Datenhoheit in der Cloud

Tipps zum Datenschutz in der Cloud

15.09.2016
Von Deema Freij
Ob Public, Private oder Hybride Cloud, personenbezogene Daten werden überall und oft unüberlegt in solchen Datenspeicher abgelegt. Um die Datenhoheit zu gewährleisten und Compliance-Richtlinien zu erfüllen, müssen Sie deshalb einige wichtige Security-Faktoren bei der Entwicklung einer Cloud-Strategie beachten.

Befinden sie sich heute noch auf dem heimischen Computer, sind sie morgen vielleicht schon in Irland oder den USA. Die Rede ist von personenbezogenen Daten. Wir hinterlassen sie überall im Internet: Wenn wir online Geschäfte abwickeln, wenn wir online Beziehungen pflegen oder wenn wir uns online vernetzen. Umso mehr stellt sich die Frage, welche Maßnahmen notwendig sind, um digitale Informationen im Internet und vor allem in der Cloud zu schützen. Regierungen entwickeln zum Thema Datenhoheit zunehmend neue Gesetze und Regulierungen. Unternehmen hingegen müssen selbst auf sichere Technologien und einen sicheren Cloud-Anbieter achten.

Der digitale Wandel hat den Umgang mit personenbezogenen und unternehmenseigenen Daten grundlegend verändert. Der konstante Zugang zu Unternehmensinformationen von jedem Ort und zu jeder Zeit wird heute im beruflichen Alltag vorausgesetzt. Datenschutz und Datensicherheit müssen dabei stets gewährleistet sein. Um die Kontrolle über die Daten zu behalten, ist es für Unternehmen wichtig, ihre aktuelle technologische Infrastruktur und ihre Compliance-Richtlinien zu prüfen und bei Bedarf entsprechend zu optimieren. Bei der Entwicklung ihrer Cloud-Strategie sollten sie daher eine Reihe von relevanten Faktoren beachten.

Optimierung der technologischen Infrastruktur

Im Internet und in der Cloud nehmen Daten drei Stadien ein: in Benutzung (Data-in-use), in Übertragung (Data-in-motion) und im Ruhezustand (Data-at-rest). Früher haben Unternehmen die volle Datenkontrolle häufig nur mit Daten in gespeichertem Zustand, also "ruhenden Daten", in Verbindung gebracht. Auch während der Übertragung wurden Sicherheitsvorkehrungen an den physischen Ort der Dateien gekoppelt.

In der Praxis ist es für einen umfassenden Datenschutz allerdings nicht mehr ausreichend, die Sicherheit der Daten von ihrem Speicherort abhängig zu machen. Unternehmen müssen das Thema Datenkontrolle aus diesem Grund vom physischen Ort ihrer Daten lösen und eine Technologie verwenden, die in der Lage ist, die Informationen in allen drei Stadien zu schützen.

IT-Lösungen, wie Customer Managed Encryption Keys, können hierbei der entscheidende Faktor sein. Digitale Dokumente lassen sich damit so komplex verschlüsseln, dass niemand deren Inhalt lesen kann. So behält das Unternehmen die vollständige Kontrolle über Dokumente. Und wird der eingesetzte Schlüssel deaktiviert, ist niemand in der Lage, die Daten zu entschlüsseln - selbst der Anbieter der Lösung nicht.

Darüber lassen sich mithilfe von Information-Rights-Management-Tools (IRM) weitere Sicherheitsvorkehrungen treffen. Dabei haben Unternehmen die Wahl, ob sie die Dateien nach einer gewissen Zeit unwiderruflich löschen oder nur für eine begrenzte Zeit zum Download bereitstellen. Eine solche IT-Lösung hilft ihnen beispielsweise auch dabei, zu bestimmen, an welchen Orten sich die Dateien öffnen lassen und ob die Dokumente mit Nutzername und IP-Adresse des Ursprungsrechners als Kopie gekennzeichnet werden sollen.

Anpassung der Compliance-Richtlinien

Neben den technologischen Maßnahmen müssen Unternehmen auch ihre Compliance-Bestimmungen ändern. Dabei müssen sie besonders berücksichtigen, dass in den einzelnen Ländern, in denen sie agieren, unter Umständen andere Bestimmungen zur Datensicherheit gelten. Denn gerade aktuelle Themen wie die General Data Protection Regulation (GDPR), die Datenschutz-Grundverordnung der Europäischen Union (EU), zeigen, dass das Thema Datenhoheit sehr komplex sein kann.

Regierungen weltweit arbeiten derzeit an strengeren Regulierungen, um die Daten unter Kontrolle zu bekommen. Hong Kong beispielsweise reformierte seine Datenschutzgesetze im Jahr 2012, wobei der Abschnitt zum internationalen Datentransfer bislang noch nicht in Kraft getreten ist. Brasilien hat den Brazilian Internet Act verabschiedet, der sich mit der Behandlung und Nutzung persönlicher Daten im Internet befasst. Nun hat die EU die GDPR eingeführt und damit die aus dem Jahr 1995 stammende Datenschutzrichtlinie der Europäischen Gemeinschaft (Richtlinie 95/46/EG) abgelöst.

Mit der Datenschutz-Grundverordnung beabsichtigt die EU, die Regeln zur Verarbeitung von personenbezogenen Daten EU-weit zu vereinheitlichen. Sie soll sowohl für öffentliche Stellen als auch private Organisationen in 28 Ländern, einschließlich Deutschland, gelten und innerhalb eines zweijährigen Zeitraums implementiert werden. Das Ziel: personenbezogene von EU-Bürgern zu schützen. Außerdem will sie dadurch einen freien Datenverkehr innerhalb des Europäischen Marktes sicherstellen.

Derzeit bedeuten die gesetzlichen Regelungen zur Datenhoheit für Unternehmen, dass in jeder Niederlassung unter Umständen unterschiedliche Regulierungen gelten können. Diese müssen sie wiederum bei der Übertragung in andere Standorte beachten. Tritt die GDPR wie geplant 2018 in Kraft, könnte sich diese Situation für Unternehmen zumindest EU-weit vereinfachen. Verstoßen sie allerdings gegen die Datenschutz-Grundverordnung der EU und es kommt dadurch zu Sicherheitslücken, müssen sie Bußgelder zahlen, die zirka vier Prozent ihres globalen Jahresumsatzes betragen. Für manche Unternehmen könnte das zu Strafzahlungen in Milliardenhöhe führen. Viele global agierende Unternehmen werden jedoch ihr Europageschäft aufgrund der mit den Verordnungen verbundenen Kosten ganz neu bewerten müssen.

Richtige Auswahl des Cloud-Anbieters

Geschäftsinteressen und Datenschutzvorgaben aufeinander abzustimmen, erfordert große Sorgfalt und in der Regel die Unterstützung durch kompetente Partner. Unternehmen sollten daher bei der Auswahl eines Cloud-Anbieters darauf achten, dass dieser die Datenhoheitsregelungen aller Länder erfüllt, in denen das Unternehmen Geschäfte abwickelt. Angesichts dessen ergeben sich einige Punkte, die Unternehmen bei der Wahl ihres Cloud-Anbieters beachten sollten:

Technisch-organisatorische Maßnahmen:

Unternehmen sollten genau wissen, wie Cloud-Anbieter ihre Daten schützen. Jeder Dienstleister muss sowohl technische als auch organisatorische Maßnahmen zum Schutz personenbezogener Daten umsetzen. Dazu zählt beispielsweise der Einsatz von Verschlüsselungs- und Datenmanagement-Tools.

Zusammenarbeit mit anderen Zulieferern:

In der Regel arbeiten Cloud-Anbieter mit Zulieferern zusammen, die ihnen bei der Verarbeitung, Übertragung und Speicherung der Daten helfen. Um den Schutz ihrer Daten sicherzustellen, sollten Unternehmen zunächst wissen, um welche Partner es sich dabei handelt. Anschließend sollten sie ihre Compliance-Richtlinien so ausrichten, dass die Geschäftspartner ebenfalls die Datenschutz-Regelungen beachten und befolgen müssen.

Physischer Speicher- und Verarbeitungsort der Daten:

Bevor Unternehmen mit der Cloud arbeiten, sollten sie sich auch mit der Frage auseinandersetzen, wo genau der Cloud-Anbieter ihre Daten physisch speichert und welche gesetzlichen Regulierungen entsprechend greifen. Werden die Daten innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet und gespeichert, dürfen die Daten diesen ohne vorab getroffene gesetzliche Vorschriften nicht verlassen. Der europäische Wirtschaftsraum umfasst Island, Norwegen, Liechtenstein sowie alle Länder der EU.

Den Datentransfer von EU-Ländern in die USA regelte bislang das Safe-Harbor-Abkommen, das Anfang Oktober vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurde. Ein europäisch-amerikanisches Datentransferabkommen, wie das kürzlich beschlossene EU-US Data Privacy Shield, könnte allerdings als Alternative die Regelung des Transfers von Daten in die USA übernehmen.

Fazit

Tag für Tag produzieren wir bewusst oder unbewusst Daten. Deren Verarbeitung und Speicherung verlagern Organisationen zunehmend in die Cloud. Sowohl Staaten als auch Unternehmen stehen daher in der Pflicht, Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Unternehmen sollten vor ihrem Einstieg in die Cloud ihre Infrastruktur zur Datenkontrolle und ihre Compliance-Richtlinien an die rechtlichen und technischen Anforderungen im internationalen Umfeld ausrichten. Der Einsatz moderner Information-Management- und Verschlüsselungssoftware sowie der richtige Cloud-Anbieter können hierbei entscheidend sein. (hal)