Datenschutz für Cloud-Infrastrukturen
10.04.2017, 09:59 Uhr
Globaler Blick auf Unternehmensdaten
Regionale Vorschriften werden mit der Cloud weltweit wirksam. Unternehmen sollten daher verschiedene Massnahmen treffen, um die Einhaltung dieser Vorschriften sicherzustellen – unabhängig davon, wo man tätig ist.
Dieser Artikel wurde von Klaus-Peter Kaul verfasst, Regional Director Switzerland beim WAN-Optimierungsspezialisten Riverbed.
Durch den Einsatz von Cloud-Lösungen werden Unternehmen zunehmend über zahlreiche Grenzen hinweg global vernetzt. Mitarbeiter auf der ganzen Welt greifen über die unterschiedlichsten Geräte auf sensible Daten zu. Neben den unbestreitbaren Vorteilen führt diese Entwicklung auch zu grossen Bedenken hinsichtlich der Datensicherheit. In einer Umfrage des IT-Dienstleisters Unisys vom August 2016 nannten 42 Prozent der Befragten die Sicherheit als grösste Herausforderung im Cloud-Management – weit vor allen anderen Problemen. Es wird immer wichtiger, wertvolles geistiges Eigentum, Kundendaten und letztlich auch den Ruf des Unternehmens zu schützen.
Zugleich formulieren Länder und Regionen auf der ganzen Welt ihre Compliance-Anforderungen. Zum Beispiel wird die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union für alle Unternehmen, die persönliche Daten innerhalb der EU verwalten, erhebliche Auswirkungen haben – unabhängig davon, ob sie in der EU ansässig sind oder nicht. Dasselbe gilt für die E-Privacy-Verordnung.
“„Unternehmen müssen genau wissen, wo ihre Daten gespeichert sind und wohin sie geschickt werden“„
Ebenso müssen Organisationen die lokalen Datenschutzgesetze einhalten, wenn sie in den USA, Russland oder im Nahen Osten tätig sind, um nur einige zu nennen. Dies könnte vor allem für international ausgerichtete Unternehmen schwierig werden. Bei Nichtbeachtung drohen harte Strafen und erhebliche Konsequenzen. Infolgedessen müssen sich die meisten Unternehmen völlig neue Verhaltensweisen im Umgang mit sensiblen Daten aneignen.
Die folgenden Massnahmen für Organisationen sollen sicherstellen, dass die geltenden Vorschriften eingehalten werden – unabhängig davon, wo ein Unternehmen überall tätig ist.
Den Datenfluss verstehen
Die Schwierigkeit besteht darin, die richtige Balance zwischen dem Schutz der Daten und ihrer Nutzung zu finden. Das heisst, die Daten müssen weiterhin so verwendet werden können, dass sie einen Mehrwert für die User und damit für das Unternehmen bringen. Nicht wenige Firmen haben bis vor Kurzem Mitarbeiter- und Kundendaten gesammelt, ohne genau zu wissen, wo und wie diese letztlich gelagert und genutzt werden.
Somit ist der erste Schritt für Unternehmen zur Compliance, ein umfassendes Verständnis darüber zu haben, wo ihre Daten überall gespeichert sind und wohin sie geschickt werden. Dafür müssen sie eine Karte kreieren, die den Fluss der persönlichen Daten in ihrem Netzwerk abbildet. Dies ist eine Kernanforderung, da viele Unternehmen Nutzerdaten
in der Cloud sammeln und in anderen Regionen weiterverarbeiten.
in der Cloud sammeln und in anderen Regionen weiterverarbeiten.
Regelmässige Risk-Assessments
Es gibt zahlreiche Tools, um Netzwerksicherheit zu gewährleisten: Vulnerability-Scanner, Intrusion Detection und Prävention, Firewalls und viele andere. Jedes Unternehmen hat seine eigenen Ideen und Ansätze, wenn es um die Sicherung des eigenen Netzwerks geht. Unabhängig davon, welche Werkzeuge zum Einsatz kommen: Wichtig ist, sich bewusst zu sein, dass jedes Tool eine Schwachstelle hat.
Eine Firewall zum Beispiel hilft dabei, ungebetene Gäste draussen zu halten, ist jedoch nutzlos, wenn jemand bereits im System drin ist. Ein Intrusion-Device wiederum erkennt, wenn jemand versucht, in das Netzwerk einzudringen, sichert aber die Datenumgebung nicht.
Aus diesem Grund ist es wichtig, dass Unternehmen regelmässig Risikobewertungen durchführen und diese dokumentieren. Mit neuen Technologien können IT-Teams das Netzwerk leicht überwachen, Zugriffsverstösse erkennen, Bereiche mit Problemen identifizieren und helfen, diese Probleme zu beheben, und sich generell einen Überblick über die Geschehnisse im Netzwerk verschaffen. Im Fall eines Einbruchs zum Beispiel können IT-Teams genau nachverfolgen, wie der Einbruch geschehen konnte, und entsprechende Risikoverminderungs-Massnahmen einleiten.