Datenschutz und Cloudsicherheit: Herausforderung für Unternehmen
ajijchan
Ob öffentliche oder private Cloud oder hybride Infrastruktur – je weiter die Digitalisierung voranschreitet umso größer wird die Rolle, die Datenschutz und Cloudsicherheit für Unternehmen einnehmen. Bestimmungen müssen eingehalten und die Sicherheit von Daten gewährleistet werden. So wird die Digitalisierung Chance und Herausforderung gleichermaßen. Doch was können Unternehmen tun und welche Techniken können sie einsetzen, um diese Aufgaben bestmöglich zu bewältigen?
In Bezug auf die Digitalisierung gibt es für Unternehmen vieles zu bedenken, denn potenzielle Gefahren lauern an sehr vielen Stellen. Dies zeigen Ereignisse wie der Brand im OHV-Rechenzentrum in Straßburg deutlich. Es bietet sich an, aus derartigen Katastrophen zu lernen und das Unvorhersehbare kalkulierbar zu machen. Dass Daten auf dem Rechner geschützt und durch Backups und weitere Maßnahmen gesichert werden müssen ist weithin bekannt. Worüber sich viele Unternehmen kaum bewusst sind, ist, dass auch Daten in der Cloud auf mehrfache Weise geschützt werden sollten. Zum Schutz von Cloud-Daten bestehen mittlerweile eine Reihe von Praktiken, die darauf abzielen, Daten in der Cloud-Umgebung zu sichern. Diese gelten unabhängig davon, wo die Daten gespeichert und wie sie verwaltet werden.
Herausforderungen im Zusammenhang mit Daten in der Cloud
Viele Unternehmen sammeln und speichern große Mengen an Informationen, darunter auch sensible Daten. Die meisten dieser Daten kommen irgendwann mit der Cloud in Berührung, entweder bei der Erfassung oder im Rahmen der Speicherung. Zudem greifen Unternehmen zunehmend auf Webportale oder Software-as-a-Service-Angebote zurück. Beides erfordert den Zugriff auf die Cloud. Und Tatsache ist: Je mehr ein Unternehmen Cloud-Dienste nutzt, desto komplexer wird letztendlich auch der Datenschutz, denn die Systeme müssen so konzipiert sein, dass nur autorisierten Personen Zugriff gewährt wird. Die Konfigurationen sollten zudem sicherstellen, dass die Berechtigungen zum Ändern oder Löschen von Daten auf die entsprechenden Benutzer beschränkt sind. Im Sinne der Vertraulichkeit von Daten müssen entsprechende Vertraulichkeitsstufen eingerichtet und für deren Einhaltung gesorgt werden. Dies erfordert eine Einschränkung von Zugriffsberechtigungen und die Anwendung von Verschlüsselungen, mit deren Hilfe die Lesbarkeit eingeschränkt wird. Zudem müssen die Anmeldeinformationen der Administratoren und die Verschlüsselungsschlüssel selbst geschützt werden, um sicherzugehen, dass diese Einschränkungen tatsächlich eingehalten werden.
Darüber hinaus gilt es zu bedenken, dass sich Datenvorschriften nach dem physischen Standort der Daten richten, also nach dem Ort an dem sie gesammelt und wo sie verwendet werden. Es ist leicht vorstellbar, dass es in einem verteilten System schwierig sein kann, diesen Ort zu bestimmen und zu kontrollieren. Die Systeme sind daher im Idealfall so konzipiert, dass jederzeit klar definiert ist, wo sich die Daten befinden.
Wer seine Cloud-Infrastruktur vollständig von einem externen Anbieter kontrollieren lässt, muss sich darauf verlassen können, dass die physischen Infrastrukturen, Netzwerke und Rechenzentren sicher sind, und gleichzeitig ein gewisses Maß an Eigenverantwortung übernehmen.
Praktiken für die Cloud-Datensicherheit
In einem privaten Rechenzentrum sind die Verantwortlichkeiten klar. Hier ist das Unternehmen allein für alle Sicherheitsfragen verantwortlich. In der öffentlichen Cloud oder bei einer hybriden Infrastruktur sieht es komplexer aus: Obwohl die Verantwortung primär beim Cloud-Kunden liegt, übernimmt der Cloud-Anbieter die Verantwortung für einige Aspekte der IT-Sicherheit. Cloud- und Sicherheitsexperten nennen dieses Modell „Shared Responsibility“.
Viele Cloud-Anbieter stellen den Unternehmen eine Dokumentation zur Verfügung, sodass alle Beteiligten wissen, wo die spezifischen Verantwortlichkeiten je nach Art der Bereitstellung liegen. Darüber hinaus sollten Unternehmen folgende Punkte prüfen und berücksichtigen:
- Der Cloud-Anbieter sollte strenge interne Kontrollen durchführen und robuste Tools für die Datensicherheit anbieten.
- Unternehmen sollten in den Blick nehmen, welche Richtlinien ein Anbieter zur Einhaltung der Compliance-Vorschriften anwendet. Verfügt ein Anbieter über keinerlei Zertifizierung, kann er die Compliance-Standards möglicherweise nicht einhalten.
- Ein Großteil der Cloud-Anbieter bietet ein bestimmtes Maß an Verschlüsselung sowohl während der Übertragung der Daten als auch im Ruhezustand. Es empfiehlt sich hier, beides zu nutzen. Darüber hinaus kann eine zusätzliche Verschlüsselung auf Dateiebene für noch mehr Sicherheit sorgen. Die Daten können bereits verschlüsselt werden, bevor sie überhaupt in den Speicher der Cloud gelangen. Alternativ ist aber auch das Splitten von Dateien möglich. Teile von Daten werden an verschiedenen Orten gespeichert. Bei einem unerwünschten Zugriff wird es schwierig, die Daten sinnvoll zusammenzusetzen.
Soll der Weg in die Cloud sicher gelingen, gibt es noch weitere wichtige Punkte zu beachten, von denen einer der entscheidendsten ist, die Mitarbeiter entsprechend zu schulen bzw. schulen zu lassen. Schließlich nutzen die meisten Sicherheitsmaßnahmen wenig, wenn die Mitarbeiter nicht wissen, wie Cyberbedrohungen erkannt werden und wie man auf diese angemessen reagiert. Vor allem sollte aber beim IT-Sicherheitspersonal auf kontinuierliche Weiterbildung geachtet werden, denn die Bedrohungslandschaft ändert sich quasi täglich und ITler können nur dagegen angehen, wenn sie stets auf dem aktuellsten Stand sind.
