Advent-Tipps von Veritas
Über Ransomware, Multi Cloud und Shared Responsibility
Fortsetzung des Artikels von Teil 2
Shared Responsibility in das Bewusstsein rücken
Die Cloud bringt für Unternehmen eine ganze Reihe von Wettbewerbsvorteilen. Daher verlagern selbst Vertreter konventionell geprägter Branchen wie Finanzinstitute ihre Daten zunehmend in die Cloud. Allerdings unterschätzen viele Firmen die Bedeutung des Shared-Responsibility-Prinzips, das in den Verträgen der Cloud-Solution-Provider (CSP) standardmäßig festgehalten ist.
Beim Outsourcing von Daten an Dritte bleiben Unternehmen in den meisten Fällen in weitaus größerem Maße für ihre Daten verantwortlich als ihnen bewusst ist. Einer aktuellen Veritas-Studie zufolge denken fast alle Befragten (99 Prozent), dass der CSP für den Schutz bestimmter Assets in der Cloud zuständig ist.
Tatsächlich trägt ein Unternehmen für personenbezogene Daten laut Datenschutz-Grundverordnung (DSGVO) grundsätzlich die Verantwortung – unabhängig davon, ob diese an einen externen Provider ausgelagert wurden. Zum anderen halten die meisten Anbieter von Cloud-Diensten in ihren Standardverträgen fest, dass sie nur bis zu einem bestimmten Maße für die Verfügbarkeit und Wiederherstellung bestimmter Dienste verantwortlich sind. Für den Schutz vor Datenverlusten sind sie in der Regel nicht zuständig. Dass Informationen verloren gehen, kann in einem Unternehmen jedoch leicht passieren. Neben der wachsenden Gefahr, einer Cyberattacke zum Opfer zu fallen, kommt es auch immer wieder vor, dass Mitarbeiter Daten versehentlich löschen. Vernachlässigen Firmen solche Aspekte bei der Datenmigration, setzen sie sich gleich mehreren Risiken aus.
Compliance- und Sicherheitsrisiken
Zunächst besteht die Gefahr, dass die allgemeine Sicherheitslage geschwächt wird. Dadurch ist das Unternehmen nicht nur anfälliger für Angriffe, sondern kann sich auch schwerer davon erholen.
Es ist zwar vertraglich festgelegt, dass der Dienstleister den Nutzer bei bestimmten Arten von Datenverlusten finanziell entschädigen muss. Es ist jedoch unwahrscheinlich, dass sich damit die tatsächlichen Kosten des Vorfalls abdecken lassen. Erschwerend hinzu kommt die Rufschädigung. Sofern nicht anders im Vertrag mit dem CSP festgelegt, sollte das Unternehmen daher eigene Sicherungs- und Wiederherstellungslösungen implementieren.
Auch außerhalb des spezifischen Kontexts einer Cyberattacke gibt es unterschiedliche Mechanismen zur Einhaltung der gesetzlichen Vorschriften in der Cloud. Um Rechtsstreitigkeiten und die damit verbundenen Konsequenzen zu vermeiden, sollten Unternehmen vorausschauend agieren und alle notwendigen Überwachungs- und Benachrichtigungsverfahren sowie entsprechende Tools speziell für die Cloud- oder hybride IT-Infrastrukturen einrichten.
Durch mangelnde Sicherheit oder Compliance-Probleme können enorme Kosten entstehen. Besonders dramatisch wird es, wenn das Unternehmen, die für den Betrieb oder eine potenzielle „Nachbesserung“ erforderlichen Ressourcen und Fachkenntnisse nicht vorhergesehen hat. Denn Cloud-Fachkräfte sind teuer und nicht leicht zu bekommen. In einer Notsituation kann das Unternehmen in einen Verhandlungsnachteil geraten, wenn es schnell auf zusätzliche Lösungen oder externe Experten zugreifen muss.
Daher sollte die genaue Aufteilung der Verantwortung bereits im Vorfeld eines Cloud-Migrationsprojekts klar ermittelt und vertraglich festgelegt werden. Anschließend sollten Unternehmen personelle und technologische Lösungen einführen, um sicherzustellen, dass sie ihren Teil der Verantwortung übernehmen. Andernfalls steigt nicht nur die Gefahr, einer Cyberattacke zum Opfer zu fallen – auch die rechtlichen oder finanziellen Risiken nehmen zu.
Ralf Baumann, Country Manager Germany bei Veritas Technologies
- Über Ransomware, Multi Cloud und Shared Responsibility
- Sensible Daten in hybriden Infrastrukturen
- Shared Responsibility in das Bewusstsein rücken
Lesen Sie mehr zum Thema
