Datenschutz für Cloud-Infrastrukturen

Globaler Blick auf Unternehmensdaten

von - 07.04.2017
Netzwerk auf der Weltkarte
Foto: Shutterstock / Sergey Nivens
Regionale Vorschriften werden mit der Cloud weltweit wirksam. Unternehmen sollten daher verschiedene Maßnahmen treffen, um die Einhaltung dieser Vorschriften sicherzustellen – unabhängig davon, wo man tätig ist.
Dieser Artikel wurde von Klaus-Peter Kaul verfasst, Regional Director Switzerland beim WAN-Optimierungsspezialisten Riverbed.
Durch den Einsatz von Cloud-Lösungen werden Unternehmen zunehmend über zahlreiche Grenzen hinweg global vernetzt. Mitarbeiter auf der ganzen Welt greifen über die unterschiedlichsten Geräte auf sensible Daten zu. Neben den unbestreitbaren Vorteilen führt diese Entwicklung auch zu großen Bedenken hinsichtlich der Datensicherheit. In einer Umfrage des IT-Dienstleisters Unisys vom August 2016 nannten 42 Prozent der Befragten die Sicherheit als größte Herausforderung im Cloud-Management – weit vor allen anderen Problemen. Es wird immer wichtiger, wertvolles geistiges Eigentum, Kundendaten und letztlich auch den Ruf des Unternehmens zu schützen.
Zugleich formulieren Länder und Regionen auf der ganzen Welt ihre Compliance-Anforderungen. Zum Beispiel wird die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union für alle Unternehmen, die persönliche Daten innerhalb der EU verwalten, erhebliche Auswirkungen haben – unabhängig davon, ob sie in der EU ansässig sind oder nicht. Dasselbe gilt für die E-Privacy-Verordnung.
Klaus-Peter Kaul
Klaus-Peter Kaul
Regional Director Switzerland
bei Riverbed
Foto: Riverbed
„Unternehmen müssen genau wissen, wo ihre Daten gespeichert sind und wohin sie geschickt werden“
Ebenso müssen Organisationen die lokalen Datenschutzgesetze einhalten, wenn sie in den USA, Russland oder im Nahen Osten tätig sind, um nur einige zu nennen. Dies könnte vor allem für international ausgerichtete Unternehmen schwierig werden. Bei Nichtbeachtung drohen harte Strafen und erhebliche Konsequenzen. Infolgedessen müssen sich die meisten Unternehmen völlig neue Verhaltensweisen im Umgang mit sensiblen Daten aneignen.
Die folgenden Maßnahmen für Organisationen sollen sicherstellen, dass die geltenden Vorschriften eingehal­ten werden – unabhängig davon, wo ein Unternehmen überall tätig ist.

Den Datenfluss verstehen

Cloud Sicherheit
Quelle: Unisys (2016)
Die Schwierigkeit besteht darin, die richtige Balance zwischen dem Schutz der Daten und ihrer Nutzung zu finden. Das heißt, die Daten müssen weiterhin so verwendet werden können, dass sie einen Mehrwert für die User und damit für das Unternehmen bringen. Nicht wenige Firmen haben bis vor Kurzem Mitarbeiter- und Kundendaten gesammelt, ohne genau zu wissen, wo und wie diese letztlich gelagert und genutzt werden.
Somit ist der erste Schritt für Unternehmen zur Compliance, ein umfassendes Verständnis darüber zu haben, wo ihre Daten überall gespeichert sind und wohin sie geschickt werden. Dafür müssen sie eine Karte kreieren, die den Fluss der persönlichen Daten in ihrem Netzwerk abbildet. Dies ist eine Kernanforderung, da viele Unternehmen Nutzerdaten
in der Cloud sammeln und in anderen Regionen weiter­verarbeiten.

Regelmäßige Risk-Assessments

Es gibt zahlreiche Tools, um Netzwerksicherheit zu gewährleisten: Vulnerability-Scanner, Intrusion Detection und Prä­ven­tion, Firewalls und viele andere. Jedes Unternehmen hat seine eigenen Ideen und Ansätze, wenn es um die Sicherung des eigenen Netzwerks geht. Unabhängig davon, welche Werkzeuge zum Einsatz kommen: Wichtig ist, sich bewusst zu sein, dass jedes Tool eine Schwachstelle hat.
Eine Firewall zum Beispiel hilft dabei, ungebetene Gäste draußen zu halten, ist jedoch nutzlos, wenn jemand bereits im System drin ist. Ein Intrusion-Device wiederum erkennt, wenn jemand versucht, in das Netzwerk einzudringen, sichert aber die Datenumgebung nicht.
Aus diesem Grund ist es wichtig, dass Unternehmen regelmäßig Risikobewertungen durchführen und diese dokumentieren. Mit neuen Technologien können IT-Teams das Netzwerk leicht überwachen, Zugriffsverstöße erkennen, Bereiche mit Problemen identifizieren und helfen, diese Probleme zu beheben, und sich generell einen Überblick über die Geschehnisse im Netzwerk verschaffen. Im Fall eines Einbruchs zum Beispiel können IT-Teams genau nachverfolgen, wie der Einbruch geschehen konnte, und entsprechende Risikoverminderungs-Maßnahmen einleiten.
Verwandte Themen