Tokenisierung
Die verschleierte Cloud
Unternehmen zieht es in die Cloud, jedoch sorgen sie sich um die dort gespeicherten Daten, sei es aus Compliance-Gründen oder Notwendigkeiten des Datenschutzes. Die erste Antwort lautet dann oft Verschlüsselung, diese ist jedoch kein Allheilmittel. Wenn es um Daten geht, welche die Kontrolle des Unternehmens nicht verlassen dürfen, stößt Verschlüsselung an ihre Grenzen. Dann ist Tokenisierung die Technologie der Wahl, denn diese ermöglicht die Nutzung von Cloud-Services, ohne jedoch relevante oder sensible Daten in die Cloud auszulagern.
Schon für Unternehmen, die sich mit ihrem Geschäft ausschließlich auf dem Heimatmarkt bewegen, ist es schwer genug, die vielfältigen Anforderungen an Datenschutz und Compliance aus den lokalen Gesetzen und Regularien zu erfüllen. Aber in einer internationalen Wirtschaftsumgebung steigt die Komplexität für kleine oder mittelständische Betriebe immens an – von Großunternehmen gar nicht zu sprechen. Sie stehen vor den vielfältigen gesetzlichen Anforderungen in Ländern, mit denen sie Business betreiben. Das hält manchen zusätzlich zu den lokalen Anforderungen davon ab, seine Anwendungen und Daten der Cloud anzuvertrauen.
Auf der anderen Seite sind die Vorzüge Cloud-basierter Geschäftsanwendungen wie Salesforce, Oracle, SAP-Success-Factors oder Service-Now zu verlockend, als dass man sich davor verschließen könnte. Wäre da nicht das schwer zu überblickende Datenschutzproblem, Exportverbote für Daten oder Speichereinschränkungen beispielsweise für Gesundheits- oder Finanzdaten. Deutschland, die EU, die Schweiz, Russland, Kanada, die USA oder China – Wirtschaftsnationen, die auf sich halten, kreieren ihre eigenen Datenschutznormen und -gesetze. Hinzu kommen branchenspezifische Compliance-Anforderungen und besondere Vereinbarungen mit Geschäftspartnern.
In Anbetracht der standort- und geschäftsspezifischen Datenschutzanforderungen besteht die Herausforderung darin, eine Balance zwischen dem Schutz sensitiver Daten und der Ausschöpfung eines maximalen Nutzens aus den Cloud-Applikationen zu finden. Es ist nun mal keine Option, personenbezogene oder unternehmenskritische Daten als Klartext in die Cloud zu stellen. Außerdem, auch wenn dies oftmals nicht erwähnt wird, könnte beispielsweise der Cloud-Provider die Daten auf Servern verarbeiten oder speichern, die sich physikalisch nicht an einem Standort mit höchsten Datenschutzbestimmungen befinden, sei es für die primäre Verarbeitung oder lediglich für Backups. Und zudem können die Mitarbeiter des Cloud-Anbieters auf Daten zugreifen, wenn sie Routineprozesse wie Wartungen oder Server-Upgrades durchführen – und diese Mitarbeiter können sich überall auf der Welt befinden.
Selbst dieser „beiläufige“ Zugang, auch wenn er im Rahmen der SLAs des Providers notwendig ist, verletzt Policies und Regularien, die definieren, wer dazu berechtigt ist, Daten einzusehen oder zu bearbeiten. Und schließlich akzeptieren Cloud-Anbieter in ihren SLAs selten eine vollständige Verantwortung für die Kundendaten.
Sensitive Daten schützen
Cloud-Provider, Verschlüsselungs-Anbieter und Anwender suchen nach der für diese Szenarien besten Lösung, weil Verschlüsselungsverfahren für die Cloud sich grundlegend von der Verschlüsselung im Unternehmen unterscheiden, bei dem die Anwendung, die Daten und die Schlüssel sich an einem Ort befinden. Die Herausforderung liegt darin, einen effizienten Weg zu finden, Daten zu verschleiern und gleichzeitig die Funktionalität der Cloud-Anwendung zu erhalten. Dabei ist vor allem der letzte Punkt kritisch. Wenn die einfache Bedienung der Applikation durch den Mitarbeiter beeinträchtigt wird, dann entfällt einer der wichtigsten Treiber für Cloud-Computing. Datenschutzexperten wissen, dass Datenschutz ohne Einschränkung der Nutzungsqualität der Anwendung daher kommen muss. Dieses Dilemma erfordert vielfältige Innovationen, um alle Anforderungen unter einen Hut zu bringen.
- Die verschleierte Cloud
- Verschleierung von Daten
Lesen Sie mehr zum Thema
