Cloud & Compliance: Welche Anforderungen müssen Anbieter erfüllen?
Autor: Markus Fleischer, Head of Strategy & New Markets bei A1 Digital/gg
Die Nutzung von Cloud-Plattformen wird mit Voranschreiten der Digitalisierung immer wichtiger für Unternehmen und zunehmend auch für Behörden. Die Suche nach sicheren und skalierbaren Lösungen stellt Nutzer jedoch vor einige Herausforderungen. Insbesondere mit Blick auf Compliance und IT-Sicherheit sollten Anwender keine Kompromisse eingehen und müssen sich umgehend informieren, welche Cloud-Anbieter ihren Kriterien entsprechen.
Informations- und Cloud-Sicherheit
Doch warum sollte man sich überhaupt für eine Cloud-Lösung entscheiden? Gegenüber einem eigenen Rechenzentrum beziehungsweise einer unternehmens- oder behördeninternen IT-Struktur bietet sie einige Vorteile, die auf der Hand liegen. Hierzu zählen unter anderem die dynamische Skalierung, laufend aktualisierte Entwicklungsumgebungen und der Einsatz zentraler Datenplattformen. Durch die Zentralisierung von Daten lässt sich Silobildung vermeiden sowie Datenanalysen einfacher durchführen. Doch auch mit Blick auf IT-Sicherheit können Cloud-Services einen Beitrag leisten.
Eine verbesserte Widerstandsfähigkeit auf technischer Seite ergibt sich beispielsweise aus der Expertise der Anbieter in Sachen digitaler Sicherheit und laufender Aktualisierung der Systeme. Zudem finden ein umfangreiches Monitoring und Überwachung der Dienste statt, was insbesondere kleinen und mittleren Unternehmen in Bezug auf Zeit, Aufwand und Kosten hilft, unter anderem die Effekte des IT-Fachkräftemangels zu entschärfen.
Cloud-Anbieter müssen darüber hinaus hohe Sicherheitsstandards erfüllen, die häufig mit Zertifizierungen einhergehen. Wenn Cloud-Nutzer also ihre eigenen Zertifizierungen im Bereich der Informationssicherheit oder auch Versicherungsschutz im Bereich Cyber-Sicherheit anstreben, können diese Verfahren verkürzt werden. Sollten Kunden darüber hinaus individuelle Verschlüsselungen ihrer Datensätze wünschen, so können sie diese zusätzlich zu den standardmäßigen Cloud-Verschlüsselungen aufsetzen.
Standort als zentraler Faktor
Seit 2018 ist die Datenschutz-Grundverordnung (DSGVO) geltendes Recht innerhalb der EU sowie in Nicht-EU-Staaten des Europäischen Wirtschaftsraumes. Die Verordnung vereinheitlicht die Regulierung zur Verarbeitung personenbezogener Daten. Der Regelsatz hat viele Unternehmen vor große Herausforderungen hinsichtlich Digitalisierung sowie den Themenkomplexen IT-Sicherheit und den Datenschutz gestellt.
Der Ort der Datenhaltung ist besonders entscheidend: Deutschland und die EU sind als Orte zur Speicherung unproblematisch. Drittländer sind deutlich schwieriger, wobei Unternehmen Datensätze, die in Drittländern gehalten werden über die EU-Standardvertragsklauseln abbilden können. Einen Problemfall stellt die USA und deren Überwachungsgesetze dar. Auf Basis des sogenannten Cloud-Acts können amerikanische Unternehmen zur Herausgabe der von ihnen verwalteten Datensätze gezwungen werden. Das gilt auch für Daten, die sich nicht in den USA befinden. Somit lässt sich diese Zwickmühle nicht mit den Schritten amerikanischer Provider umgehen, obwohl diese inzwischen die Daten ihrer europäischen Kunden innerhalb der EU speichern.
Auch eine eigenständige Verschlüsselung – Stichwort „bring your own key“ – die einer Cloud-Nutzung vorangestellt wäre, bringt keine absolute Sicherheit. Der Versuch einer allgemeingültigen Vereinbarung, wie mit der Datenübermittlung in Drittländer wie die USA umgegangen werden sollte, beispielsweise dem „EU-US Privacy Shield“ wurde letztlich gekippt: Das „Schrems II“ -Urteil des Europäischen Gerichtshofs nimmt europäische Nutzer von nicht in der EU sitzenden Cloud-Anbietern in die Pflicht, ihre transatlantische Datenübermittlung zu prüfen.