Cloud Security: Wie Sie die Herausforderungen des Datenmanagements in der Cloud meistern können

Die Vorteile von Cloud Computing sind inzwischen weitestgehend bekannt.

Trotzdem sind ganzheitliche Einführungen der Cloud auf Unternehmensebene nicht die Regel, da oft Unsicherheiten und potenzielle Risiken Entscheidungsprozesse aufhalten. Als zentrale Herausforderung sind hierbei die Datenresidenz und die Datenhoheit. Das Ausmaß, in dem ein Unternehmen auf die Cloud umsteigt, und die Wahl der Bereitstellungsmodelle hängt zum Teil von den Unternehmensrichtlinien sowie von Gesetzen und Vorschriften ab. Dies erfordert in vielen Fällen, dass das Unternehmen weiß, wo Daten gespeichert werden, wie sie verwaltet werden und wer Zugang zu diesen Daten hat. Und selbst wenn keine regulatorische Notwendigkeit besteht, kann mangelndes Wissen riskant und kostspielig sein, z.B. wenn die Daten in einem Land gespeichert werden, in dem die Datenschutzgesetzgebung unzureichend ist.

Standortbezogene Herausforderungen

Der Internationale Datentransfer wirft viele rechtliche Herausforderungen auf. Eine Organisation mit Daten in der Cloud muss lokale Vorgaben beachten sowie die regulatorischen Anforderungen des Landes, das die Cloud-Daten beherbergt. Hier kann es schnell zu Konflikten zwischen den Gesetzen beider Länder kommen, weshalb es wichtig ist, eine umfassende rechtliche Analyse durchzuführen. Sollte sich ein Unternehmen nicht mit Fragen der Einhaltung der Datenspeicherung befassen, muss es mit Geldstrafen und strafrechtlicher Verfolgung rechnen. Diese sind von Land zu Land unterschiedlich. Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist.

Reaktion auf standortbezogene Herausforderungen – in 5 Schritten zu einem umfassenden Datenmanagement

1. Definieren Sie eine Strategie

Vor dem Eintritt in die Cloud sollten Sie die Erstellung einer Cloud-Strategie, inklusive eines Datenspeicherplans auf Grundlage einer rechtlichen Analyse priorisieren. Darin sollte unter anderem festgelegt werden, welche Daten in der Cloud gespeichert werden können, in welchen Ländern sie bereit sind, ihre Daten zu hosten und wie Sie sicherstellen, dass die Speicherung mit den Gesetzen aller beteiligten Länder im Einklang ist.

2. Bestimmen Sie den Ansatz zur Datensicherheit

Außerdem sollten Sie sich im Klaren sein, welche Sicherheitstechniken eingesetzt werden und welche Voraussetzungen Sie von einem Cloud Anbieter erwarten (z. B. Rechenzentrumszertifizierungen). Dadurch können Sie die genauen Anforderungen festlegen, die erfüllt werden müssen, wenn Sie anfangen Cloud Anbieter zu vergleichen.

3. Schaffen Sie einen Governance-Rahmen mit dem Cloud Anbieter

In dem Governance-Rahmen sollte dargelegt werden, welche Informationen die definierten Länder verlassen können und welche nicht. Zudem können Sie festlegen welche Berichtsstandards der Cloud Anbieter erfüllen muss, wie z.B. monatliche Berichte über Verstöße und Benachrichtigungen über Anfragen nach Unternehmensdaten von Dritten, einschließlich Regierungsbehörden. Der Governance-Rahmen sollte auch die Schritte umfassen, die der Cloud-Service-Anbieter unternimmt, um die Datensicherheit zu gewährleisten, wie z.B. Business Continuity Management, der Stand der Backup-Technologien und Standorte sowie alle verwendeten Verschlüsselungstechnologien.

4. Wählen Sie den richtigen Standort

Bei der Speicherung sensibler Daten (z.B. sensible Personenbezogene Daten), die von außerhalb des Unternehmens nicht eingesehen werden dürfen, sollten Cloud Anbieter gewählt werden, die im eigenen Land Daten hosten können. Obwohl dies oft die scheinbar teurere Wahl ist, werden die Kosten durch geringere Aufwände für die Sicherstellung der Compliance ausgeglichen.

5. Wählen Sie den richtigen Anbieter

Insbesondere bei der Speicherung von Informationen in anderen Ländern ist der wichtigste Faktor der Cloud Anbieter selbst. Wenn der Cloud Anbieter von Anfang an über alle seine Prozesse und Verfahren bezüglich des Daten-Hostings transparent ist und Sicherheitsanforderungen erfüllen und aushandeln kann, wird er gemeinsam mit Ihnen Lösungen erarbeiten, um Ihre Daten zu schützen. Falls ein Cloud Anbieter jedoch nur über eine begrenzte Flexibilität verfügt und nicht in der Lage ist, Ihre genauen Sicherheitsanforderungen zu erfüllen, dann können die niedrigeren Kosten diese Services langfristig teurer sein.

Zusammengefasst muss eine Organisation mit Daten in der Cloud die Gesetze des Landes, das die Cloud-Daten beherbergt und ihre eigenen lokalen Gesetze einhalten. Bevor Unternehmen also in die Cloud einsteigen, sollten sie eine Cloud-Strategie entwickeln, welche ein Governance-Rahmen und ein umfassendes Datenmanagement einschließt. So kann die Grundlage gelegt werden, um Daten zu sichern und zu verstehen, wer auf sie zugreift. Bei der Speicherung von Informationen in anderen Ländern ist der wichtigste Faktor der Cloud Anbieter selbst. Wählen Sie einen seriösen Anbieter, der über notwendige Zertifizierungen verfügt und weithin anerkannt ist, insbesondere für das Hosting sensibler Informationen in der Cloud. Capgemini Invent berät Unternehmen umfassend dabei, die Entscheidung über den optimalen Cloud-Anbieter zu bestimmen und eine sichere und vertrauenswürdige Nutzung von Cloud-Diensten zu gewährleisten.

Vielen Dank an den Co-Autor Michel Ehrenstein für die maßgebliche Erstellung dieses Blogbeitrages.