Cloud, Sicherheit und die EU GDPR

Auswirkungen der neuen Datenschutz-Grundverordnung

| Autor / Redakteur: Philippe Courtot * / Florian Karlstetter

Handlungsempfehlungen zur neuen Datenschutz-Grundverordnung der EU.
Handlungsempfehlungen zur neuen Datenschutz-Grundverordnung der EU. (© arrow - Fotolia.com)

Kurz vor Weihnachten wurde der Entwurf zu einer der bislang wichtigsten Verordnungen für den IT-Bereich fertiggestellt. Die Datenschutz-Grundverordnung (GDPR), die die bisherige Datenschutzrichtlinie der Europäischen Union ersetzen soll, wird voraussichtlich Anfang 2016 veröffentlicht und soll 2018 allgemein in Kraft treten.

Unternehmen jeder Größe haben demnach nur zwei Jahre Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von Kundendaten zu gewährleisten; andernfalls drohen ihnen massive Bußgelder. Die Frage, wie die Daten der Kunden verwaltet und geschützt werden, erhält somit für große wie auch kleine Unternehmen essentielle Bedeutung. Wie kann Cloud Computing sie dabei unterstützen?

Welches Datenproblem will die GDPR lösen?

Zunächst mag es so aussehen, als sei dieser Zeitrahmen großzügig bemessen. Tatsächlich sind zwei Jahre in der Welt der Unternehmens-IT nicht viel. Die EU GDPR dürfte es Unternehmen zwar erleichtern, die Daten in sämtlichen Niederlassungen in den verschiedenen europäischen Ländern zu verwalten und zu schützen, doch der Stichtag wird viele vor große Herausforderungen stellen – nicht zuletzt deshalb, weil die aktuelle Sicherheitslandschaft sehr komplex ist und viele Variablen zu berücksichtigen sind. Erschwerend kommt hinzu, dass es den meisten Unternehmen an qualifiziertem Sicherheitspersonal fehlt, um die zunehmend raffinierten Cyber-Bedrohungen zu bekämpfen. Gleichzeitig sind vorhandene Legacy-IT-Tools nicht auf die Anforderungen ausgelegt, die die neuen Geschäftsumgebungen stellen.

Die Datenschutz-Grundverordnung ist jedoch notwendig: Die großen Datenmengen in Unternehmen locken immer mehr Cyber-Kriminelle an, was zu einer drastischen Zunahme der Angriffe führt. Im vergangenen Jahr kam es zu einer wachsenden Zahl von Sicherheitspannen bei bekannten Marken wie TalkTalk, Ashley Madison, Hilton Hotels und Carphone Warehouse. Und wenn wir aus diesen Angriffen irgendeine Lehre ziehen können, dann die, dass sich niemand auf dieser immer länger werdenden Liste wiederfinden möchte.

Die hohen Geldbußen, die die EU vorsieht, verleihen den Vorschriften noch mehr Gewicht – Verstöße können mit bis zu vier Prozent des Umsatzes eines Unternehmens geahndet und somit teuer werden. Dieser strafbewehrte Ansatz sollte dazu beitragen, dass CIOs Investitionen in Compliance und Sicherheit zu einem integralen Bestandteil der Zukunftsplanung ihres Unternehmens machen und dafür sorgen, dass sie bis zum Fristende in 2018 wirklich konform sind.

Planen für die Zukunft

Die Ausgangslage ist allerdings nicht für alle Unternehmen die gleiche. Oder wie William Gibson einmal sagte: „Die Zukunft ist schon da – sie ist nur ungleich verteilt.“

Der Notwendigkeit folgend, hat sich in den letzten Jahren der gesamte Sicherheitsansatz verändert. Früher sicherten die Unternehmen einfach ihren Perimeter ab, indem sie Firewalls einsetzten und für den Schutz ihrer internen Server sorgten. Heute kann jedoch jeder von jedem Ort aus auf Firmendaten zugreifen, und dies mit Geräten, die das Unternehmen nicht unter Kontrolle hat. Anwendungen und Daten werden an Dienstleister in der Cloud ausgelagert. Der Perimeter ist verschwunden.

Diese Verschiebung zu neuen Formen des IT-Betriebs führt dazu, dass die Unternehmen weniger Überblick über ihre IT-Bestände und die vorhandenen Systeme haben. Die Teams einzelner Geschäftsbereiche können in eigene Anwendungen und Dienste investieren, die ihren Zielsetzungen entsprechen, ohne die IT-Abteilung in den Entscheidungsfindungsprozess einzubeziehen. Die Folge ist, dass viele Unternehmen nicht mehr die erforderliche Übersicht über ihre IT-Umgebungen und globalen Assets haben.

Ergänzendes zum Thema
 
Special „Rechtssicheres Cloud Computing“

Dies wirft bei der Planung künftiger Compliance-Maßnahmen ein großes Problem auf: Wenn Unternehmen nicht wissen, was sie haben, wie wollen sie es dann schützen? Um dieses Problem zu lösen, muss im Hinblick auf Sicherheit und Anwendungen komplett umgedacht werden. Es ist Zeit, sich auf den einfachen Grundsatz zurückzubesinnen, dass ein Unternehmen wissen muss, welche Daten es hat und wo diese sich befinden – selbst dann, wenn die betreffenden Geräte und Anwendungen nicht mehr im Unternehmen angesiedelt sind.

Angemessener Schutz von Kundendaten heißt allerdings nicht, dass man das Problem einfach mit viel Geld lösen kann oder übereilt neue Lösungen implementieren sollte. Gewiss werden Unternehmen mehr Mittel in die Absicherung von Infrastrukturen und die Einhaltung von Compliance-Anforderungen investieren, doch sie sollten auch darüber nachdenken, wie sie bestehende und neue Technologien künftig geschickter nutzen können.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43892144 / Compliance und Datenschutz )