Studie von COMPUTERWOCHE und CIO

Die Cloud Security transformiert sich

30.04.2019
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

Cloud-Sicherheit muss sich verändern

Der Datenschutz hat durch die DSGVO eine neue, hohe Aufmerksamkeit erlangt. Das hat Auswirkungen auch auf die Cloud Security.

Unter den Anforderungen der DSGVO findet sich auch die Sicherheit der Verarbeitung personenbezogener Daten. So fordert die DSGVO, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung, durch geeignete technische und organisatorische Maßnahmen.

Konkret werden als Maßnahmen für die Datensicherheit genannt:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten,

  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,

  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen und

  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Die Auswahl der Sicherheitsmaßnahmen hat zu erfolgen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, so die EU-Verordnung.

Damit werden die hohen Datenschutzanforderungen auch zum Maßstab für die Cloud Security, auf Seiten des Anwenderunternehmens wie auf Seiten des Cloud-Providers.

Jetzt Studie "Cloud Security 2019" herunterladen

Transparenz und Prüfbarkeit

Die Maßnahmen, mit denen ein angemessenes Niveau für Datenschutz und Datensicherheit in der Cloud gewährleistet werden sollen, müssen von den Anbietern garantiert und von den Anwendern überprüft werden.

Dies setzt voraus, dass die Cloud-Sicherheit transparent und nachprüfbar ist. Dies führt ebenfalls dazu, dass Cloud-Risiken genauer betrachtet und neu bewertet werden müssen. Entsprechend werden dann auch solche Maßnahmen für die Cloud Security ergriffen, die bislang nicht zum Standard gehörten, weder für den Cloud-Nutzer noch für den Cloud-Anbieter.

"Pro" Cloud Services sprechen laut Studie vor allem eine standardisierte IT und eine orts-, gerät- und ressourcenunabhängige Nutzung. "Contra" besonders Sicherheitsbedenken und Datenschutzgründe. Besondes interessant: Die beiden meistgenannten "Contra"-Argumente werden auch auf der "Pro"-Seite mit am meisten genannt.
"Pro" Cloud Services sprechen laut Studie vor allem eine standardisierte IT und eine orts-, gerät- und ressourcenunabhängige Nutzung. "Contra" besonders Sicherheitsbedenken und Datenschutzgründe. Besondes interessant: Die beiden meistgenannten "Contra"-Argumente werden auch auf der "Pro"-Seite mit am meisten genannt.
Foto: IDG Research Services / Jutta Weber-Vidal, www.erdenbuerger.de

Insgesamt 28 Prozent der befragten Unternehmen planen in den nächsten zwölf Monaten den Einsatz von Cloud-Services oder sie prüfen es zumindest intern. Diese Planungen und Prüfungen stehen unter dem Einfluss der Datenschutz-Grundverordnung. Deshalb ist zu erwarten, dass die risikoorientierte Auswahl von Sicherheitsmaßnahmen, wie sie die DSGVO vorschreibt, die Konzeption der Cloud Security verändert.

Die Pflicht, die Datenschutzfolgen bei neuen Technologien wie den Cloud-Services zu bestimmen, wird dazu führen, bislang zu wenig gesehene Cloud-Risiken stärker zu beachten und entsprechende Gegenmaßnahmen zu ergreifen.

Die Veränderungen im Datenschutzrecht werden die Cloud-Sicherheit transformieren, neben den technologischen Veränderungen durch die digitale Transformation. Diese Auswirkungen des Datenschutzes werden umso stärker in der Cloud-Sicherheit spürbar werden, wie es zu einer Sanktionierung von Datenschutzverletzungen bei Cloud-Services kommt. Hier sind in den nächsten zwölf Monaten wichtige Entwicklungen zu erwarten.

Das allgemeine Sicherheitsempfinden bezüglich der verschiedenen Cloud-Umgebungen zeigt vor allem, dass die Akzeptanz von (Public-)Cloud-Modellen in den Unternehmen durchaus vorhanden ist.
Das allgemeine Sicherheitsempfinden bezüglich der verschiedenen Cloud-Umgebungen zeigt vor allem, dass die Akzeptanz von (Public-)Cloud-Modellen in den Unternehmen durchaus vorhanden ist.
Foto: IDG Research Services / Jutta Weber-Vidal, www.erdenbuerger.de

Studiensteckbrief

Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner

Studienpartner: Cisco Systems GmbH (Platin-Partner), A1 Digital (Platin-Partner), Micro Focus GmbH (Gold-Partner), NTT Security Germany GmbH (Silber-Partner), genua GmbH, securEnvoy GmbH (Bronze-Partner)

Grundgesamtheit: Oberste (IT-) Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und den Fachbereichen (LoBs), IT-Entscheider & IT-Spezialisten aus dem IT-Bereich

Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media. Persönliche E-Mail-Einladungen zur Umfrage.

Gesamtstichprobe: 351 abgeschlossene und qualifizierte Interviews

Untersuchungszeitraum: 22. bis 28. Januar 2019

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern

Durchführung: IDG Research Services