Trotz DSGVO unbeschwert Cloud-Services genießen

by Christoph Heichinger | Aug 02, 2018

Lesen Sie im folgenden Beitrag, welche Auswirkungen die Datenschutzgrundverordnung auf Cloud Services hat, welche Risiken mit diesen verbunden sind und wie Sie mit einfachen Mitteln rechtskonform agieren können.

Am 25. Mai 2018 endete die zweijährige Übergangszeit zur EU-Datenschutzgrundverordnung (DSGVO). Sie vereinheitlicht nun die Regelungen für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit. Die wesentlichen Eckpfeiler sind:

  • Stärkung der Betroffenenrechte (mehr Transparenz; Verankerung des Rechts auf Vergessenwerden; Einwilligung gilt nur falls freiwillig, aktiv und eindeutig)
  • Neuer Fokus auf die Datensicherheit (verpflichtende angemessene Sicherheitsvorkehrungen; Datenmissbräuche und Sicherheitsverletzungen müssen den Aufsichtsbehörden gemeldet werden)
  • Erhöhter Strafrahmen: Strafen bis zu 20 Millionen Euro beziehungsweise vier Prozent des Konzernumsatzes sind möglich

Um personenbezogene Daten ausreichend schützen zu können, müssen Unternehmen erst einmal wissen, wo sich diese befinden. Anfang des Jahres hat SER in der Studie ECM Insights herausgefunden, dass es genau dieses fehlende Wissen ist, das Herausforderungen bei der Umsetzung der DSGVO-Richtlinien verursacht. 77 Prozent der befragten Unternehmen haben zugegeben, Probleme beim Zugang zu personenbezogenen Informationen zu haben, da diese oftmals verstreut z.B. in Altarchiven, weiteren Legacy-Systemen, Filesystemen oder auch in E-Mail-Postfächern liegen.

Und was ist mit Cloud?

Die DSGVO hat auch wesentliche Auswirkungen auf das Cloud Computing. Zwar sind sowohl User als auch Anbieter verpflichtet, den Anforderungen der EU-DSGVO nachzukommen, letztendlich ist jedoch der Cloud-Nutzer selbst für die Einhaltung des EU-Datenschutzrechtes verantwortlich. Gemäß Artikel 28 Absatz 1 der DSGVO wird der User dazu verpflichtet, nur solche Cloud-Anbieter zu beauftragen, "die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet."

Die Situation wird zusätzlich durch den Umstand verschärft, dass einzelne Mitarbeiter oder ganze Abteilungen Cloud Services ohne Wissen der IT-Abteilungen nutzen – Stichwort Schatten-IT.  

Ein typisches Szenario ist die Nutzung eines privaten Dropbox-Accounts, der schnell eingerichtet ist, über eine sehr hohe Usability verfügt und beispielsweise dafür verwendet wird, Dokumente mit externen Partner auszutauschen. Damit verlassen die Daten ohne Kontrolle der IT und unter Verletzung der DSGVO das Unternehmen. Hinzu kommt, dass diese Daten sehr schnell in die Hände des Mitbewerbs wandern können, falls der Mitarbeiter das Unternehmen verlässt, um sein Glück bei der Konkurrenz zu suchen.

Risiko bei Messaging Apps im Unternehmen

Ein weiterer typischer Anwendungsfall, der die DSGVO untergräbt, ist die Nutzung von privaten Messaging-Apps im beruflichen Umfeld. Laut einer aktuellen Studie der Brabbler AG verwenden 41 Prozent der Befragten ihre Kommunikations-Apps regelmäßig auch in der Arbeit, was aus datenschutzrechtlicher Sicht hochproblematisch ist. So liest WhatsApp beispielsweise die Adressbücher der Mitarbeiter inklusive E-Mail-Kontakten und Telefonnummern von Kollegen, Kunden oder Partnern aus und gibt diese Daten an die Konzernmutter Facebook weiter. Das ist ein klarer Verstoß gegen die DSGVO und setzt die Unternehmen damit einem großen Risiko aus.

Ein wesentlicher Aspekt im Zusammenhang mit der DSVGO ist die Sicherstellung, dass kein unberechtigter Zugriff auf personenbezogene Daten erfolgt. In der Praxis versucht man dies durch einfache Passwörter zu erreichen, die aber entweder nicht den Mindestanforderungen entsprechen oder nicht selten an andere weitergereicht werden, wie etwa die Zugangsdaten eines gemeinsam genutzten Social Media-Accounts.     

Das können Sie tun, um das Risiko zu minimieren

Um entsprechende Gegenmaßnahmen setzen zu können, müssen sich Unternehmen erst einmal im Klaren werden, welche Cloud Services abseits der von der IT-Abteilung eingerichteten Systemen genutzt werden. Zu diesem Zweck hat sich der Einsatz von Cloud Access Security Broker (CASB) bewährt.

Der CASB, der ein Service oder eine Anwendung ist, befindet sich zwischen dem Anwender und der Cloud und ist in der Lage, die Kommunikation zu überwachen, zu protokollieren, zu steuern und bei verdächtigen Aktionen zu alarmieren. Dadurch lassen sich die intern einzuhaltenden Sicherheitsrichtlinien auf externe Services ausweiten und durchsetzen. Dies kann beispielsweise notwendig werden, um die Compliance-Richtlinien einer Organisation, eines regulierten Wirtschaftsbereichs und schließlich der DSGVO zu erfüllen. Unerwünschte Nutzung von Cloud-Services, wie sie durch eine Schatten-IT entstehen kann, wird durch den CASB verhindert.

Alternativen zur Schatten-IT zur Verfügung stellen

Mit der Verhinderung der Nutzung unerwünschter Cloud-Services allein ist es jedoch nicht getan. Da Schatten-IT in der Regel nicht aus Bösartigkeit entsteht, sondern aus dem Bedürfnis, produktiver zu arbeiten bzw. schnelle Lösungen von konkreten Probleme zu finden, können Verbote oder die Unterbindung bestimmter Dienste dazu führen, dass User neue Wege suchen, um die Vorgaben der IT-Abteilung zu umgehen. Selbst die Unternehmens-Firewall bietet keinen verlässlichen Schutz, wenn Mitarbeiter mit Hilfe ihrer privaten Smartphones eigene Hot Spots errichten.   

Daher ist es wichtig, mit den Usern und Abteilungen in einen Dialog zu treten, um die Motivation für die Schatten-IT und die typischen Anwendungsfälle zu verstehen. In einem nächsten Schritt lässt sich bestimmen, welche Alternativen zur Verfügung gestellt werden können, die einerseits die Bedürfnisse der Nutzer befriedigt, andererseits aber auch garantieren, dass die IT-Abteilung die volle Kontrolle behält und damit die Einhaltung der Compliance-Richtlinien sichergestellt ist. 

Multifaktor-Authentifizierung

Um, wie in der DSGVO vorgeschrieben, stets dokumentieren zu können, wer Zugriff auf personenbezogene Daten hat, bzw. sicherzustellen, dass kein unberechtigter Zugriff erfolgt, hat sich die Multifaktor-Authentifizierung auch im Zusammenhang mit Cloud-Services durchgesetzt.

Die State-of-the-art-Technologie kombiniert zwei oder mehrere unabhängige Berechtigungsnachweise wie Passwort, Security Token oder die biometrische Verifizierung. Damit erhalten Unternehmen im Gegensatz zu einem einfachen, oft unsicheren Passwort eine mehrschichtige Verteidigung: Unautorisierte Personen haben es so schwerer, auf ein Ziel wie zum Beispiel einen physischen Standort, ein Computing-Gerät, ein Netzwerk oder eine Datenbank Zugriff zu erlangen. Zudem lässt sich damit bequem dokumentieren, wer welchen Zugriff getätigt hat.

Fazit: Die DSGVO als Qualitätstreiber

Die DSGVO wird von vielen Unternehmen als finanzielle und organisatorische Belastung wahrgenommen. Für den Aufwand erhalten Firmen egal welcher Größe jedoch das Privileg, einen verlässlichen Überblick über die im Unternehmen vorhandenen Daten zu gewinnen, sie entsprechend abzusichern und in stringenten Prozessen gewinnbringend zu nutzen. Last but not least hilft die DSGVO, Licht in die Welt der Schatten-IT zu bringen, ohne auf die Vorteile von Cloud Services verzichten zu müssen.

 

New call-to-action

Autor: Christoph Heichinger

Leitung Business Unit Cloud