{"id":23493,"date":"2023-06-02T11:36:00","date_gmt":"2023-06-02T09:36:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=23493"},"modified":"2023-05-22T10:45:15","modified_gmt":"2023-05-22T08:45:15","slug":"datenschutz-in-der-cloud-spielend-einfach","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=23493","title":{"rendered":"Datenschutz in der Cloud spielend einfach"},"content":{"rendered":"\n

Autor: Elmar Eperiesi-Beck, Gr\u00fcnder und CTO von eperi<\/a>\/gg<\/p>\n\n\n\n

Software as a Service, Storage as a Service und viele andere as a Service-Modelle sind f\u00fcr Unternehmen eine prima Sache mit diversen Vorteilen. Junge, verteilte und agile Unternehmen etwa binden sich weniger interne IT und aufwendige Administration ans Bein und etablierte Unternehmen reduzieren den Aufwand im hauseigenen Rechenzentrum. IT, Computing und vor allem Anwendungen kommen quasi wie Strom aus der Steckdose. M\u00f6glich macht dies vornehmlich die Cloud. Die Parallele hat allerdings einen kleinen Hacken: W\u00e4hrend Strom in den meisten F\u00e4llen ausschlie\u00dflich aus der Steckdose entnommen wird, ist es bei der Cloud h\u00e4ufig eine bi-direktionale Beziehung. Man erh\u00e4lt den gebuchten Dienst \u2013 ganz \u00e4hnlich wie beim Strom \u2013 allerdings gibt man gleichzeitig etwas in die Cloud, n\u00e4mlich wertvolle und sensitive Daten. Und nachdem beispielsweise das EU Cyber-Resilienz-Gesetz und die versch\u00e4rfte Gesch\u00e4ftsf\u00fchrerhaftung in Kraft getreten sind, ist es f\u00fcr Unternehmen an der Zeit, eine vielleicht zu laxe Handhabung von Daten in der Cloud neu zu \u00fcberdenken \u2013 beispielsweise mit einer datenzentrischen Verschl\u00fcsselung.<\/p>\n\n\n\n

\"\"<\/a>
Bild: eperi<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Ein h\u00e4ufiges Missverst\u00e4ndnis<\/strong><\/p>\n\n\n\n

Nicht selten kursiert die Meinung, dass der Cloud-Provider f\u00fcr die Sicherheit der Daten zust\u00e4ndig sei. Nun ist im ersten Schritt zu kl\u00e4ren, von welcher Art der Sicherheit gesprochen wird. F\u00fcr die Sicherheit im Sinne der technischen Verf\u00fcgbarkeit ist der Provider verpflichtet. Er hat vornehmlich f\u00fcr die Ausfallsicherheit der Systeme und Dienste sowie f\u00fcr die Verf\u00fcgbarkeit der Daten zu sorgen. Die Sicherheit der Daten selbst obliegt dem Cloud-Nutzer, also dem Unternehmen, das die Cloud-Dienste in Anspruch nimmt. Das betrifft insbesondere den Schutz im Sinne einer Datensicherung, als auch den Schutz der Daten vor einem Zugriff von Cyberkriminellen. Einige Cloud-Anbieter haben zus\u00e4tzliche Services im Portfolio, mit denen eine erweiterte Sicherheit dazugebucht und sichergestellt werden kann. Beispielsweise lassen sich die Daten in der Cloud durch den Provider verschl\u00fcsseln. Damit der Cloud-Anbieter die Daten verschl\u00fcsseln kann, m\u00fcssen ihm diese jedoch in Klartext vorliegen. Bei einer solchen Vorgehensweise bleiben einige sicherheitsrelevante Fragen offen: wer kontrolliert den Schl\u00fcssel f\u00fcr die Verschl\u00fcsselung, wie werden die Daten auf dem Weg vom Anwender in die Cloud gesch\u00fctzt und wie k\u00f6nnen die immer noch bestehenden Angriffsvektoren durch die \u00dcbertragung der Klardaten in die Cloud und an den Provider eliminiert werden? Ein Beispiel einer solchen Verschl\u00fcsselung seitens des Providers ist die Microsoft Double Key Encrytion (DKE), die im Rahmen der Microsoft 365 E5 Lizenz zur Verf\u00fcgung steht. Hier kann ein Unternehmen zwar davon ausgehen, dass die Verschl\u00fcsselungsalgorithmen einen sehr hohen Sicherheitsstandard etablieren, allerdings bleiben die zuvor genannten Sicherheitsbedenken bestehen. Dar\u00fcber hinaus hat das DKE gravierende Nachteile f\u00fcr die Funktionalit\u00e4t. Selbst Microsoft r\u00e4t zum sparsamen Einsatz dieser Verschl\u00fcsselungsfunktionalit\u00e4t, da beispielsweise die Suchfunktion gro\u00dfteils oder g\u00e4nzlich eingeschr\u00e4nkt ist, was f\u00fcr den Anwender kaum akzeptabel erscheint. \u00c4hnliches gilt auch bei Services wie etwa Teams, Sharepoint, OneDrive oder mit Diensten von anderen Cloud-Diensteanbietern wie Salesforce oder AWS.<\/p>\n\n\n\n

Daten in der Cloud zu haben und f\u00fcr deren Schutz und die n\u00f6tige Compliance zu garantieren, ist folglich komplexer im Vergleich zu einer rein firmeninternen IT-Infrastruktur, um die man theoretisch einen wirksamen und geschlossenen Schutzperimeter errichten k\u00f6nnte. Allerdings ist der rein interne Ansatz f\u00fcr kaum ein Unternehmen realistisch, denn die internationale Zusammenarbeit, Remote- und Homeoffices sowie der Zwang mancher Anwendungsanbieter, wie beispielsweise Microsoft mit Office 365 oder SAP mit S\/4HANA, lassen den Unternehmen keine Wahl. Ob sie wollen oder nicht, die Cloud ist omnipr\u00e4sent und es f\u00fchrt kein Weg daran vorbei.<\/p>\n\n\n\n

Ganzheitlicher Ansatz der Datensicherheit f\u00fcr die Cloud<\/strong><\/p>\n\n\n\n

Es ist wenig erfolgversprechend, Cloud-Dienste mit einem Flickenteppich an Tools und Zusatzservices sicher f\u00fcr die Daten zu gestalten. Die Gefahr von L\u00fccken zwischen den diversen Schutzmechanismen ist hoch und die kontinuierliche Entwicklung der IT kombiniert mit den steigenden Anforderungen an Flexibilit\u00e4t, Skalierbarkeit und Agilit\u00e4t sind zus\u00e4tzliche Faktoren, die den Datenschutz auf klassische Art und Weise kaum m\u00f6glich machen. Ergo bleibt nur die Option einer komplett durchg\u00e4ngigen Verschl\u00fcsselung der Daten, beginnend bei deren Entstehung, \u00fcber den Transfer im Internet bis hin zum Cloud-Provider. Damit kann eine hohe Datensicherheit gew\u00e4hrleistet werden \u2013 unabh\u00e4ngig von Faktoren wie Skalierung, Technologiespr\u00fcngen, Provider-Wechsel oder ver\u00e4nderten gesetzlichen Anforderungen. Mit einer durchg\u00e4ngigen Verschl\u00fcsselung kann zu keinem Zeitpunkt ein unbefugter die Daten lesen oder missbrauchen. Entscheidend dabei ist, dass der Schl\u00fcssel f\u00fcr die Verschl\u00fcsselung allein beim Unternehmen liegt und keinesfalls bei einem Verschl\u00fcsselungsdienstleister oder beim Cloud-Provider.<\/p>\n\n\n\n\n\n\n\n

F\u00fcr Unternehmen ist es sinnvoll, den Schutz, die Sicherheit und die Compliance ihrer Daten in der Cloud mit einer geeigneten Verschl\u00fcsselungstechnologie sicherzustellen. Dies in Eigenregie zu verwirklichen w\u00e4re allerdings eine zu komplexe Aufgabe f\u00fcr IT-Abteilungen, die meist weder die Zeit noch die Ressourcen und in vielen F\u00e4llen auch nicht das n\u00f6tige Skill-Set haben \u2013 es sei denn, man bedient sich einer L\u00f6sung, die genau daf\u00fcr entwickelt ist. Realisierbar ist der durchg\u00e4ngige Schutz der Daten in der Cloud mit einem Gateway wie dem von eperi, das wie ein Proxy ins firmeninterne Netzwerk eingef\u00fcgt wird und automatisch f\u00fcr die ganzheitliche, durchg\u00e4ngige und damit datenzentrische Verschl\u00fcsselung sorgt. Der Vorteil: Das Gateway sch\u00fctzt nach schneller Installation und Konfiguration nicht nur s\u00e4mtliche Daten in der Cloud, es bewahrt sogar jegliche Funktionalit\u00e4t, die \u00fcblicherweise bei einer klassischen Verschl\u00fcsselung stark beeintr\u00e4chtig wird. Dazu geh\u00f6rt beispielsweise die Suchfunktion. Gel\u00f6st wir diese Anforderung mit Hilfe einer anonymisierten Indexierung der Daten. Ganz \u00e4hnlich wie bei einer Kreditkartenbezahlung, bei der die Kartennummer durch eine referenzierte Pseudo-Kartennummer ersetzt wird, geschieht dies auch im Verschl\u00fcsselungs-Gateway. Damit bleiben dem Anwender alle wichtigen Funktionen, die er f\u00fcr seine t\u00e4gliche Arbeit ben\u00f6tigt, erhalten.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: eperi<\/figcaption><\/figure>\n\n\n\n

Universelle Cloud-Datenschutzl\u00f6sung f\u00fcr beliebige Dienste<\/strong><\/p>\n\n\n\n

Damit die Verschl\u00fcsselung f\u00fcr unterschiedliche Cloud-Dienste vollumf\u00e4nglich mit einer Gateway-L\u00f6sung uneingeschr\u00e4nkt funktioniert und dabei die Funktionalit\u00e4t keine Einschr\u00e4nkungen erleidet, muss das Gateway an die jeweiligen Cloud-Dienste spezifisch angepasst sein. M\u00f6glich ist das mit sogenannten Templates. Dank des Template-Konzepts kann das Gateway f\u00fcr alle Cloud-Anwendungen eingesetzt und flexibel an die Datenschutzvorgaben angepasst werden. Ein Template steuert, welche Datenfelder verschl\u00fcsselt, tokenisiert oder im Klartext belassen werden und kann f\u00fcr beliebige Cloudanwendungen erstellt werden, sogar f\u00fcr Eigenentwicklungen. Mehr noch, mit einem Gateway k\u00f6nnen mehrere Templates gleichzeitig zum Einsatz kommen und damit unterschiedliche Cloud-Dienste gleichzeitig sicher genutzt werden. Individualisierte Templates lassen sogar den zuverl\u00e4ssigen Schutz von Nicht-Standard-Diensten zu.<\/p>\n\n\n\n

Cloud-Datenschutz<\/strong> muss einfach sein<\/strong><\/p>\n\n\n\n

Der Datenschutz, das Recht auf Privatsph\u00e4re und der Schutz vor cyberkriminellen Machenschaften scheint f\u00fcr Unternehmen, in Kombination mit dem aktuellen Fachkr\u00e4ftemangel, eine Mammutaufgabe zu sein, was gelegentlich zu Resignation oder einer h\u00f6heren Risikobereitschaft f\u00fchrt. Die L\u00f6sung liegt in der Simplifizierung, indem ein Schutzmantel um die Daten selbst aufgebaut wird, der im Grunde unabh\u00e4ngig vom Cloudanbieter oder den Cloud-Anwendungen die Daten wirksam sch\u00fctzt. Die selektive Verschl\u00fcsselung aller kritischen Daten, noch bevor diese ins Internet und in die Cloud gelangen, l\u00f6st das Problem gleicherma\u00dfen einfach und elegant. Mit einem Gateway speziell f\u00fcr die Cloud Data Protection erfolgt die Verschl\u00fcsselung f\u00fcr den Anwender unsichtbar im Datenstrom und unabh\u00e4ngig von der Cloudinfrastruktur oder der zu sch\u00fctzenden Cloudanwendung. In Folge werden nicht nur die Datenschutzrichtlinien f\u00fcr die Nutzung der Cloud eingehalten, sondern auch der Stand der Technik angewandt, der beispielsweise im Gesch\u00e4ftsgeheimnis Schutzgesetz (GeschGehG), in Cyberversicherungen oder der D&O Versicherung gefordert wird. Datenschutz und Privatsph\u00e4re in der Cloud kann so einfach sein.<\/p>\n","protected":false},"excerpt":{"rendered":"

Software as a Service, Storage as a Service und viele andere as a Service-Modelle sind f\u00fcr Unternehmen eine prima Sache mit diversen Vorteilen. Junge, verteilte und agile Unternehmen etwa binden sich weniger interne IT und aufwendige Administration ans Bein und etablierte Unternehmen reduzieren den Aufwand im hauseigenen Rechenzentrum. IT, Computing und vor allem Anwendungen kommen quasi wie Strom aus der Steckdose. M\u00f6glich macht dies vornehmlich die Cloud. Die Parallele hat allerdings einen kleinen Hacken: W\u00e4hrend Strom in den meisten F\u00e4llen ausschlie\u00dflich aus der Steckdose entnommen wird, ist es bei der Cloud h\u00e4ufig eine bi-direktionale Beziehung. Man erh\u00e4lt den gebuchten Dienst \u2013 ganz \u00e4hnlich wie beim Strom \u2013 allerdings gibt man gleichzeitig etwas in die Cloud, n\u00e4mlich wertvolle und sensitive Daten. Und nachdem beispielsweise das EU Cyber-Resilienz-Gesetz und die versch\u00e4rfte Gesch\u00e4ftsf\u00fchrerhaftung in Kraft getreten sind, ist es f\u00fcr Unternehmen an der Zeit, eine vielleicht zu laxe Handhabung von Daten in der Cloud neu zu \u00fcberdenken \u2013 beispielsweise mit einer datenzentrischen Verschl\u00fcsselung.<\/p>\n","protected":false},"author":1,"featured_media":23496,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,22],"tags":[4135,1015,17290,13233,3084,12904,4594,1992,36,6267],"class_list":["post-23493","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-cloud","tag-aws","tag-datenschutz","tag-dke","tag-eperi","tag-office-365","tag-s-4hana","tag-salesforce","tag-sap","tag-sicherheit","tag-verschlusselung"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23493","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=23493"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23493\/revisions"}],"predecessor-version":[{"id":23497,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23493\/revisions\/23497"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/23496"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=23493"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=23493"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=23493"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}