5 Tipps für DSGVO-konformen Datenschutz in der Cloud 5 Tipps für DSGVO-konformen Datenschutz in der Cloud - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


09.01.2018 Daniel Wolf*

5 Tipps für DSGVO-konformen Datenschutz in der Cloud

Ab 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (DSGVO) verbindlich - doch die Umsetzung der neuen Regularien stellt Unternehmen vor große Herausforderungen. Insbesondere für den Datenschutz in der Cloud sind besondere Maßnahmen nötig. Hier kommen fünf Tipps, wie ein Cloud Access Security Broker (CASB) dabei helfen kann.

Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.

Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.

© Skyhigh Networks

Datenschutzverletzungen sind kein Kavaliersdelikt. Unter der DSGVO drohen Unternehmen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Dazu kommt der hohe Schaden durch Reputationsverlust. Laut Paragraph 24 der DSGVO sind Unternehmen in der Pflicht, "geeignete technische und organisatorische Maßnahmen" zu ergreifen, um sicherzustellen und nachzuweisen, dass sie die Regularien einhalten. Wie aber können diese Maßnahmen aussehen?

Gerade in der Cloud ist es schwer, die Kontrolle darüber zu behalten, was mit sensiblen Daten passiert. Dabei helfen Cloud Access Security Broker (CASB): Sicherheitssysteme, die speziell für die Anforderungen von Datenschutz und -sicherheit in der Cloud entwickelt wurden. Hier sind die fünf wichtigsten Cloud-Sicherheits-Tipps im Hinblick auf die DSGVO:

1. Blockieren Sie gefährliche Cloud-Services
Nur etwa sechs Prozent der gängigen rund 20.000 Cloud-Services entsprechen den strengen Kriterien der DSGVO. Das ergab eine aktuelle Studie das Cloud-Sicherheits-Anbieters Skyhigh Networks. Unternehmen sollten daher darauf achten, dass Mitarbeiter nur solche Dienste nutzen, die kein Risiko darstellen. Häufig hat die IT-Abteilung jedoch gar keinen Überblick darüber, welche Cloud-Services überhaupt im Unternehmen im Einsatz sind. Ein CASB kann diese Schatten-IT ans Licht bringen. Dafür analysiert er die Log-Dateien von Proxies und Firewalls oder bezieht diese direkt aus einem bestehenden Security Information and Event Mangement (SIEM). Die identifizierten Cloud-Services bewertet der CASB hinsichtlich ihrer Sicherheit und ihrer DSGVO-Konformität. Dabei spielt zum Beispiel eine Rolle, wo der Cloud-Dienst gehostet ist oder welche Privacy Policy er hat. Basierend auf der Risikobewertung kann der CASB automatisiert Richtlinien umsetzen, etwa gefährliche Dienste blockieren oder Anwender auf alternative, sichere Angebote umleiten.

2. Setzen Sie DLP-Richtlinien für die Cloud um
Viele Unternehmen haben für ihre On-Premises-Systeme bereits Lösungen zur Data Loss Prevention (DLP) installiert. Sie dienen dazu, sensible Daten zu identifizieren und anhand von Policies automatisiert Schutzmaßnahmen zu ergreifen. Das hilft dabei zu verhindern, dass Daten in falsche Hände gelangen. Ein CASB kann DLP-Richtlinien auch für die Cloud umsetzen. Diese lassen sich entweder direkt im CASB definieren oder von einer bestehenden DLP-Lösung übernehmen. Policies können zum Beispiel den Upload von personenbezogenen Daten in die Cloud blockieren oder sie vor dem Hochladen automatisiert verschlüsseln. Wichtig dabei ist: Die DLP-Richtlinien müssen sowohl für Daten in Bewegung wirksam sein, also beim Hoch- oder Herunterladen, als auch für Daten, die bereits in der Cloud liegen oder originär dort erstellt wurden. Für Letzteres muss sich der CASB per API an den Cloud-Service anbinden lassen.

3. Verschlüsseln Sie sensible Daten
Verschlüsselung wird in Artikel 32 der DSGVO explizit als geeignete Maßnahme für den Datenschutz genannt. Darüber hinaus bietet sie auch einen Vorteil bei der Meldepflicht. Laut Artikel 34 müssen Unternehmen künftig bei einer Datenschutzverletzung die betroffene Person verständigen, sofern ein hohes Risiko für sie besteht. Waren die Daten verschlüsselt, ist das jedoch nicht erforderlich. Dadurch sparen sich Unternehmen viel Aufwand. Ein CASB kann sensible Daten automatisiert vor dem Upload in die Cloud verschlüsseln. Im API-Modus ist auch eine nachträgliche Verschlüsselung bei bereits in der Cloud ruhenden, personenbezogenen Daten möglich.

4. Kontrollieren Sie den Datenfluss
Unter der neuen DSGVO gilt eine strengere Meldepflicht. Laut Artikel 33 müssen Unternehmen Sicherheitsvorfälle mit Datenschutzverletzung künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Ohnehin ist klar: Je schneller Vorfälle identifiziert werden, desto besser lässt sich der Schaden begrenzen. Wenn der Datenfluss in die und aus der Cloud kontrolliert wird, lassen sich Auffälligkeiten zeitnah erkennen. Bei verdächtigen Verhaltensmustern schlägt der CASB Alarm, etwa wenn ein Nutzer außergewöhnlich große Datenmengen herunterlädt.

5. Loggen Sie alle Cloud-Aktivitäten mit
Mit der Meldepflicht geht auch einher, dass Unternehmen datenschutzbezogene Sicherheitsvorfälle und die ergriffenen Maßnahmen genau dokumentieren müssen. Ein CASB ermöglicht dies, indem er alle Cloud-Aktivitäten mitloggt. So entsteht ein kompletter Audit-Trail, anhand dessen sich sämtliche Vorgänge nachvollziehen lassen. Außerdem sind  Unternehmen damit in der Lage, das Ausmaß des Schadens und seine Folgen besser abzuschätzen.

Fazit
Eine Technologie alleine reicht nie aus, um alle Anforderungen der DSGVO abzudecken. Gefragt ist vielmehr ein Sicherheitskonzept, das technische und organisatorische Maßnahmen umfasst, die auf die Bedürfnisse des Unternehmens und seine Risiken abgestimmt sind. Ein CASB ist dabei ein wichtiger Baustein. Er arbeitet nahtlos mit bestehenden Sicherheitssystemen wie SIEM, Proxies und Firewalls zusammen und ergänzt diese um wichtige Funktionen für den Datenschutz in der Cloud. So kommen Unternehmen der Umsetzung der DSGVO ein gutes Stück näher.

*Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr

Hosted by:    Security Monitoring by: