Cloud-Services & Sicherheit
Compliance von Daten in der Cloud
Fortsetzung des Artikels von Teil 1
Compliance und Effizienz verbinden
Damit Unternehmen auch sensible Daten möglichst rechtssicher in die Cloud übertragen können, ist Kontrolle der wichtigste Aspekt. Dazu wurden verschiedene Cloud-Data-Protection- (CDP-)Plattformen entwickelt, die sich schnell als optimale Lösung für die Herausforderungen der Daten-Compliance etabliert haben. Damit können Unternehmen Datenrichtlinien definieren sowie ermitteln, welche Informationen geschützt werden sollen. Viele Auditoren und Compliance-Verantwortliche haben die entsprechenden CDP-Gateways zu den Cloud-Plattformen als wichtigen Kontrollpunkt für vertrauliche und sensible Daten begrüßt.
Wenn als notwendig erachtet, gibt es mindestens zwei Wege, um besonders zu schützende Daten zusätzlich zu kontrollieren und unkenntlich zu machen, bevor sie an den Cloud-Provider gesendet werden:
- Verschlüsselung der Daten oder des Wertes über eine Standard-Engine für Kryptografie.
- Tokenisierung der Daten oder des Wertes über dessen Austausch mit einem nicht darauf bezogenen Wert als Stellvertreter. Dieser Token wird an den Cloud-Provider geschickt, während der echte Wert im Klartext in einem lokalen Token-Speicher geschützt im Unternehmen verbleibt.
Von Unternehmen in Deutschland und Europa wird dieser Ansatz meist in einem hybriden Modell genutzt. Dabei bleiben die sensiblen Daten unter der Kontrolle des Unternehmens und gleichzeitig nutzen sie vollständig alle Vorteile der Cloud-Services, etwa von Salesforce. Die Cloud-basierten Anwendungen bleiben dabei voll betriebsfähig und performant, obwohl die sensiblen Daten durch Token ersetzt werden. Der Prozess der Tokenisierung ist durch ein Patent des Unternehmens Perspecsys beschrieben und geschützt.
Zum Beispiel verwendet eine deutsche Bank diese Lösung, um die persönlichen Daten ihrer Kunden in der Cloud zu schützen. Zur Gewährleistung der Compliance gab der zuständige Datenschutzbeauftragte vor, dass bestimmte sensible Daten nicht außerhalb der Kontrolle durch die Bank geraten dürfen. Trotzdem wollte das Institut die Vorteile der Kernfunktionalitäten des Cloud-Dienstes nutzen.
Diese Herausforderung wurde durch Tokenisierung gelöst. Dabei verbleibt der lokale Datensatz vollständig in der Kontrolle der Bank. An den Cloud-Provider geht an seiner Stelle nur ein Token, der sich nicht zum originalen Wert zurückverfolgen lässt, da es keinen mathematischen Zusammenhang gibt.
Ein weiteres Beispiel ist ein Arzneimittelhersteller, der sowohl persönliche Patientendaten als auch Behandlungsdaten in der Cloud speichert. Hier war es notwendig, die umfassende Kontrolle über diese Daten zu behalten, um die Compliance zu gewährleisten. Entsprechend war eine Übergabe an einen Drittanbieter wie den Cloud-Provider nicht möglich. Auch hier löste Tokenisierung das Problem, das ansonsten eine kostenaufwändige, selbst entwickelte Eigenlösung im Haus erfordert hätte.
Höhere Datensicherheit
„Der Schutz der Daten unserer Kunden steht für Salesforce seit jeher an erster Stelle“, erklärt Frank Engelhardt, Vice President Enterprise Strategy Salesforce Central Europe. „Unternehmen aller Größen nutzen unsere Cloud-Technologien, weil sie nur so die Geschwindigkeit für die Umsetzung von Innovation und digitaler Transformation erreichen, die sie für den Markt-erfolg im digitalen Zeitalter brauchen. Gleichzeitig profitieren unsere Kunden von höchsten Sicherheitsstands im kompletten Softwarestack.“
Ein hybrides Modell für Tokenisierung wird in der Regel von zwei spezialisierten Anbietern bereitgestellt: dem eigentlichen Cloud-Provider sowie einem Dienstleister, der die hohe Sicherheit der Anwendung für den lokalen Token-Speicher gewährleistet. Die Datensicherheit wird dabei in allen drei Bereichen der Nutzung gewährleistet, die bei jeder Art der Datenverarbeitung, traditionell oder Cloud-basiert, ein Risiken-Management erfordern: bei der Übertragung, der Speicherung und der Bearbeitung.
- Die Gefahren bei der Übertragung sind am besten untersucht und verstanden. Das Ziel bei der Absicherung muss es hier sein, das Mitlesen der transferierten Daten auf dem entsprechenden Kabel durch eine dritte Partei zu verhindern.
- Die Risiken bei der Speicherung sind ebenfalls recht gut bekannt. Hier handelt es sich um Informationen, die dauerhaft in einer bestimmten Form abgelegt sind, zum Beispiel als Datei oder in einer Datenbank. Die Sicherheitslösungen müssen in diesem Fall verhindern, dass Unbefugte diese Daten lesen können, falls sie etwa durch gestohlene Passwörter Zugang zu dieser Information erhalten.
- Bearbeitung bedeutet im Wesentlichen, dass die Daten in eine Anwendung oder einen Arbeitsprozess geladen wurden und sich im Arbeitsspeicher des entsprechenden Geräts oder Programms befindet. In der Regel liegen die Informationen dann im Klartext vor, während sie bearbeitet werden, und unterliegen daher nicht dem Schutz durch Techniken wie Cloud-basierte Verschlüsselung, welche die jeweiligen Provider anbieten.
- Compliance von Daten in der Cloud
- Compliance und Effizienz verbinden
- Verschiedene Lösungsmöglichkeiten
Lesen Sie mehr zum Thema
