2. März 2018

Cloud Security und EU Datenschutz-Grundverordnung – Wie können sich Unternehmen vor Risiken schützen?





Sind meine sensiblen Unternehmensdaten in der Cloud sicher? Wurden meine Daten ordnungsgemäß abgespeichert? Welche Bedrohungen existieren? Sind meine Daten davor geschützt? Dies ist nur eine kleine Auswahl an Fragen, die sich ein Unternehmen stellen sollte, wenn der Weg in die Cloud in Betracht gezogen wird. Es gibt eine große Menge an Bedrohungen. Um zu wissen, welchen potenziellen Gefahren man als Unternehmen ausgesetzt ist, muss man sie erst einmal benennen können. Erst dann kann in weiterer Folge entsprechend reagiert und gehandelt werden.

Welche Sicherheitsrisiken gibt es?

Datenverluste

Egal ob es sich um einen eigenen Server oder um eine Cloud-Umgebung handelt, die gespeicherten Datenmengen sind stets potenzieller Gefahr ausgesetzt. Betriebsgeheimnisse, Kundeninformationen oder geistiges Eigentum sind ein besonders attraktives Angriffsziel. Unternehmen erleiden durch Geldbußen, Aufarbeitung der Sachlage und Gerichtsprozesse erheblichen wirtschaftlichen Schaden. Auch Image- und Auftragsverluste durch mangelndes Vertrauen auf Seiten der Kunden können die Folge von einem Datenverlust sein.

Gestohlene Benutzerdaten & Ausgenutzte Schwachstellen

Nicht selten heißt es in Medienberichten, Login-Datensätze seien in großen Dimensionen gestohlen worden. Grund hierfür sind meistens das Versäumnis einer Implementierung von Mehrfaktor-Authentifizierung – ohne eben diese genügt bereits ein geknacktes Passwort und Hacker gelangen an ganze Kundendatensätze. Systeme und Anwendungen haben seit jeher Schwachstellen und Bugs, doch durch Cloud-Nutzung teilen sich mehrere Unternehmen nicht nur Arbeitsspeicher, sondern auch andere Ressourcen. Um dem entgegenzuwirken und einen drohenden Schaden zu verhindern, müssen regelmäßig alle Systeme auf Schwachstellen geprüft und auf Bedrohungen vorbereitet werden.

Fehlende Sorgfalt

Häufig unterschätzen Unternehmen die möglichen juristischen, technischen und wirtschaftlichen Gefahren. Bei Zusammenarbeit mit externen Firmen und der Migration in die Cloud, sollten daher höchste Sorgfalt walten. Selbstverständlich gibt es noch viele weitere Bedrohungen. Die oben genannten Beispiele sollen verdeutlichen, wie essentiell es ist, sich als Unternehmen mit den verschiedenen Sicherheitsaspekten zu beschäftigen. Weitere Herausforderungen für die Cloud Security liegen in der neuen EU- Datenschutzgrundverordnung:

Die EU-Datenschutz-Grundverordnung – Was muss man beachten?

Die EU-Datenschutz-Grundverordnung trat bereits mit 25. Mai 2016 in Kraft – Unternehmen wurde eine zweijährige Übergangsfrist gewährt. Somit ist der endgültige Stichtag der 25. Mai 2018. Ab diesem Zeitpunkt soll die Einhaltung durch die EU-Datenschutz-Grundverordnung und die Gerichte überprüfbar sein. Ziel war es, eine Einigung und Vereinheitlichung auf EU-Ebene zu schaffen, da bisher viele nationale Unterschiede zum Thema Datenschutz vorherrschend waren. Sie gilt nun für alle Mitgliedsstaaten, kann aber mit nationalen Regelungen durch sog. Öffnungsklausen ergänzt werden.

Die Kernpunkte der EU DS-GVO

Stärkere Nutzerrechte, Kontrolle und Transparenz

Nutzer erhalten einen erleichterten Zugang zu ihren Daten. Das bedeutet, jeder hat das Recht zu erfahren, welche Daten über ihn gesammelt und gespeichert werden und wer diese zu welchem Zweck verarbeitet. Das bedeutet gleichzeitig, dass insbesondere personenbezogene Daten nur dem Nutzer gehören, so dass auch diese auf Verlangen gelöscht werden müssen.

Mindestalter ab 16 & Höhere Bußgelder

Minderjährigen soll die Anmeldung in sozialen Netzwerken erschwert werden. Allerdings gehen Kritiker schon jetzt davon aus, dass Kinder sich in weiterer Folge ohne Zustimmung der Eltern rechtswidrig anmelden könnten.  Verstoßen Unternehmen gegen die DS-GVO, so können außerdem Bußgelder in Höhe von bis zu 4% der Jahresumsätze des Unternehmens verhängt werden. Große Unternehmen betrifft es besonders, wenn Summen im sieben- oder achtstelligen Betrag gezahlt werden müssen.

Regelung für US-Unternehmen

Beriefen sich Unternehmen früher an das US-amerikanische Recht, so wird mit der EU-DS-GVO eine Änderung stattfinden. Jedes außereuropäische Unternehmen, welches Standorte in der EU hat, muss sich an die neue Grundverordnung halten.

Welche Konsequenzen entstehen für Unternehmen?



Ein großes Defizit der neuen EU-DSGVO liegt in den unpräzisen Formulierungen, dadurch können sich für Unternehmen Probleme in der Umsetzung auftun. Nichtsdestotrotz müssen Unternehmen internen Prozesse evaluieren und sich eine Übersicht über ihre IT-und Datenstruktur schaffen. APS bietet einen Microsoft Cloud Security Workshop (Secure Score Assessment), in welchem die wichtigsten Aspekte rund um das Thema Cloud Security und der EU DS-GVO angesprochen werden. So wird beispielsweise nicht nur untersucht, wie Dokumente innerhalb einer Organisation klassifiziert und geschützt werden können, sondern auch wie das Sicherheitsberichtswesen der Organisation vonstattengeht. Außerdem greift der Workshop die Frage auf, wie eine Automatisierung der Administration von Compliance und Security Richtlinien erreicht werden kann.

Webcast

Bereiten Sie Ihr Unternehmen für die Neuerungen der DSGVO vor. Im Rahmen zweier Webcasts am 13. & 20.3. informiert Allgeier über die Kernpunkte zur neuen Datenschutzgrundverordnung. Hier geht es zur Anmeldung!



Quellen:
https://www.e-recht24.de/datenschutzgrundverordnung.html
https://www.security-insider.de/sieben-tipps-zur-cloud-security-a-630536/
https://www.computerwoche.de/a/sicherheitsrisiken-in-der-cloud,3224964
https://www.internetworld.de/e-commerce/datenschutz/dsgvo-uhr-tickt-jetzt-zu-tun-1232674.html
https://www.computerwoche.de/a/eu-dsgvo-unternehmen-muessen-sich-jetzt-vorbereiten,3330971,2
https://www.bitkom.org/Presse/Anhaenge-an-PIs/2016/160909-EU-DS-GVO-FAQ-03.pdf
http://www.zdnet.de/88294081/dsgvo-11-tipps-fuer-die-optimale-umsetzung/?inf_by=59dfabda671db80b328b481d
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
http://www.searchsecurity.de/lernprogramm/Was-Stand-der-Technik-in-der-DSGVO-bedeutet

22. Oktober 2012

Strategische Überlegungen zur Verknüpfung von Cloud-Diensten

Ein Artikel auf heise.de [1] beschreibt kurz die Reaktionen auf den Bericht der Europäischen Datenschützer zum Thema "Google privacy policy: main findings and recommendations" [2].

Die Sensibilität und Sicherheit von Daten ist in aller Munde. Datenschutz wird heutzutage teilweise gerne
gegen Komfort in der Nutzung eines Cloud-Services eingetauscht. Die Anwender gewöhnen sich an die Cloud und daraus resultiert der Wunsch, auch dienstlich diese Services zu nutzen. So finden auch nicht private Daten den Weg ins Web.