Cloud-Sicherheit muss sich verändern
Der Datenschutz hat durch die DSGVO eine neue, hohe Aufmerksamkeit erlangt. Das hat Auswirkungen auch auf die Cloud Security.
Unter den Anforderungen der DSGVO findet sich auch die Sicherheit der Verarbeitung personenbezogener Daten. So fordert die DSGVO, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung, durch geeignete technische und organisatorische Maßnahmen.
Konkret werden als Maßnahmen für die Datensicherheit genannt:
die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen und
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Die Auswahl der Sicherheitsmaßnahmen hat zu erfolgen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, so die EU-Verordnung.
Damit werden die hohen Datenschutzanforderungen auch zum Maßstab für die Cloud Security, auf Seiten des Anwenderunternehmens wie auf Seiten des Cloud-Providers.
Jetzt Studie "Cloud Security 2019" herunterladen
Transparenz und Prüfbarkeit
Die Maßnahmen, mit denen ein angemessenes Niveau für Datenschutz und Datensicherheit in der Cloud gewährleistet werden sollen, müssen von den Anbietern garantiert und von den Anwendern überprüft werden.
Dies setzt voraus, dass die Cloud-Sicherheit transparent und nachprüfbar ist. Dies führt ebenfalls dazu, dass Cloud-Risiken genauer betrachtet und neu bewertet werden müssen. Entsprechend werden dann auch solche Maßnahmen für die Cloud Security ergriffen, die bislang nicht zum Standard gehörten, weder für den Cloud-Nutzer noch für den Cloud-Anbieter.
Insgesamt 28 Prozent der befragten Unternehmen planen in den nächsten zwölf Monaten den Einsatz von Cloud-Services oder sie prüfen es zumindest intern. Diese Planungen und Prüfungen stehen unter dem Einfluss der Datenschutz-Grundverordnung. Deshalb ist zu erwarten, dass die risikoorientierte Auswahl von Sicherheitsmaßnahmen, wie sie die DSGVO vorschreibt, die Konzeption der Cloud Security verändert.
Die Pflicht, die Datenschutzfolgen bei neuen Technologien wie den Cloud-Services zu bestimmen, wird dazu führen, bislang zu wenig gesehene Cloud-Risiken stärker zu beachten und entsprechende Gegenmaßnahmen zu ergreifen.
Die Veränderungen im Datenschutzrecht werden die Cloud-Sicherheit transformieren, neben den technologischen Veränderungen durch die digitale Transformation. Diese Auswirkungen des Datenschutzes werden umso stärker in der Cloud-Sicherheit spürbar werden, wie es zu einer Sanktionierung von Datenschutzverletzungen bei Cloud-Services kommt. Hier sind in den nächsten zwölf Monaten wichtige Entwicklungen zu erwarten.
Studiensteckbrief
Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner
Studienpartner: Cisco Systems GmbH (Platin-Partner), A1 Digital (Platin-Partner), Micro Focus GmbH (Gold-Partner), NTT Security Germany GmbH (Silber-Partner), genua GmbH, securEnvoy GmbH (Bronze-Partner)
Grundgesamtheit: Oberste (IT-) Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und den Fachbereichen (LoBs), IT-Entscheider & IT-Spezialisten aus dem IT-Bereich
Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media. Persönliche E-Mail-Einladungen zur Umfrage.
Gesamtstichprobe: 351 abgeschlossene und qualifizierte Interviews
Untersuchungszeitraum: 22. bis 28. Januar 2019
Methode: Online-Umfrage (CAWI)
Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern
Durchführung: IDG Research Services