Argumente für den Cloud-Datenschutz Datenschutz und die RZ-Migration in die Cloud
Anbieter zum Thema
Gartner Analysten prognostizieren, dass bis zum Jahr 2025 80 Prozent der Unternehmen ihre traditionellen Rechenzentren aufgeben werden .Viele Unternehmen überdenken, wo sie Anwendungen implementieren. Gründe dafür sind die Netzwerklatenz, Kunden-Cluster sowie geopolitische Beschränkungen. Deshalb listete Gartner in seinen Gartner Top 10 Strategic Technology Trends for 2020 verteilte Clouds als Trend Nummer Sieben.

Die Zukunft von Rechenzentren wird sicherlich kontrovers diskutiert. Es bleibt abzuwarten, ob das von Gartner vorhergesagte Szenario hinsichtlich der Migration in die Cloud und der entsprechenden Abschaltung von on-premise Rechenzentren so schnell ablaufen wird. Die IT macht aber momentan einen signifikanten Wandel durch: von der lokalen, on-premise Infrastruktur hin zu Cloud-basierten Umgebungen für Workflows, Applikationen und Daten.
Derzeit – und auch in naher Zukunft – verwalten IT-Teams eine komplexe Mischung aus Cloud- (bzw. einer Vielzahl von Clouds) und on-premise Systemen. Datenschutz-Experten sorgen sich vor allem darum, ob Organisationen in der Lage sind, die Herausforderungen bei der Verwaltung von Hybrid Cloud-Umgebungen zu bewältigen.
Die geteilte Verantwortung des Cloud-Datenschutzes
Die Migration in die Cloud bedeutet nicht, dass Unternehmen die Verantwortung für den Datenschutz an den Cloud-Provider abgeben können. Vielmehr müssen sich beide diese Verpflichtung teilen. Amazon Web Services (AWS) verfügt über ein Modell der geteilten Verantwortung. Dies unterscheidet zwischen der „Sicherheit der Cloud“, die zu AWS gehört. Damit ist der Schutz der IT-Infrastruktur gemeint, auf dem die Services laufen. Dem gegenüber steht die „Sicherheit in der Cloud“, für die der Kunde selbst verantwortlich ist. Hierzu gehört der Schutz der Daten in der Cloud, unter anderem im Bezug auf Zahlungen, Kunden und Mitarbeiter.
Viele Organisationen kämpfen bereits mit den Grundlagen des Datenschutzes – und zwar egal, ob die Informationen im eigenen Rechenzentrum oder in der Cloud verwaltet werden. Hybrid- und Multi-Cloud-Umgebungen sind eine noch komplexere Herausforderung. Darüber hinaus entscheiden sich Firmen nicht mehr nur für einen einzigen Anbieter, sondern für eine Vielzahl. Dazu gehören Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) Provider und deren Angebote. Das Volumen und die Vielfalt persönlicher und sensibler Daten nimmt weiterhin rasant zu. Unternehmen nutzen daher zunehmend mehrere Clouds, über die die Informationen verteilt werden. Dies erhöht allerdings das Risiko für die Datensicherheit.
Organisationen müssen darüber hinaus auch eine wachsende Zahl an Datenschutz-Auflagen erfüllen, darunter die Europäische Datenschutz-Grundverordnung (DSGVO) vom Mai 2018 sowie der kalifornische Consumer Privacy Act (CCPA), der im Januar 2020 in Kraft trat.
Datenschutz-Governance ist für hybride Cloud-Umgebungen enorm wichtig
Daher ist ein neuer Security-Ansatz notwendig: Data Privacy Governance. Als Teil einer kompletten Lösung sowohl für on-premise als auch in der Cloud kann dieser Ansatz Transparenz schaffen, um sensible Datentypen zu erkennen und zu klassifizieren. Gleichzeitig ermöglicht er eine höhere Kontrolle darüber, wer auf welche Daten zugreift und schützt Informationen mit einer datenzentrischen Security. Der Schutz auf Datenebene adressiert Beschränkungen, die die Netzwerk- und Applikationssicherheit nicht behandelt – er arbeitet plattformunabhängig über heterogegen Umgebungen hinweg.
Die Data Privacy Governance ermöglicht Schutzkontrollen, indem sie die Aufmerksamkeit auf die Speicherorte sensibler Daten lenkt sowie auf die Personen, die auf die Informationen zugreifen können. Sie legt Governance-Richtlinien fest und kontrolliert Risiken kontinuierlich. Darüber hinaus legt sie Durchsetzungskontrollen ebenso fest wie Protokolle. Sie nutzt Data Privacy-Techniken wie Maskierung und Verschlüsselung, um Daten auf Detailebene zu anonymisieren und zu schützen. So lässt sich die Übertragbarkeit von Daten optimieren und eine angemessene Offenlegung gewährleisten.
Im Idealfall ist der Datenschutz mit einer datenzentrierten Security Teil einer umfassenderen digitalen Transformationsstrategie, die Menschen, Prozesse und Technologie miteinander verbindet. Dies ist eine Voraussetzung für Unternehmen, die Geschäftsziele wie eine größere Kundenorientierung, eine höhere Betriebseffizienz und Echtzeit-Analysen mit Hilfe aussagekräftiger Daten erreichen wollen.
Diese Bemühungen werden fehlschlagen, wenn die Beteiligten keinen Zugang zu detaillierten, präzisen und vertrauenswürdigen Daten erhalten. Oder noch schlimmer: das Unternehmen erleidet einen katastrophalen Datenmissbrauch. Die meisten Branchen konzentrieren sich zunehmend auf den Datenschutz und den Wert der Daten, da die Einführung der Cloud industrieübergreifend zunimmt. Dazu gehören unter anderem Finanzdienstleistungen, das Gesundheitswesen und der öffentliche Sektor bzw. Behörden.
Bedarf an Datenschutz: branchenübergreifend notwendig
Im öffentlichen Sektor gibt es eine Reihe von Initiativen, um die Einführung von Cloud-basierten Anwendungen zu beschleunigen. Ein Beispiel dafür ist die „Cloud-Smart“-Initiative der US-Regierung, die auf dem Federal Risk and Authorization Management Program (FedRAMP), einem Rahmenwerk, basiert. Generell müssen sich Regierungen auf allen Ebenen stärker auf den Datenschutz konzentrieren, wenn sie „Smart City“-Initiativen ins Leben rufen. Da sie bei diesen und anderen Projekten Daten für das öffentliche Wohl nutzen, ist dies zwingend notwendig.
Datenschutz ist im Gesundheitswesen ein wichtiges Anliegen, vor allem beim Übergang auf eine wertbasierte Versorgung. Dazu gehört eine personalisierte Patienten-Betreuung ebenso wie Präzisionsmedizin. Das Gesundheitswesen wandelt sich immer mehr zu einer patientenzentrierten und kollaborativen Branche. Gleichzeitig dürfen sensible Informationen aber nicht allgemein zugänglich gemacht, sondern müssen sicher über alle Beteiligten geteilt werden.
Auch Finanzdienstleister sehen sich einem wachsenden Druck ausgesetzt: Sie müssen regulatorische Anforderungen erfüllen und gleichzeitig Vertrauen bei ihren Geschäfts- und Privatkunden aufbauen. Nur so lassen sich Kunden angesichts einer schwindenden Loyalität halten. Allerdings können neue Engagement-Kanäle, Fusionen und Übernahmen sowie der Einsatz von Cloud-Technologien das Datenrisiko erhöhen und dazu führen, dass die Compliance nicht eingehalten wird – und damit das Marken-Image gefährden.
Argumente für den Cloud-Datenschutz
Traditionelle Rechenzentren mögen sich tatsächlich in einem rapiden Niedergang befinden, wie die Analyse von Gartner deutlich macht. Dies bedeutet nicht, dass die Cloud – obwohl sie viele Vorteile hat – weniger Risiken für den Datenschutz und die Datensicherheit mit sich bringt.
Organisationen müssen unternehmenskritischer Daten sowohl on-premise als auch in der Cloud identifizieren, einen angemessenen Zugriff und Verwendung prüfen sowie sie direkt an der Quelle sichern. Diese Vorgehensweise zahlt sich hinsichtlich eines niedrigeren Risikos und einer sicheren langfristigen Wertschöpfung aus.
Über den Autor: Jitesh Ghai ist SVP & GM of Data Quality, Security and Governance bei Informatica.
(ID:46836192)