Cloud Sicherheit Datenschutz

Datenschutz für Cloud-Sicherheit

Das Cloud ist etwas sehr Abstraktes. EU-Datenschutz: Cloud-Sicherheit und GDPR - erste Fortschritte bei der Einhaltung der Vorschriften In der Endfassung der Allgemeinen Datenschutzverordnung (GDPR) der EU wurde im Dez. 2015 eine auf drei Jahre angelegte Debatte über persönliche Angaben, Sicherheit und Verantwortlichkeit für den Datenschutz beendet. Schließlich wird die finale Ausgabe des GDPR nun die Basis für einen einheitlichen Ansatz zur Gewährleistung der Datenschutzsicherheit in ganz Europa sein.

Seit dem ersten Vierteljahr 2016 haben Firmen zwei Jahre Zeit, ihre IT-Infrastruktur an die GDPR-Vorschriften anzugleichen. Die Zeit bis 2018 mag lang scheinen, aber die IT-Teams von Firmen werden hart arbeiten müssen, um diese Zeit zu erreichen. Die Größe der bestehenden IT-Implementierungen und die zunehmende Vielschichtigkeit der IT-Netzwerke und -Speicher, die von Organisationen im Laufe der Zeit gebaut wurden, machen es schwierig, eine umfassende Sicherheit zu implementieren.

Zusätzlich zu dieser Vielschichtigkeit wollen Firmen das Beste aus ihren bestehenden IT-Ressourcen machen, weshalb sich der Weg zur Implementierung von GDPR als lang und beschwerlich herausstellen könnte. Ein Teil der potenziellen Risiken kann jedoch durch die Nutzung der Cloud gemildert werden. In Verbindung mit der Datenschutzerklärung will die GDPR vier Ziele mehr Validität bieten:

Einfachere Erfassung von Angaben über die über sich selbst gesammelten Angaben. Überlassen Menschen den Betrieben personenbezogene Angaben, sei es aufgrund einer Verbindung zu diesem Betrieb oder als Entgelt für eine Dienstleistung, will die GDPR sicherstellen, dass die Betreffenden mehr über die Datenverarbeitung erfahren. Unterstützt die Datenübertragbarkeit.

Will eine Personen einen Service nicht mehr in Anspruch nehmen, muss es ihr möglich sein, ihre persönlichen Angaben leicht in die Anlagen eines anderen Anbieters übertragen zu haben. Google hat seit 2014 Verknüpfungen aus seinen Recherchenergebnissen nach den Vorgaben der vorherigen EU-Datenschutzrichtlinie und der ersten Fassung von GDPR ausgelistet. In der aktualisierten Fassung der GDPR gibt es neue Richtlinien zur Fragestellung, was passieren muss, wenn eine betroffene Personen nicht mehr will, dass ihre Angaben weiterverarbeitet werden.

Darüber hinaus wurden die Vorschriften über das Ausmaß, in dem die Löschung von personenbezogenen Merkmalen erfolgen kann und muss, wenn keine berechtigten Anhaltspunkte für deren Aufbewahrung vorliegen, geändert. Benachrichtigung über Verstöße gegen den Datenschutz. Dies ist für jedes Untenehmen vielleicht der bedeutendste Punkt: Es wird beschrieben, wie im Falle eines Datenverstoßes vorzugehen ist. Ziel ist es, die Meldepflicht bei Datenschutzverstößen in den einzelnen Staaten Europas vereinheitlicht zu regeln.

Datenverlust oder Datendiebstahl ist ein ernsthaftes Problem für Firmen, Regierungsbehörden und Gemeinnützigkeit. Der GDPR legt präzisere Leitlinien für den Datenschutz fest, macht aber auch klar, wie Unternehmungen und andere Institutionen bei Verstößen gegen den Datenschutz vorzugehen haben. Wichtig ist dabei vor allem, dass die verantwortlichen einzelstaatlichen Stellen so bald wie möglich über schwere Datenverstöße informiert werden müssen.

Dadurch soll sichergestellt werden, dass die Nutzer angemessene Vorkehrungen zum Schutz ihrer personenbezogenen Angaben und, wenn es sich um Finanzdaten handelt, ihrer Bankkonten ergreifen können. Worin bestehen die Hindernisse auf dem Weg zu mehr Sicherheit? Was die IT-Teams von Firmen bei der Planung rund um die GDPR am meisten belastet, sind die veränderten Rahmenbedingungen für die Bereitstellung von IT-Services.

Auch der Einsatz von Cloud-Applikationen nimmt zu und so verlagern Computerteams auf Applikationen wie Office 365 oder Google Apps für unternehmensweit genutzte Services. Dadurch können neue Dienstleistungen ohne Beteiligung des EDV-Teams erbracht werden. Das heißt, dass persönliche Informationen im ganzen Betrieb auf neue Art und Weise aufgespürt, angelegt und aufbewahrt werden können, ohne dass die IT-Abteilung die volle Verantwortung dafür hat.

Kundendatenquellen können überall im gesamten Unternehmensumfeld liegen, so dass es für die IT eine große Aufgabe ist, sie alle im Auge zu haben. Während die Benutzer heute mehr über Sicherheit und Datenschutz wissen als in den Vorjahren, können Geschäftsteams bei der Wahl von Services oder in ihrer täglichen Arbeit nicht immer an die Sicherheit der Datensätze denken. In der Regel ist es wichtig, dass die Benutzer die Sicherheit der Datensätze kennen.

Dies alles macht klar, dass die Befolgung der GDPR mit sehr viel aufwendig ist. In einem ersten Prozessschritt müssen sie sich vielmehr einen genauen Einblick verschaffen, welche IT-Ressourcen sie haben und wo sie sich aufhalten. Ein solches Inventar unterstützt das Untenehmen nicht nur dabei, einen ganzheitlichen Blick auf seine Informationstechnologie zu werfen, sondern kann auch dazu dienen, das Schwachstellenmanagement im Laufe der Zeit zu optimieren.

Sobald dieser präzise Überblick über alle IT-Ressourcen vorliegt, ist es notwendig zu überprüfen, wo sich im Betrieb eventuell vorhandene kundenbezogene Angaben aufhalten. Es kann sich zeigen, dass mehr Kundendatensätze verfügbar sind als erwartet. Einer dieser Bereiche, in denen Benutzerdaten aufbewahrt werden können, ist der Kundenservice: Viele der fraglichen Informa-tionen können sich in der CRM-Anwendung wiederfinden, aber IT-Service-Managementsysteme können auch viele potentiell sensible Informa-tionen bereitstellen.

Die Supply-Chain- und Procurement-Teams eines unternehmens können auch über wichtige Angaben zu jedem einzelnen unserer Lieferanten nachverfolgen. All diese unterschiedlichen Erkenntnisse werden möglicherweise durch die neue Richtlinie zum Datenschutz abgedeckt. Sollte einem Untenehmen jedoch nicht bekannt sein, wo im Laufe der Zeit eine Speicherung von Benutzerdaten stattgefunden hat, wird die Erfüllung der GDPR zu größeren Problemen und mehr Zeit führen.

Außerdem wird der Schutz vor menschlichen Fehlern erschwert - zum Beispiel, wenn die Informationen auf Speichermedien von einzelnen Mitarbeitern abgelegt werden und ein solches Endgerät außerhalb des Betriebs verloren geht. Auf Verlangen der GDPR wird festgelegt, dass alle Dienstleistungen dem Prinzip Privacy by Design entsprechen sollten - d.h. persönliche Angaben sollten nicht um ihrer selbst willen gemacht werden, sondern nur dann, wenn es für die Bereitstellung einer Dienstleistung wirklich notwendig ist.

Bei Datenverstößen kann ein angemessenes Servicedesign dazu beitragen, dass die Nutzer nicht durch den Datenverlust oder Datendiebstahl geschädigt werden. Dies wird jedoch problematisch, wenn individuelle Mitarbeitende oder Gruppen persönliche Informationen (PII) erheben und verwenden, ohne dass das IT-Sicherheitspersonal davon Kenntnis hat. Bei der Speicherung personenbezogener Informationen auf den Datenträgern der einzelnen Mitarbeitenden können Sicherheitsverstöße schwieriger zu erkennen sein.

"â??Die bestehenden IT-Assets besser zu verdeutlichen ist fÃ?r alle Unternehmungen der erforderliche erste Akt zur Ã?bereinstimmung der GDPR der erste....". "Darüber hinaus kann es schwierig sein, persönliche Informationen ordnungsgemäß zu entfernen oder an andere Dienstleister zu übermitteln, wenn sie über das gesamte Unter-nehmen verteilt sind. Damit die Vorschriften der GDPR eingehalten werden können, müssen daher Verfahrensweisen festgelegt werden, mit denen die Nutzung der Gerätedaten konzernweit besser gesteuert und gesteuert werden kann.

Diese reichen von der zweifachen Authentifizierung beim Zugriff mit zwei Faktoren bis hin zur starken Chiffrierung von auf Vorrichtungen gespeicherten Informationen. Es ist jedoch nicht möglich, solche Vorgehensweisen zu erzwingen, wenn das betreffende Untenehmen nicht über eine genaue und aktualisierte Auflistung aller seiner IT-Ressourcen verfügt. In diesem Fall ist es jedoch nicht möglich, diese zu befolgen. Die Hoffnungen verbinden sich mit der GDPR, dass die gesamteuropäische Vereinigung der Vorschriften den Datenschutz für die Betriebe fördert und dass Einzelpersonen besser abgesichert sind.

Es wird jedoch noch lange dauern, bis diese Vorstellung vom Datenschutz verwirklicht ist. Eine bessere Sichtbarkeit der bestehenden IT-Ressourcen ist der erste wichtige Baustein zur GDPR-Compliance für alle Unternehmungen. QualysGuard wird zurzeit von mehr als 5000 Firmen in 85 Ländern eingesetzt, darunter 47 der Fortune Global 100, und wird jährlich von über 500 Mio. IP-Audits durchgeführt.

Qualys verfügt über strategische Verträge mit namhaften Anbietern von verwalteten Diensten und Beratungsunternehmen und ist Gründungsmitglied der Cloud Security Alliance (CSA).

Mehr zum Thema