verschiedene Sicherheitsebenen integriert werden. Beispielsweise weist eine SaaS-Anwendung eine Stufe für die Sicherheits-Compliance auf. Jede Cloud-Infrastruktur und -Plattform bietet Ihnen ihre eigenen Ebenen:
- Cloud-App-Ebene;
- Infrastrukturebene;
- Plattformebene.
Warum sollten Sie auch an das Risiko von einer vierten Partei denken?
Wir leben in einer Welt wachsender gegenseitiger Abhängigkeiten. Wir sind verantwortlich für die Kontrolle über die kritischen Daten, die wir unseren Lieferanten anvertrauen. Die Überwachung der Risiken von Drittparteien ist obligatorisch und stets Bestandteil der Risikomanagementprogramme.
Die vierte Partei sind Lieferanten oder Subunternehmer Ihrer Lieferanten. Es ist wichtig, diesen ebenfalls besondere Beachtung zu schenken. Stellen Sie sich vor, dass die Hälfte Ihrer 50 Lieferanten auf jeweils ein Dutzend anderer kritischer Anbieter angewiesen ist. Das Risiko nimmt dramatisch zu. Der Lieferant Ihrer Wahl kann einem schweren Angriff zum Opfer fallen. Das Ausliefern Ihrer sensiblen Daten an böse Jungs kann katastrophale Folgen haben.
Wichtige Fragen zu Compliance und Cloud-Anwendungen
Ist in Ihren Betriebsabläufen die Ausführung mehrerer Cloud-basierter Apps vorgesehen? Vor ihrer Bereitstellung sind einige Dinge zu bedenken.
Als Erstes geht es um die richtige Auswahl:
- Wählen Sie Anwendungen aus, die zu Ihrer Cloud-Compliance beitragen, ohne dass Sie einem höheren Risiko ausgesetzt sind.
- Fragen Sie Ihren Cloud-App-Anbieter, ob irgendwelche Probleme bei der Integration zu erwarten sind.
- Besprechen Sie die Details mit Ihrem Cloud-Anbieter.
- Lassen Sie sich von Compliance- und Sicherheitsexperten zu potenziellen Bedrohungen und Schwachstellen beraten. Einige Sicherheitslücken können inhärent sein. Andere tauchen auf, während Cloud-basierte Apps in Ihr Netzwerk integriert werden.
Hinweise zur AWS-Cloud-Compliance und zur Google-Cloud-Compliance können voneinander abweichen.
Ein weiterer Punkt, den Sie im Hinterkopf behalten sollten, heißt Electronic Discovery oder E-Discovery. Dabei geht es um die Verfügbarkeit von Informationen in verschiedenen elektronischen Formaten, damit diese als Beweismittel in Gerichtsverfahren eingesetzt werden können.
Sie können aber auch andere öffentliche und private Cloud-Anbieter in Betracht ziehen.
Wenn Sie Überlegungen zur Compliance und Sicherheit in der Cloud anstellen, sollten Sie folgende Fragen formulieren:
- Wie sicher sind meine 1) Apps, 2) Services und 3) untermauernden Ressourcen für die Cloud?
- In welchen 1) Ländern, 2) Staaten oder Gebieten und 3) Rechenzentren an bestimmten Standorten werden sich meine Daten befinden?
- Welche konkreten Entitäten werden Zugriff auf meine Daten haben?
- Wie lange ist meine Organisation verpflichtet, die Daten zu speichern?
- Werden meine Daten für E-Discovery optimiert?
- Wie werden die Anfragen der betroffenen Personen bearbeitet?
Ein paar Tipps für Ihre Cloud- Compliance
Bereiten Sie sich auf weitere Herausforderungen vor, wenn Sie sich für mehrere Clouds entscheiden. Denn einige Schwierigkeiten sind für öffentliche, andere für hybride und private Clouds spezifisch. Mit mehr als einer Cloud-Umgebung multiplizieren sich Ihre betrieblichen, administrativen und behördlichen Angelegenheiten.
Wir haben zwei nützliche Tipps für Sie, damit Sie Ihre Datensicherheit in der Cloud verbessern können.
Beschränken Sie personenbezogene Daten auf eine eingegrenzte geografische Region:
- Trennen Sie persönliche Daten von anderen Daten und schränken Sie die Verarbeitung ein. Auf diese Weise wird das Risiko der fehlenden Konformität minimiert.
- Geben Sie den tatsächlichen Standort der Rechenzentren an, in denen Ihre Daten aktuell gespeichert und verarbeitet werden. Konfigurieren Sie Ihr Informationssystem so, dass der Umgang mit personenbezogenen Daten auf ein bestimmtes Gebiet beschränkt ist. Er kann somit nur die EU, ein bestimmtes Land oder einen US-Bundesstaat betreffen.
Allerdings ist das nicht immer möglich. Öffentliche Cloud-Anbieter speichern Daten an den Standorten, die sie für geeignet halten. Das System dupliziert und verteilt die Daten zwischen vielen Rechenzentren. Daher ist es zu jedem Zeitpunkt ein Problem, zu wissen, wo Ihre Daten gespeichert sind.
Verschlüsseln Sie Ihre Daten
Wir empfehlen eine clientbasierte Verschlüsselung, bei der das Risiko minimiert wird, dass Daten kompromittiert oder gestohlen werden oder verloren gehen. Das Problem der Datensichtbarkeit wird zwar nicht behoben, doch das Risiko, dass Hacker während der Übertragung Daten abfangen, wird gemieden.
Außerdem: Hosten Sie Ihre Cloud-Ressourcen nur bei vertrauenswürdigen Anbietern mit nachgewiesenen klaren Richtlinien zur Geolokalisierung von Daten.
Schlussbemerkungen
Kein Cloud-Vertrag wird Sie von Ihrer Compliance-Verantwortung befreien können. Sie können sie nicht outsourcen und ruhig schlafen, ohne sich zu 100% der absoluten Zuverlässigkeit Ihrer Cloud-Anbieter sicher zu sein.
Gehen Sie in Ruhe ihrer Sorgfaltspflicht nach. Stellen Sie sicher, dass Ihre Cloud-Anbieter die gültigen Compliance- und Sicherheitsanforderungen gemäß ISO/IEC 27017:2015 erfüllen.
Aus der Sicht der DSGVO ist die Einhaltung verbindlicher Standards eine solidarische Verantwortung. Dies bedeutet, dass ein für die Verarbeitung personenbezogener Daten Verantwortlicher vollständig und gleichermaßen für einen Verstoß haftet, der durch ein Verschulden seiner Datenverarbeiter, d. h. Cloud-Anbieter, verursacht wurde.
Weitere Informationen zur Cloud-Sicherheit und zur Einhaltung von Datenschutzbestimmungen sowie zu den bestehenden Herausforderungen und Lösungen erhalten Sie gerne von Infopulse-Experten. Füllen Sie das untenstehende Formular aus und fordern Sie Ihre persönliche Demo an, um das Eintauchen in die Thematik noch intensiver zu erleben.
Kostenfreies Konto
Kontaktieren Sie uns, um einen unverbindlichen Testzugang zu erhalten
Effective and easy-to-use IT security management system based on the latest standards and regulations — from planning and establishing the security concept to certification.