Datenschutz in der Cloud – kein effektiver Datenschutz ohne Eigeninitiative

Cloud

Wenn es um die effektive Digitalisierung und Vernetzung ihrer Geschäftsprozesse geht, setzen immer mehr österreichische Unternehmen auf die Cloud. Knapp zwei Drittel aller hiesigen Unternehmen, so der KPMG Cloud Monitor Österreich 2021, nutzen mittlerweile Cloud-Lösungen – ob nun als IaaS, PaaS, SaaS, in der Private-, Public- oder auch der Hybrid-Variante. Ein weiteres Drittel plant bereits ihren Einsatz.

Dennoch gibt es gravierende Vorbehalte, Ängste und Sorgen, die den Auf- und Ausbau der Cloud-Nutzung erschweren und teils erheblich verzögern. Sie alle lassen sich letztlich auf eine zentrale sicherheitstechnische Herausforderung zurückführen: die Sicherstellung des Datenschutzes.

Für viele österreichische Unternehmen ist Datenschutz mittlerweile zu einem echten Angstthema geworden. Gerade kleine und mittlere Unternehmen haben mit der Einhaltung der geltenden Datenschutzregelungen, der EU-DSGVO, teils erheblich zu kämpfen. Nach wie vor fehlt es vielerorts am entsprechenden sicherheitstechnischen Know-how – und dem Bewusstsein dafür, dass Datenschutz in der Cloud nicht mit Datenschutz On Premises gleichgesetzt werden kann und darf.

Gerade dies geschieht in vielen österreichischen Unternehmen aber nach wie vor. Viele österreichische CIOs sind die Arbeit mit eigenen Infrastrukturen gewohnt, neigen dementsprechend dazu, Standard-On Premises-Datenschutzmaßnahmen einfach auf die Cloud zu übertragen. Doch Datenschutz On Premises und Datenschutz in der Cloud – egal ob nun Private, Public oder Hybrid – trennen Welten. Mit traditionellen Maßnahmen im eigenen Rechenzentrum, wie Firewalls, Antivirenprogrammen und Intrusion Detection und Prevention-Lösungen allein kommt man in der Cloud nicht weit. Auch wenn die Cloud in österreichischen Unternehmen bereits starke Verbreitung gefunden hat, fehlen vielerorts die auf Cloud-Nutzung spezialisierten Fach- und Führungskräfte, fehlt das entsprechende Know-how, fehlt ganz einfach das Cloud-spezifische Mindset. Es mangelt am Verständnis dafür, dass Unternehmen gegenüber Cyberangriffen in der Cloud nun einmal exponierter sind, als sie es im eigenen Rechenzentrum jemals waren.

Dies soll nicht heißen, dass Daten in der Cloud nicht ebenso gut – oder sogar besser – geschützt werden können. Doch muss man auch wissen, wie. Schon länger kommt zur Sicherstellung des Datenschutzes in der Cloud das Konzept der ‚Layered Security‘ – der mehrschichtigen Sicherheit – zum Einsatz. ‚Mehrschichtige Sicherheit‘ bedeutet, dass mehrere Sicherheitslösungen quasi in Reihe hintereinandergeschaltet werden. Um bis ans Ende, bis zu den Daten ihrer Opfer, vorstoßen zu können, müssen Angreifer vom Verteidiger unbemerkt sämtliche Schichten durchdringen. Das Risiko eines erfolgreichen Cyberangriffs kann so bedeutend gesenkt werden.

Cloud-Anbieter können hier mit der Implementierung der entsprechenden Sicherheitslösungen einiges erreichen – und haben es auch.

Aber – und das wird in Österreich eben immer noch häufig unterschätzt – effektiver Datenschutz in der Cloud, eine effektive Layered Security, ist nur durch ein effektives Zusammenspiel von Anbieter ‚und‘ Nutzer möglich. Für die Absicherung der Cloud-Infrastruktur ist der Anbieter der Cloud verantwortlich. Den Schutz der Daten selbst jedoch, hat das Unternehmen, das die Cloud nutzt, sicherzustellen. Es gilt das bewährte Prinzip der gemeinsamen, der geteilten Verantwortung. Nur so lässt sich die Sicherheit in der Cloud – und damit auch der Schutz der eigenen Daten – wirklich effektiv gewährleisten.

In zwei Bereichen können – und müssen – österreichische Unternehmen in Punkto Datenschutz in der Cloud aktiv werden: Datenverschlüsselung und Nutzerauthentifizierung.

Erstere wird auch explizit in der EU-DSGVO (Artikel 32) als geeignete Maßnahme zur Anhebung des Datenschutzes vorgeschlagen. Daten müssen sowohl bei der Übertragung nach und aus, sowie bei einer Speicherung in der Cloud verschlüsselt sein. Nur so kann vollständig ausgeschlossen werden, dass Cyberkriminelle, die sich Zugang zur Cloud-Infrastruktur verschafft haben, Einblick in die dort gelagerten Daten nehmen können. Erforderlich ist hierzu eine ‚End-to-End Encryption‘ – auch bekannt als Ende-zu-Ende-Verschlüsselung. Die Schlüssel zum Ver- und Entschlüsseln der Daten haben sich dabei jederzeit und einzig und allein im Besitz des Cloud-Nutzers zu befinden. Nur so kann sichergestellt werden, dass wirklich Niemand, der nicht explizit befugt ist – auch kein Systemadministrator des Cloud-Anbieters – Einsicht nehmen kann. Eine ganze Reihe unterschiedlicher Lösungen stehen hierzu mittlerweile zur Verfügung, mit deren Hilfe Ende-zu-Ende-Verschlüsselungen und das Management der Schlüssel automatisiert umgesetzt werden können.

Auch für die Cloud-Nutzerauthentifizierung steht mittlerweile ein breites Portfolio geeigneter Lösungen parat. Bei der Auswahl sollten Cloud-Nutzer darauf achten, eine Lösung mit einer 2-Faktor- oder einer Multifaktor-Authentifizierung auszuwählen. Beide gelten derzeit als ‚aktueller Stand der Technik‘ und sind damit ebenfalls, laut Artikel 32 der EU-DSGVO, in Europa Pflicht für eine datenschutzkonforme Cloud-Nutzung. Die Daten müssen dabei nicht für alle Anwender gleich zugänglich sein. Zugriffsrechte können bei fast allen Lösungen individuell – für jeden Nutzer einzeln – zusammengestellt und bedarfsgerecht konfiguriert werden. Ein echtes Asset, wenn man auf Nummer sicher gehen und nach dem Zero Trust-Prinzip in der Cloud operieren möchte.

Zeigen österreichische Unternehmen an diesen beiden Punkten mehr Eigeninitiative und partizipieren sie mehr am Prinzip der geteilten Verantwortung, dann werden ihre Kopfschmerzen beim Thema Datenschutz in der Cloud schon bald der Vergangenheit angehören.