Die Privatsphäre und der Datenschutz sind prinzipielle Grundrechte, die jeder Mensch weltweit genießen sollte. Insbesondere gelten diese Rechte und die damit zusammenhängenden Pflichten aber auch für Unternehmen. Doch im geschäftlichen Umfeld kommen diese Regeln immer öfter mit dem technischen Fortschritt in Konflikt.
Entwicklungen und Trends, insbesondere die Cloud, versprechen Unternehmen ein dynamisches, wirtschaftliches und agiles Handeln, wie es auf dem heutigen internationalen Parkett nötig erscheint. Darum senden, empfangen und speichern Firmen eigene, aber auch die Daten ihrer Kunden in die Cloud und begeben sich damit auf dünnes Eis hinsichtlich Privatsphäre und Datenschutz. Unwissenheit schützt bei einer Datenrechtsverletzung im Zusammenhang mit der Cloud nicht, vor allem da die Themen rund um den Datenschutz in den Medien seit Jahren omnipräsent sind. Nachlässigkeiten und Verstöße werden vielmehr billigend in Kauf genommen, denn Kontrollen oder gar Strafen sind vergleichsweise selten. Der Schutz der eigenen und der Daten von Kunden steht zu oft hinter Pragmatismus und Wirtschaftlichkeit. Aber ist dieses Verhalten richtig?
Es ist angerichtet: Festschmaus für Cyberkriminelle
Über den Schutz der Daten in der Cloud bestehen gegensätzliche Auffassungen. Rund die Hälfte der Entscheider in Unternehmen glauben laut Studien, dass diese Verantwortung beim Cloudanbieter liegt. Fakt jedoch ist, sie liegt allein beim Unternehmen.
Das Modell der gemeinsamen Verantwortung (Stichwort “Shared Responsibility”) regelt als Sicherheits- und Compliance-Framework ganz klar: Cloudanbieter sind lediglich für die Überwachung und Abwehr von Sicherheitsbedrohungen zuständig, die die Cloud selbst und die grundlegende Infrastruktur betreffen. Unternehmen sind dazu verpflichtet, die Daten und andere in der Cloud-Umgebung gespeicherte Assets zu schützen.
Die Missachtung der Privatsphäre und des Datenschutzes in der Cloud bringt zusätzliche Player in das Spiel: Cyberkriminelle. Diese wissen sehr genau, dass Unternehmen den Schutz ihrer Daten in der Cloud vernachlässigen und sie haben ein höchst lukratives Geschäft daraus entwickelt. Datenverschlüsselung und Lösegeldforderungen oder Datendiebstahl und der Verkauf dieser Informationen im Darknet sind zu einem Milliardengeschäft geworden – zulasten der Unternehmen und deren Kunden. Doch die Daten in der Cloud laden geradewegs zu cyberkriminellen Handlungen ein.
Es könnte alles so einfach sein und ist es auch
Die Herausforderungen rund um den Datenschutz, das Recht auf Privatsphäre und der Schutz vor cyberkriminellen Machenschaften wird von Unternehmen – sofern sie sich dem Thema genügend widmen – im Grunde viel zu komplex behandelt. Die Compliance-konforme Absicherung der Cloud ist eine höchst komplexe Aufgabe, bei der viele Spezialisten involviert sein müssen – ganz zu schweigen davon, dass sich die Bedingungen und Umgebungen der Cloud systemimmanent kontinuierlich verändern und die Schutzperimeter ständig und in Echtzeit angepasst werden müssten.
Diese Herausforderung ist für Unternehmen, in Kombination mit dem aktuellen Fachkräftemangel, eine Mammutaufgabe, was folglich zu einer gewissen Resignation oder einer höheren Risikobereitschaft führt. Die Lösung liegt in der Simplifizierung, indem schlicht und einfach ein Schutzmantel um die Daten selbst aufgebaut wird, der im Grunde unabhängig vom Cloudanbieter oder den Cloud-Anwendungen die Daten wirksam schützt. Die selektive Verschlüsselung aller kritischen Daten noch bevor diese ins Internet und in die Cloud gelangen, löst das Problem gleichermaßen einfach und elegant. In der heutigen datengesteuerten digitalen Welt ist es unerlässlich, einen solchen datenzentrierten Ansatz für die IT-Sicherheit zu wählen, bei dem sensible Informationen das Unternehmen nur in verschlüsselter Form verlassen.
Möglich ist dies mit dem eperi Gateway, einer Cloud Data Protection Lösung made in Germany. Die Verschlüsselung geschieht für den Anwender unsichtbar im Datenstrom und funktioniert unabhängig von der Cloudinfrastruktur oder der zu schützenden Cloudanwendung – entweder im Unternehmen, in der Cloud oder gehostet von einem Partner. Als Netzwerkkomponente erfordert es keine aufwändigen Installationen auf Client- oder Serverseite und erhält beim Einsatz in SaaS-Anwendungen alle wichtigen Funktionen wie Suchen oder Sortieren. Üblicherweise wird es als Netzwerk Proxy eingesetzt und arbeitet damit völlig transparent mit den gängigen Cloud-Diensten, Datenbankanwendungen und Dateispeichern. Grundlage des Gateways ist eine Template-Architektur. Diese steuert, welche Datenfelder verschlüsselt, tokenisiert oder im Klartext belassen werden und unterstützt beliebige Cloudanwendungen, sogar Eigenentwicklungen.
Durch den Einsatz des eperi Gateways werden nicht nur die Datenschutzrichtlinien für die Nutzung der Cloud eingehalten, sondern auch der Stand der Technik angewandt, der beispielsweise im Geschäftsgeheimnis Schutzgesetz (GeschGehG), in Cyberversicherungen oder der D&O Versicherung gefordert wird.
Datenschutz und Privatsphäre in der Cloud könnten nicht nur einfach sein, sondern sind es bereits.
www.eperi.com