Die sichere Datenwolke

Credit: Fotalia
Credit: Fotalia
Credit: Frank Braunstedter
Frank Braunstedter
Credit: Frank Braunstedter

Die Cloud bietet viele Vorteile wie höhere Flexibilität zu geringeren Kosten. Über eines müssen sich Unternehmen aber im Klaren sein: Ohne ein abgestimmtes Konzept aus Governance, Datenschutz und Incident-Management sind unternehmenskritische Informationen in der Wolke nicht sicher.

Autor: Franck Braunstedter

Für die meisten Unternehmen stellt sich längst nicht mehr die Frage, ob sie in die Cloud gehen oder nicht. Das ungebremste Wachstum von Daten heizt die Nachfrage an, Rechenzentren schießen wie Pilze aus dem Boden, zudem entstehen ganz neue Services. Nach anfänglicher Skepsis überwiegt heute die Erkenntnis, dass Cloud-Computing Geld spart und Unternehmen flexibler macht. Bevor Unternehmen sich aber für den Schritt in die Wolke entscheiden, müssen sie eine Strategie entwerfen: Welche Teile der IT sollen in die Cloud migriert werden? Was muss modernisiert, was kann weiterbetrieben werden? Welche künftigen Geschäftsmodelle soll die Cloud-Architektur unterstützen? Zusätzlich zu den technologischen sind rechtliche Vorgaben zu berücksichtigen. Das heißt vor allem: Welche Sicherheits- und Datenschutzanforderungen müssen erfüllt werden?

Eins vorweg: Cloud-Umgebungen kämpfen mit den gleichen Bedrohungen wie traditionelle Firmennetze, sind aber durch die gespeicherten Datenmengen ein attraktiveres Angriffsziel. Dazu gehören das Phishing per E-Mail, das Ausnutzen schwacher Passwörter und Zugangsdaten sowie die nur selten eingesetzte Multifaktor-Authentifizierung zum Schutz von Zugängen. Wie bei jeder anderen Computing-Umgebung geht es auch bei der Cloud-Sicherheit darum, zunächst einmal einen effizienten Präventivschutz zu gewährleisten.

Mit Cloud Governance die Kontrolle behalten
Bei der Migration in die Cloud spielt zudem der Datenschutz eine herausragende Rolle. Unternehmenskritische Daten wie Rezepturen oder Produktionspläne, die auf keinen Fall einem Wettbewerber in die Hände fallen dürfen, können heute in die Public Cloud verlagert werden. Selbst Banken und Versicherungen, die die Migration von IT-Kapazitäten in die Wolke lange Zeit kritisch gesehen haben, nutzen inzwischen die Dienste. Allerdings müssen dazu sowohl beim Auftraggeber als auch beim Cloud-Provider entsprechende IT-Sicherheits- und -schutzmaßnahmen implementiert und fortlaufend überprüft werden. Entscheidet sich ein Unternehmen für die Zusammenarbeit mit einem Cloud-Provider, muss es zudem wissen, wo sich die Daten befinden und ob deren Schutzstatus die eigenen Sicherheitsstandards erfüllt oder zusätzliche Maßnahmen zu implementieren sind. Für eine entsprechende Sicherheitsanalyse des Dienstleisters empfiehlt sich die Überprüfung folgender Aspekte: Governance, Datenschutz sowie das Incident-Management.

Die Steuerung der IT-Sicherheit (Governance) ist eine wesentliche Voraussetzung für eine effektive Verwaltung und die Kontrolle von Risiken. Dazu braucht es Regeln, die festlegen, wer die Cloud-Ressourcen wie nutzen darf. Die Anforderungen eines eindeutig festgelegten Rahmenwerks mit Richtlinien, Policies und Prozessen gelten sowohl für den Provider als auch für den Nutzer. Nur durch ein solches Rahmenwerk können beide Seiten definieren, welche Sicherheitsmaßnahmen zur Eindämmung spezifischer Risiken notwendig sind.

Schutz der Daten in der Wolke
Das Speichern und Verarbeiten sensibler Daten in der Cloud erfordert aber auch, dass die Vertraulichkeit, Integrität und Verfügbarkeit dieser jederzeit gegeben ist. Vor einer Migration von Teilen der IT-Landschaft müssen Unternehmen sich erst einmal einen Einblick in die für sie geltenden branchenspezifischen, nationalen und internationalen Vorschriften zur Erfassung und Nutzung personenbezogener Daten verschaffen. Die EU-DSGVO beispielsweise schreibt zum Thema „Auftragsverarbeiter“, also dem Cloud-Provider, Folgendes vor: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Ob der Cloud-Betreiber personenbezogene Daten, die das Unternehmen in der Wolke verarbeitet, vorschriftsmäßig schützt, kann ein Unternehmen jedoch kaum selbst zuverlässig kontrollieren. Hier hilft das Trusted-Cloud-Datenschutz-Profil (TCDP) weiter, das im Hinblick auf die DSGVO entwickelt wurde. Unternehmen sollten bei der Wahl des Cloud-Providers darauf achten, dass er über eine TCDP-Zertifizierung verfügt.

Im Notfall hilft ein Incident-Response-Plan
Jedes Unternehmen braucht einen Plan für die rasche und effektive Reaktion auf Vorfälle. Nicht definierte Rollen, Verantwortlichkeiten und Zuständigkeiten oder ungeschultes Personal führen im Notfall zu einem Chaos. Dieser Incident-Response-Plan, der nicht erst seit der DSGVO verpflichtend ist, gilt natürlich auch für die Cloud-Provider, mit denen das Unternehmen zusammenarbeitet. In diesem Response-Plan legen Auftraggeber und Provider fest, wer bei einem Sicherheitsvorfall für welche Aufgaben zuständig ist.  

Trotz aller Sicherheitsvorfälle, auf die sich alle Beteiligten entsprechend vorbereiten müssen, sind Cloud-Technologien ein wichtiger Katalysator für die digitale Transformation. Diskutierte man vor einiger Zeit noch viel über die Risiken, gelten die Sicherheitsanforderungen in der Cloud heute als beherrschbar.

Franck Braunstedter ist Senior Manager Cyber Defense & Cloud Security

Weitere Artikel

Digitale Zwillinge werden Realität

PLM-Systeme liefern historische Daten, auf Basis derer ein…

Weiterlesen

KI in Forschung und Entwicklung

Egal, in welcher Branche man sich umhört – der Einsatz…

Weiterlesen
 © BRZ_Klaus Vyhnalek

„Blick aus User-Sicht ist entscheidend“

Das BRZ ist ein wichtiger Partner in der weiteren…

Weiterlesen

Die Zukunft aller Digitalisierungsprojekte

Der digitale Zwilling ist der Grundpfeiler aller…

Weiterlesen
Credit: SEPPmail-Deutschland

Land Oberösterreich setzt auf E-Mail-Verschlüsselung von SEPPmail

Die E-Mail ist im Verwaltungsalltag in Organisationen und…

Weiterlesen
Credit: Jana Krippel

Mehr als ein Jahr DSGVO: Ist der Sturm vorübergezogen?

Die Einführung der neuen DSGVO-Richtlinien vor etwas mehr…

Weiterlesen
Credit: Michael Dürr

„Es kann jedem passieren“

Markus Endres und Aleksandar Lacarak, Mitbegründer des…

Weiterlesen
Credit: Syngroup

Digitaler Schub

Die digitale Transformation benötigt in vielen Bereichen…

Weiterlesen
Grafik: Verlag Holzhausen GmbH

Integration der Zeitschrift "Monitor" in "Austria Innovativ"

Nach reiflicher Überlegung haben wir uns entschlossen, die…

Weiterlesen
Credit: Schulamt St. Pölten

Selfservice statt Zettelwirtschaft

Mit einer neuen Softwarelösung hat das Diözesan-Schulamt St.…

Weiterlesen
Credit: A1 Digital

Über die technologische Seite hinaus denken

Die Digitalisierung nimmt in Österreich an Fahrt auf, weiß…

Weiterlesen
Foto: Universität Innsbruck

ERP Future Business 2019

Auf der Fachmesse stellen die teilnehmenden Anbieter von…

Weiterlesen
Bild: Eva Puella Photography

Markus Neumayr ab 2019 alleiniger Geschäftsführer

Zwanzig Jahre lang standen Firmengründer Univ.-Doz. Dr.…

Weiterlesen
Bild: UBIT

IKT Statusreport #4 zeigt akuten Handlungsbedarf

Konkrete Maßnahmen bei Informatikstudierenden und…

Weiterlesen
Bild: IGEL

Never change a winning team

Bei den Kursen des ICGEB in Triest kommen Studenten aus den…

Weiterlesen
Bild: NTT Security

5 Schritte für hohe Datensicherheit in der Cloud

Die Verlagerung von Geschäftsprozessen und Applikationen in…

Weiterlesen
Bild: CyberArk

DevOps-Risiken werden unterschätzt

Unternehmen nutzen verstärkt DevOps-Modelle für die…

Weiterlesen
Bild: presono/Anzhelika Kroiss

Ex-Microsoft Manager Keller wechselt zu presono

Lukas Keller geht als als neuer CEO zum 2015 in Linz…

Weiterlesen
Bild: Otago

Otago expandiert weiter

Bei der Wiener Online Consulting Agentur Otago stehen auch…

Weiterlesen
Bild: Grabher

Schneelast-Sensor kann Leben retten

Ein textiler Schneelast-Sensor ist weltweit erstmals in…

Weiterlesen