Cloud, Sicherheit und die EU GDPR Auswirkungen der neuen Datenschutz-Grundverordnung

Autor / Redakteur: Philippe Courtot * / Florian Karlstetter

Kurz vor Weihnachten wurde der Entwurf zu einer der bislang wichtigsten Verordnungen für den IT-Bereich fertiggestellt. Die Datenschutz-Grundverordnung (GDPR), die die bisherige Datenschutzrichtlinie der Europäischen Union ersetzen soll, wird voraussichtlich Anfang 2016 veröffentlicht und soll 2018 allgemein in Kraft treten.

Firmen zum Thema

Handlungsempfehlungen zur neuen Datenschutz-Grundverordnung der EU.
Handlungsempfehlungen zur neuen Datenschutz-Grundverordnung der EU.
(© arrow - Fotolia.com)

Unternehmen jeder Größe haben demnach nur zwei Jahre Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von Kundendaten zu gewährleisten; andernfalls drohen ihnen massive Bußgelder. Die Frage, wie die Daten der Kunden verwaltet und geschützt werden, erhält somit für große wie auch kleine Unternehmen essentielle Bedeutung. Wie kann Cloud Computing sie dabei unterstützen?

Welches Datenproblem will die GDPR lösen?

Zunächst mag es so aussehen, als sei dieser Zeitrahmen großzügig bemessen. Tatsächlich sind zwei Jahre in der Welt der Unternehmens-IT nicht viel. Die EU GDPR dürfte es Unternehmen zwar erleichtern, die Daten in sämtlichen Niederlassungen in den verschiedenen europäischen Ländern zu verwalten und zu schützen, doch der Stichtag wird viele vor große Herausforderungen stellen – nicht zuletzt deshalb, weil die aktuelle Sicherheitslandschaft sehr komplex ist und viele Variablen zu berücksichtigen sind. Erschwerend kommt hinzu, dass es den meisten Unternehmen an qualifiziertem Sicherheitspersonal fehlt, um die zunehmend raffinierten Cyber-Bedrohungen zu bekämpfen. Gleichzeitig sind vorhandene Legacy-IT-Tools nicht auf die Anforderungen ausgelegt, die die neuen Geschäftsumgebungen stellen.

Die Datenschutz-Grundverordnung ist jedoch notwendig: Die großen Datenmengen in Unternehmen locken immer mehr Cyber-Kriminelle an, was zu einer drastischen Zunahme der Angriffe führt. Im vergangenen Jahr kam es zu einer wachsenden Zahl von Sicherheitspannen bei bekannten Marken wie TalkTalk, Ashley Madison, Hilton Hotels und Carphone Warehouse. Und wenn wir aus diesen Angriffen irgendeine Lehre ziehen können, dann die, dass sich niemand auf dieser immer länger werdenden Liste wiederfinden möchte.

Die hohen Geldbußen, die die EU vorsieht, verleihen den Vorschriften noch mehr Gewicht – Verstöße können mit bis zu vier Prozent des Umsatzes eines Unternehmens geahndet und somit teuer werden. Dieser strafbewehrte Ansatz sollte dazu beitragen, dass CIOs Investitionen in Compliance und Sicherheit zu einem integralen Bestandteil der Zukunftsplanung ihres Unternehmens machen und dafür sorgen, dass sie bis zum Fristende in 2018 wirklich konform sind.

Planen für die Zukunft

Die Ausgangslage ist allerdings nicht für alle Unternehmen die gleiche. Oder wie William Gibson einmal sagte: „Die Zukunft ist schon da – sie ist nur ungleich verteilt.“

Der Notwendigkeit folgend, hat sich in den letzten Jahren der gesamte Sicherheitsansatz verändert. Früher sicherten die Unternehmen einfach ihren Perimeter ab, indem sie Firewalls einsetzten und für den Schutz ihrer internen Server sorgten. Heute kann jedoch jeder von jedem Ort aus auf Firmendaten zugreifen, und dies mit Geräten, die das Unternehmen nicht unter Kontrolle hat. Anwendungen und Daten werden an Dienstleister in der Cloud ausgelagert. Der Perimeter ist verschwunden.

Diese Verschiebung zu neuen Formen des IT-Betriebs führt dazu, dass die Unternehmen weniger Überblick über ihre IT-Bestände und die vorhandenen Systeme haben. Die Teams einzelner Geschäftsbereiche können in eigene Anwendungen und Dienste investieren, die ihren Zielsetzungen entsprechen, ohne die IT-Abteilung in den Entscheidungsfindungsprozess einzubeziehen. Die Folge ist, dass viele Unternehmen nicht mehr die erforderliche Übersicht über ihre IT-Umgebungen und globalen Assets haben.

Dies wirft bei der Planung künftiger Compliance-Maßnahmen ein großes Problem auf: Wenn Unternehmen nicht wissen, was sie haben, wie wollen sie es dann schützen? Um dieses Problem zu lösen, muss im Hinblick auf Sicherheit und Anwendungen komplett umgedacht werden. Es ist Zeit, sich auf den einfachen Grundsatz zurückzubesinnen, dass ein Unternehmen wissen muss, welche Daten es hat und wo diese sich befinden – selbst dann, wenn die betreffenden Geräte und Anwendungen nicht mehr im Unternehmen angesiedelt sind.

Angemessener Schutz von Kundendaten heißt allerdings nicht, dass man das Problem einfach mit viel Geld lösen kann oder übereilt neue Lösungen implementieren sollte. Gewiss werden Unternehmen mehr Mittel in die Absicherung von Infrastrukturen und die Einhaltung von Compliance-Anforderungen investieren, doch sie sollten auch darüber nachdenken, wie sie bestehende und neue Technologien künftig geschickter nutzen können.

Cloud-Sicherheit und ihre Vorteile für Unternehmen

Die Cloud selbst ist ein wesentlicher Teil dieses Trends: Sie ist sowohl eine der Ursachen für die neuen Vorschriften als auch ein Mittel, das Unternehmen helfen kann, auf sie zu reagieren. Möglicherweise wird die EU-Datenschutz-Grundverordnung Bestrebungen beschleunigen, Cloud-Dienste zum Schutz von Firmendaten zu nutzen, sodass Unternehmen ihren Investitionsaufwand verringern und stattdessen ins operative Budget investieren können. Seit jeher wird die Cloud als ein Modell betrachtet, das den Bedürfnissen kleinerer Unternehmen entspricht: Es verlagert die Verantwortung für den Schutz von Infrastrukturen und Anwendungen auf den gewählten Dienstleister und verringert den Kapitalaufwand und die damit einhergehenden Auswirkungen auf den Cashflow.

Größere Cloud-Dienstleister haben den Vorteil, besser organisiert und strukturiert als viele kleinere Anbieter zu sein. Cloud-Provider verfügen meist über sehr große Rechenzentren und sind dabei sehr sicherheitsorientiert, weswegen sie die gesetzlichen Vorschriften leichter erfüllen können. Ihr gesamtes Geschäftsmodell ist abhängig davon, dass sie die Compliance-Anforderungen einhalten, die an die einzelnen Kunden und an sie selbst als Akteure in der Branche gestellt werden. Cloud-Dienstleister sollten ihre Infrastruktur von Grund auf sicher angelegt haben, um Sicherheit für alle Kundeninstanzen gewährleisten zu können.

Kleinen wie auch mittelständischen Unternehmen sollte es deshalb leicht fallen, sich für die Cloud zu entscheiden. Sie können alle Unternehmensanwendungen dorthin verlagern und die Passwörter mit einer Single-Sign-on-Lösung auf benutzerfreundliche Weise verwalten. Den Fokus auf den Schutz der internen Netzwerke und des Perimeters müssen sie nicht weiter verstärken – ihre bereits vorhandenen Sicherheitsvorkehrungen reichen dafür aus. Stattdessen müssen KMUs nur dafür sorgen, dass die Laptops und sonstigen Endgeräte sicher sind, weil hier die Daten sowohl erzeugt als auch eingesehen werden.

Für größere Unternehmen kann der Weg in die Cloud komplexer sein. Letztlich bringt ihnen dieser Umstieg jedoch wesentlich mehr Nutzen als ein Festhalten am alten Sicherheitsansatz. Am besten beginnt man damit, die Rechenzentren zu konsolidieren und so viel wie möglich zu virtualisieren. Diese Aufgabe kann nicht Dritten übertragen werden, sondern muss vom Unternehmen selbst erledigt werden, da die Kenntnis der eigenen IT-Infrastruktur und geschäftlichen Anforderungen mit Blick auf die Compliance außerordentlich wertvoll ist. Diejenigen, die schon Rollouts von Virtualisierungstechnologien durchlaufen haben, können noch weiter gehen und sich ansehen, wie sich die Verwaltung ihrer IT-Assets noch stärker rationalisieren und automatisieren lässt.

Größere Unternehmen können sich die Vorteile der Cloud zunutze machen, indem sie Asset Management Tools einsetzen, die auch den cloudbasierten Ansatz unterstützen. Da Cloud-Assets immer wieder verändert und aktualisiert werden können, sollten auch die Bestandsdaten kontinuierlich aktualisiert werden, damit das Unternehmen seine Cloud-Infrastruktur unter Kontrolle behält und Compliance gewährleisten kann. Denn wie kann ein IT-Asset geschützt werden, wenn gar nicht bekannt ist, dass es überhaupt existiert?

Die Beweislast – exzessive Compliance-Kosten verhindern

Gleichzeitig ist es wichtig, dass sich Unternehmen bei ihrem Bemühen um Compliance nicht zu sehr in den Einzelheiten der Vorschriften verlieren. Die „Beweislastregel“ besagt, dass Unternehmen den Nachweis erbringen müssen, angemessene Sicherheitsmaßnahmen getroffen zu haben. Das kann eine Bürde sein, aber immerhin dazu führen, dass Unternehmen das Richtige tun; es kann aber auch zu einem bloßen „Abarbeiten“ von Vorschriften verkommen, bei dem man den Fokus nur auf die Einhaltung der Regeln richtet, anstatt über die besten Optionen für das Unternehmen insgesamt nachzudenken. Wenn die Sicherheitsmaßnahmen nicht genau durchdacht werden, kann das Ergebnis eine Implementierung sein, die zwar dem Geist des Gesetzes entspricht, aber den wirklichen Zielen nicht gerecht wird. Deshalb ist es wichtig, die richtige Balance zu finden und Zeit sinnvoll zu investieren.

Trotz der verschiedenen Herausforderungen, die Unternehmen in den kommenden zwei Jahren werden bewältigen müssen, wird die GDPR auf den Markt insgesamt eine positive Wirkung ausüben. In einer Zeit, in der IT-Infrastrukturen immer komplexer werden und somit auch die Wahrscheinlichkeit von Sicherheitsverletzungen steigt, wird die GDPR Unternehmen zwingen, überholte Sicherheitsrichtlinien und -kontrollen zu überdenken.

Philippe Courtot, Chairman und CEO bei Qualys.
Philippe Courtot, Chairman und CEO bei Qualys.
(Bild: Qualys)

Sowohl den Regulierungsbehörden als auch den betroffenen Unternehmen ist klar, dass zwei Jahre für Großkonzerne eine sehr kurze Frist sind. Schließlich müssen dort Netzwerkarchitekturen verändert werden – und das dauert. In großen Unternehmen mit mehreren Tochterfirmen und fest etablierten IT-Systemen sind zwei Jahre nicht viel Zeit, um die notwendigen Veränderungen zu planen, zu testen und durchzuführen.

Daher sollte darauf hingewiesen werden, dass diese Aktualisierung der EU-Datenschutzrichtlinie den Schwerpunkt auf den Schutz der Kundendaten legt. Unternehmen aller Größen obliegt es jetzt, die Sicherheit auf neue Weise zu betrachten. Der erste Schritt zur Vorbereitung auf dieses gewaltige Projekt besteht darin, dafür zu sorgen, dass alle IT-Assets im gesamten Unternehmen sichtbar sind. Erst, wann das erreicht worden ist, kann begonnen werden, das Gesehene zu schützen.

* Philippe Courtot, Chairman und CEO bei Qualys

(ID:43892144)