Blog

GDPR-Compliance in der Cloud mit Colocation voranbringen

Nach: Patrick Lastennet

Es sind nur noch 9 Monate, bis die EU-Datenschutzrichtlinie (GDPR) in Kraft tritt. Unternehmen, die die Cloud nutzen, ebenso wie die Cloud-Dienstleister selbst, müssen sich auf die größte Veränderung in Bezug auf Datenschutz in einer Generation vorbereiten, auch in der Schweiz.

Ab dem 25. Mai 2018 muss jede Organisation, die persönlich identifizierbare Informationen über EU-Bürger kontrolliert oder verarbeitet, strenge organisatorische und technische Maßnahmen (d. H. "privacy by design") zur Einhaltung der GDPR implementiert haben.

Entscheidend ist, dass GDPR die Beweislast von Einzelpersonen hin zu Organisationen verschiebt. Wo die Bürger bisher beweisen mussten, dass sie Opfer von Datenmissbrauch oder Sicherheitsverletzungen waren, müssen die Organisationen nun nachweisen, dass sie ausreichende, präventive Maßnahmen zum Schutz personenbezogener Daten angemessen umgesetzt haben.

Wird diesen Verpflichtungen nicht nachgekommen, zieht das drakonische Strafen nach sich. Neben Geldstrafen von bis zu 4% des weltweiten Umsatzes eines Unternehmens verpflichtet GDPR auch zur Offenlegung von schwerwiegenden Datenverletzungen, was tiefgreifende Auswirkungen auf Kundenvertrauen, Markenreputation und Aktienwert haben kann. Folglich könnten Schäden durch Nichterfüllung von Compliance-Anforderungen bald in Milliarden Euro für die größten globalen Unternehmen gemessen werden – man erinnere sich nur die Auswirkungen des Yahoo-Hacks auf die Akquisition durch Verizon.

Das Problem greifbar machen

Es gibt immer noch erhebliche Unklarheiten und Bedenken rund um GDPR, und nur 6% der Cloud-Services sind derzeit auf die neue Datenschutzgesetzgebung vorbereitet. Gerade deshalb ist es wichtig, dass Organisationen entlang der Cloud-Wertschöpfungskette ihre Systeme und Prozesse jetzt evaluieren, um sicherzustellen, dass sie personenbezogene Daten adäquat schützen können.

Gerade wegen der erheblichen Geldstrafen, die mit GDPR drohen können, müssen Unternehmen ihre eigene Infrastruktur und die ihrer Cloud-Dienstleister sorgfältig prüfen, um eine ausreichende Sicherheit zu gewährleisten. Cloud-Dienstleister müssen sich auch absolut im Klaren darüber sein, dass sie für Datenschutzverletzungen verantwortlich gemacht werden können, die auf ihren Plattformen stattfinden.

GDPR unterscheidet zwischen denen, die die Daten kontrollieren, wie den Unternehmen, die entscheiden, was sie mit den von ihnen gesammelten persönlichen Daten tun, und Datenverarbeitern, die auch Cloud-Dienstanbieter beinhalten, die Daten im Auftrag eines Unternehmens bearbeiten. Letztlich ist es in der Verantwortung dessen, der die Daten kontrolliert, sicherzustellen, dass best practice in Bezug auf Sicherheit und Compliance in ihrer gesamten Wertschöpfungskette zu gewährleisten. Im Falle eines Verstoßes und einer anschließenden Untersuchung können sich Datenverarbeiter jedoch auch haftbar machen, wenn das Leck in ihren Systemen entstanden ist.

Sichern der Wertschöpfungskette

Angesichts der Anforderungen des GDPR müssen sowohl Unternehmen als auch Cloud-Dienstleister eine vollständige Kontrolle über ihre Sicherheit unter Beweis stellen. Best Practice Data Protection ist die gesamte Wertschöpfungskette entlang bis hin zur Infrastrukturebene und der physischen Sicherheit in Rechenzentren unerlässlich.

Ein entscheidendes Stück dieses Puzzles ist eine End-to-End-Verschlüsselung für alle persönlich identifizierbaren Informationen. Artikel 32 des GDPR zitiert dies ausdrücklich und fordert "angemessene ... Maßnahmen", um die Informationssicherheit zu gewährleisten, einschließlich der "Pseudonymisierung und Verschlüsselung personenbezogener Daten".

Um mit dem wachsenden Trend, alles in der Cloud, auf Geräten und im Firmennetzwerk zu verschlüsseln, Schritt zu halten, sind die Unternehmen mit der Notwendigkeit konfrontiert, Hardware-Sicherheitsmodule (HSMs) zu verwalten - Geräte, die die sicherste Speicherung garantieren, digitale Authentifizierungsschlüssel erzeugen und Krypto-Verarbeitung bereitstellen. Darüber hinaus sind Cloud Access Security Brokers (CASBs) von wesentlicher Bedeutung, um sensible Daten zu überwachen und zu verschlüsseln, die zu oder von jedem Cloud-Service in Echtzeit unterwegs sind.

Colocation kann helfen

Während die größten Unternehmen zweifellos ihre eigenen HSMs und CASB-Gateways betreiben, bietet Colocation erhebliche Effizienzgewinne im Rennen darum, GDPR-ready zu werden.

Mit der Cloud Security Alliance und anderen Industriegremien, die jetzt empfehlen, dass Verschlüsselungsschlüssel außerhalb der Cloud gehalten werden, werden Hybridarchitekturen zur Norm.

Colocation sorgt für eine gut geführte, robuste und sichere Infrastrukturumgebung - unterstützt durch strenge SLAs für Leistung und Verfügbarkeit, bewährte Einhaltung von Industriestandards und hochmodernen Systemen zur Überwachung und Steuerung des Betriebs rund um die Uhr.

Unternehmen sollten sich auch darum bemühen, Colocation-Anbieter zu identifizieren, deren Einrichtungen die kürzeste Round-Trip-Zeiten zu den großen Cloud-Plattformen bieten. Dies verhindert jegliche mögliche Verschlechterung von Anwendungsperformance, da die Speicherung von Datenverschlüsselung-Keys in Hardware außerhalb der Cloud stattfindet und nicht in einem Cache darin.

Neben der nachweisbaren Sicherheit bietet Colocation auch einen leichteren Zugang zu einer grossen Community von Cloud-Services und -Skills, die nur eine Cross-Connect-Verbindung entfernt sind. Unternehmen können schnell Zugang zu Managed Service-Providern finden, um komplexes und zeitaufwändiges HSM-Management zu vermeiden und gleichzeitig eine optimale Leistung zu gewährleisten. Ebenso sorgt die Platzierung eines CASB in einem Colocation-Rechenzentrum auch für leistungsstarke, sichere Konnektivität zu mehreren Clouds, die sowohl schnell als auch kostengünstig ist.

Ein Silberstreif am Horizont

Während die Strafen schwerwiegend sein können, zahlt es sich aus, die Einhaltung der GDPR als mehr als eine obligatorische Investition zu betrachten. In der Tat können Unternehmen und Cloud-Dienstleister, die sich dem Datenschutz widmen, einen Wettbewerbsvorteil gewinnen.

Durch die vollständige Verschlüsselung von Informationen in der Cloud, die Sicherstellung zuverlässiger Infrastruktur-Sicherheit sowie einen einfachen Zugang zu einer Vielzahl von Experten, und Mehrwertdiensten können Unternehmen sicherstellen, dass sie in der Post-GDPR-Welt als zuverlässig angesehen werden.

Um mehr darüber zu erfahren, wie Interxion Sie bei den Herausforderungen in Bezug auf GDPR unterstützen kann, kontaktieren Sie uns, um ein Termin mit einem unserer Compliance-Spezialisten zu vereinbaren.