„So, so you think you can tell, heaven from hell“ – ein Zitat aus Pink Floyds „Wish You Were Here“ – ist eine treffende Analogie dafür, ob Sie die volle Datenhoheit über Ihre Online-Daten behalten oder die Kontrolle an Ihren Cloud-Anbieter abgetreten haben.
In der heutigen digitalen Landschaft sind öffentliche Cloud-Dienste für Unternehmen, die Effizienz und Skalierbarkeit steigern wollen, zur Standardpraxis geworden. Dennoch bleiben Bedenken hinsichtlich Datensicherheit und -souveränität bestehen. Obwohl öffentliche Cloud-Anbieter robuste Sicherheitsmaßnahmen implementieren, sorgt die Übergabe sensibler Daten an Drittanbieter verständlicherweise für Vorbehalte. In diesem Artikel möchte ich auf die aktuelle Situation bei öffentlichen Cloud-Anbietern eingehen und vier proaktive Strategien vorstellen, um den Schutz Ihrer Daten zu stärken und die Souveränität in öffentlichen Clouds zu wahren.
Der Zugriff Ihres Cloud-Anbieters auf Ihre Daten ist grundsätzlich positiv gemeint: Öffentliche Cloud-Anbieter überwachen ihre Systeme, spielen regelmäßig Updates ein und setzen geschultes Personal ein, um die Datensicherheit zu gewährleisten. Problematisch wird es jedoch, wenn der Anbieter die Informationen nutzt, um gezielte Werbung zu schalten, oder wenn er gezwungen wird, Informationen an Behörden weiterzugeben – oft ohne Ihr Wissen.
Um es klar zu sagen: Die meisten Unternehmen – meiner Schätzung nach über 95 % – erhöhen ihre Sicherheit, wenn ihre Daten in die Cloud verlagert werden, im Vergleich zur Speicherung im eigenen Keller. Allerdings bedeutet der Umzug in die Cloud immer, dass der Zugriff an einen Dritten übergeben wird. Die Schweizer Datenschutzbehörde betont, dass Drittanbieter gesetzliche Rahmenbedingungen wie die DSGVO einhalten müssen. Öffentliche Cloud-Anbieter, oft ausländische Unternehmen, unterliegen jedoch lokalen Gesetzen, die möglicherweise mit den regulatorischen Standards der Kunden kollidieren können – ein bedeutendes Dilemma.
Cloud-Anbieter bieten daher Lösungen an, mit denen Kunden Datenschutz und Souveränität wahren können.
Ein grundlegender Ansatz besteht darin, Daten vor der Speicherung zu verschlüsseln und dem Anbieter keinen Zugriff auf die Schlüssel zu gewähren. Da der Kunde die Schlüssel besitzt – idealerweise in einem Hardware Security Module (HSM) gespeichert –, kann der Anbieter die Daten nicht lesen. Werden Daten in der Cloud verarbeitet, entschlüsselt der Kunde sie für die Verarbeitung und verschlüsselt sie danach erneut. Zukünftige Systeme mit homomorpher Kryptografie könnten es sogar ermöglichen, Daten zu verarbeiten, ohne sie zu entschlüsseln.
Für Microsoft Office-Anwendungen können Sie DKE – Double Key Encryption verwenden. Damit können Sie Office-Dokumente und E-Mails auf Ihrem Computer verschlüsseln, bevor sie in die Azure Cloud gelangen. Personen in Ihrer Active Directory-Gruppe, die Zugriff auf dasselbe Sensitivitätslabel haben, können die Daten lesen. DKE-Sensitivitätslabels können auch unternehmensübergreifend genutzt werden. So können vertrauliche Verträge bearbeitet werden, auch wenn sie in der Azure Cloud gespeichert sind (Erfahren Sie mehr über 365 DKE-Funktionen).
Google bietet eine ähnliche Lösung namens CSE – Client-Side Encryption an, um Google-Dokumente zu verschlüsseln.
Externe Schlüsselverwaltungslösungen wie der External Key Store (XKS) von Amazon Web Services (AWS) erhöhen die Datensicherheit, indem sie Verschlüsselung ermöglichen, ohne die Kontrolle über die Schlüssel an den Cloud-Anbieter abzugeben. Durch die Einrichtung eines sicheren Proxys zwischen der Cloud-Umgebung und externen Schlüsselmanagern können Organisationen Datenhoheit bewahren und gleichzeitig die Skalierbarkeit und Agilität der Cloud nutzen. Erfahren Sie mehr über den AWS External Key Store. Google bietet eine ähnliche Lösung namens EKM – External Key Management an.
Für diese Systeme wird empfohlen, HSMs zu verwenden, um geheime Schlüssel sicher zu speichern. Diese HSMs sollten in Clustern an verschiedenen Standorten eingerichtet werden, um Geo-Redundanz und redundante Internetanbindung zu gewährleisten. Lösungen wie der CloudsHSM-Service oder der vollständige DKE-Service von Securosys bieten maßgeschneiderte Drop-in-Lösungen.
Das Navigieren durch komplexe regulatorische Rahmenbedingungen wie die DSGVO erfordert eine präzise Einhaltung von Datenschutzstandards. Organisationen müssen Stakeholder schulen und eine Kultur der Compliance fördern, um regulatorische Risiken effektiv zu minimieren.
Das Einrichten umfassender Datenklassifizierungssysteme und regelmäßige Schulungen versetzen Teams in die Lage, Datenhoheit zu wahren und gleichzeitig Cloud-Technologien verantwortungsbewusst zu nutzen. Datenschutzbeauftragte sollten diese Systeme verstehen, um klare Empfehlungen geben zu können, anstatt den Cloud-Zugang zu blockieren. Unternehmen, Behörden und Regierungsstellen dürfen nicht länger wegsehen und müssen das Thema aktiv angehen.
🚀 Entdecken Sie DKE, XKS, CSE und EKM, um Ihre Datenschutzstrategie zu stärken.
🔒 Ermitteln Sie, welches Schutzniveau Ihre Daten benötigen.
📝 Implementieren Sie robuste Datenklassifizierungsrahmen und schulen Sie Ihre Teams entsprechend.
🛡️ Schützen Sie die Informationen Ihrer Mitarbeiter, Kunden und Stakeholder.
🙌 Gewinnen Sie Ihre Datenhoheit im Cloud-Ökosystem zurück!
Mit welchen Herausforderungen kämpft Ihr Unternehmen, um Datenhoheit in öffentlichen Clouds zu bewahren?