Cloud nutzen,
Daten schützen

Cloud nutzen,
Daten schützen

Eine klassische Digitalisierungsstrategie ist die Auslagerung von IT-Systemen und Daten in die Cloud

Aber dem Schutz der persönlichen Daten muss auch bei der Digitalisierung oberste Priorität eingeräumt werden. Gerade bei Cloud-Projekten ist es also von elementarer Bedeutung, Gesetze, Vorschriften, Branchenstandards und unternehmensinterne Prozesse – kurz die Compliance-Anforderungen – zu kennen und einzuhalten. Denn mit der digitalen Transformation ändern sich auch die Ansprüche an Sicherheit und Datenschutz: Neben den strengeren Compliance-Anforderungen zählen neue Risiko-Szenarien und Bedrohungen, Verschiebungen in Sicherheitsperimetern, aber auch neue Möglichkeiten, die Sicherheit zu erhöhen, zu den Herausforderungen, die dieser Transformationsprozess mit sich bringt.

DSGVO: Datenschutz im Mittelpunkt

Ein Waterloo im Datenschutz kann sich heute kein Unternehmen leisten! Zu den wichtigsten Themen dabei gehört die neue EU-Datenschutzgrundverordnung (DSGVO, englisch: GDPR), die im Mai 2018 in Kraft trat. Umso wichtiger ist es geworden, dass bei neuen IT-Vorhaben die Auswirkungen bereits bekannter gesetzlicher Änderungen antizipiert und umgesetzt werden. Passiert dies nicht, steht ein Cloud-Projekt auf tönernen Füssen. Auch Branchenauflagen sind zu berücksichtigen, etwa im Finanzbereich Finma, PCI-DSS oder im Gesundheitswesen HIPAA.

Werkzeuge des Datenschutzes

Ein essentielles Werkzeug, wenn es um Datenschutz und Datensicherheit geht, ist die Datenkategorisierung. Dazu muss man wissen, welche Daten in der Cloud verarbeitet werden sollen und ob diese gewissen Compliance-Anforderungen unterliegen. Für sensible Personendaten gelten die strengen Datenschutzregelungen der DSGVO, sie müssen entsprechend geschützt werden.

Der Datenzugriff in die Cloud von überall und mit mobilen Endgeräten ist für Information Worker quasi Standard. Er kommt damit grundsätzlich in einer unsicheren Zone, die mit klassischen Sicherheitsprinzipien nicht abgesichert werden kann. Demzufolge muss aber gewährleistet werden, dass der Datenzugriff nur von autorisierten Personen erfolgt. Es muss also ein durchgängiges Identity- und Access-Management (IAM) etabliert werden, das Vertraulichkeit, Datenintegrität sowie die Compliance sicherstellt.

Neben dem Identity- und Access-Management stellt die Verschlüsselung der Daten den wohl wichtigsten technischen Sicherheitsmechanismus dar. Ein Cloud Provider, der keine Verschlüsselung anbietet, darf den Auftrag heute nicht mehr bekommen. Im Datenschutz-Umfeld kann unter Umständen die Anonymisierung eine zusätzliche Alternative sein. Anonymisierung hilft dabei, die Sensibilität der Daten zu minimieren.

Cloud-Governance muss Cloud Provider einschliessen

Durch die Beauftragung eines Cloud Providers delegiert ein Unternehmen die meisten der Protokoll- und Monitoring-Aufgaben. Diese müssen aber auch überwacht werden. Schadensersatzansprüche können nur geltend gemacht werden, wenn Ausfälle nachgewiesen werden. Ohne eigene Prüfmechanismen ist dieser Nachweis schwer möglich, entsprechende Cloud-Governance-Aufgaben und -Prozesse müssen etabliert werden.

datenschutz-cloud-projekte_ib

Nur wenn du alle aktuellen Datenschutz- und Sicherheitsaspekte sowie alle bereits angekündigten Gesetzesänderungen bei der Planung, Entwicklung und Umsetzung eures Cloud-Projekts berücksichtigst, steht es auf einer soliden, sicheren Basis. 
Adrian

 


Gute Planung ist die halbe Miete

Internet der Dinge und Big-Data-Anwendungen erzeugen Datenberge in der Cloud, die häufig höchst vertrauliche und zugleich wertvolle Daten beinhalten. Diese Daten machen auch keinen Halt vor Landesgrenzen: Sie können in Deutschland erhoben, in den USA gespeichert und in Indien verarbeitet werden. Es muss sichergestellt sein, dass die Daten nicht von Unberechtigten manipuliert, gelöscht oder schlimmstenfalls unzugänglich gemacht werden. Datenschutz und Datensicherheit müssen deshalb zentrale Aspekte der Digitalisierungsstrategie sein. Die Idee der Datenschutz-Grundverordnung fordert, den Datenschutz bei neuen IT-Projekten mitzudenken, das gilt auch für die Cloud. Denn nur wenn alle aktuellen Datenschutz- und Sicherheitsaspekte sowie alle bereits angekündigten Gesetzesänderungen bei der Planung, Entwicklung und Umsetzung eines Cloud-Projekts berücksichtigt werden, steht dieses auf einer soliden, sicheren Basis.

Mit Trivadis den Schutz der Kundendaten sicherstellen

Trivadis bietet Security Assessments und Audits an, bei denen wir unter anderem Datenbanken daraufhin überprüfen, ob sie konform sind mit der DSGVO – unabhängig davon, ob die Daten in der Cloud oder on-premise liegen. Wir verfügen über Experten, die eine Privacy Impact Analyse übernehmen. So prüfen wir Daten und Prozesse der Datenerhebung darauf, ob die DSGVO überhaupt greift bzw. welche Regelungen für die Daten gelten. Unternehmen unterstützen wir bei der Auswahl ihres Cloud Providers, um sicherzugehen, dass er allen Vorschriften und Gesetzen entspricht.

Trivadis verfügt über vielfältige Erfahrungen aus datensensiblen Branchen wie Life Sciences, Automotive, Financial Services und versteht auch die Anforderungen deines Unternehmens in punkto Datenschutz in der Cloud. Nutze deshalb für dein Unternehmen die langjährige Erfahrung von Trivadis als Cloud-Pionier und die Expertise aus Hunderten von Cloud-Projekten.

Du hast Fragen oder benötigst Unterstützung bei deinem Projekt?

Wir sind für dich da und helfen dir gerne weiter.