Cloud Datenschutz: Wie Unternehmen ihre Daten sicher in die Cloud migrieren können

Die Nutzung von Cloud-Diensten bietet zahlreiche Vorteile für mittelständische Unternehmen. Sie ermöglicht flexible Arbeitsprozesse und eine effiziente Datenverwaltung. Doch mit diesen Vorteilen kommen auch Bedenken hinsichtlich der Datensicherheit und des Datenschutzes. Viele Unternehmen fragen sich daher, wie sie ihre Daten sicher in die Cloud migrieren können, ohne gegen Datenschutzanforderungen zu verstoßen.

Cloud-Dienste werden immer wichtiger für den Mittelstand. Sie bieten die Möglichkeit, Daten jederzeit und von überall aus zugänglich zu machen, was die Produktivität und Zusammenarbeit erheblich verbessern kann. Gleichzeitig wachsen jedoch die Sicherheitsbedenken. Cyberangriffe und Datenverluste sind Risiken, die es zu bewältigen gilt. Daher ist es entscheidend, dass Unternehmen geeignete Maßnahmen ergreifen, um ihre Daten in der Cloud zu schützen.

In diesem Beitrag teilen wir die Erkenntnisse von Tobias Mielke, Fachexperte für Managementsysteme bei der TÜV Informationstechnik GmbH und Auditor für ISO 27001 sowie verschiedene Datenschutzprogramme. Er bringt umfangreiche Erfahrung in der Prüfung, Evaluierung und Zertifizierung von IT-Sicherheitsmaßnahmen mit. Sein Vortrag auf der Veranstaltung „Cloud-Transformationsstrategie“ des mittelstand.digital.forum lieferte wertvolle Einblicke in die Herausforderungen und Best Practices beim Datenschutz in der Cloud.

Bevor wir tiefer in die Materie eintauchen, ist es wichtig, die grundlegenden Begriffe zu verstehen:

• Datenschutz: Der Schutz personenbezogener Daten vor Missbrauch und unbefugtem Zugriff. Hierbei spielen die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) eine zentrale Rolle. Diese Gesetze regeln, wie personenbezogene Daten zu handhaben sind, um die Privatsphäre der betroffenen Personen zu gewährleisten.

• IT-Sicherheit: Der Schutz von IT-Systemen und Informationen vor unberechtigtem Zugriff, Manipulation und Zerstörung. Dies umfasst technische Maßnahmen wie die Implementierung von Firewalls und Verschlüsselungstechniken, um die Integrität und Vertraulichkeit der Daten zu gewährleisten.

Obwohl Datenschutz und IT-Sicherheit oft synonym verwendet werden, gibt es wesentliche Unterschiede und Zusammenhänge:

• Datenschutz vs. IT-Sicherheit: Während der Datenschutz sich speziell auf den Schutz personenbezogener Daten konzentriert, befasst sich die IT-Sicherheit mit dem allgemeinen Schutz aller Daten und IT-Systeme. Beide Bereiche überschneiden sich jedoch, da der Schutz personenbezogener Daten technische IT-Sicherheitsmaßnahmen erfordert.

• Informationssicherheit: Dieser Begriff umfasst sowohl Datenschutz als auch IT-Sicherheit. Informationssicherheit zielt darauf ab, alle Informationen eines Unternehmens zu schützen, unabhängig davon, ob es sich um personenbezogene Daten oder andere sensible Informationen handelt. Hierbei werden sowohl technische als auch organisatorische Maßnahmen berücksichtigt.

Durch das Verständnis dieser grundlegenden Konzepte wird deutlich, dass ein umfassender Ansatz erforderlich ist, um sowohl den Datenschutz als auch die IT-Sicherheit in der Cloud zu gewährleisten. Nur durch die Integration beider Aspekte können Unternehmen sicherstellen, dass ihre Daten umfassend geschützt sind.

Die Migration von Daten in die Cloud bringt zahlreiche Herausforderungen mit sich. Diese müssen sorgfältig adressiert werden, um eine erfolgreiche und sichere Umstellung zu gewährleisten:

• Mangel an qualifiziertem Personal: Viele mittelständische Unternehmen haben Schwierigkeiten, ausreichend qualifizierte IT-Fachkräfte zu finden, die über das nötige Wissen und die Erfahrung im Umgang mit Cloud-Technologien verfügen. Dies kann die Umsetzung von Cloud-Projekten erheblich verzögern oder verkomplizieren.

• Technische und regulatorische Anforderungen: Die technische Komplexität einer Cloud-Migration sollte nicht unterschätzt werden. Unternehmen müssen sicherstellen, dass ihre Systeme kompatibel mit der Cloud-Infrastruktur sind und gleichzeitig die regulatorischen Anforderungen, wie die Einhaltung der DSGVO und anderer Datenschutzgesetze, erfüllen.

Neben den allgemeinen Hindernissen gibt es spezifische Sicherheitsbedenken, die viele Unternehmen davon abhalten, ihre Daten in die Cloud zu migrieren:

• Angst vor unberechtigtem Zugriff auf sensible Daten: Eine der größten Sorgen ist, dass sensible Daten während oder nach der Migration in die Cloud von unbefugten Personen eingesehen oder gestohlen werden könnten. Dies könnte schwerwiegende Folgen für das Unternehmen und seine Kunden haben.

• Sorge um Datenverlust und Compliance-Anforderungen: Unternehmen befürchten, dass Daten während der Migration verloren gehen könnten oder dass die Cloud-Lösung nicht alle Compliance-Anforderungen erfüllt. Dies betrifft insbesondere Branchen, die strengen gesetzlichen Regelungen unterliegen, wie das Gesundheitswesen oder die Finanzbranche.

Um diese Herausforderungen erfolgreich zu meistern, ist eine sorgfältige Planung und die Auswahl erfahrener Cloud-Dienstleister erforderlich. Es ist essenziell, sowohl technisches Know-how als auch rechtliches Verständnis zu kombinieren, um eine sichere und regelkonforme Cloud-Migration zu gewährleisten.

Ein zentrales Konzept bei der Nutzung von Cloud-Diensten ist das Modell der geteilten Verantwortung. Dieses Modell beschreibt die Verteilung der Sicherheits- und Compliance-Verpflichtungen zwischen dem Cloud-Anbieter und dem Cloud-Nutzer:

• Verantwortlichkeiten des Cloud-Anbieters: Der Cloud-Anbieter ist verantwortlich für die Sicherheit der Cloud-Infrastruktur. Dies umfasst physische Sicherheit, Netzwerksicherheit und den Schutz der Virtualisierungsschicht. Der Anbieter sorgt dafür, dass die zugrundeliegenden Ressourcen sicher und verfügbar sind.

• Verantwortlichkeiten des Cloud-Nutzers: Der Cloud-Nutzer ist für die Sicherheit der in der Cloud gespeicherten Daten und Anwendungen verantwortlich. Dies beinhaltet die Konfiguration von Sicherheitsmaßnahmen, das Management von Identitäten und Zugriffsrechten sowie die Einhaltung von Datenschutzrichtlinien.

Das Modell der geteilten Verantwortung kann anhand konkreter Beispiele verdeutlicht werden:

• Konfiguration von Firewalls: Während der Cloud-Anbieter grundlegende Netzwerksicherheitsmaßnahmen wie Firewalls bereitstellt, liegt es in der Verantwortung des Nutzers, diese Firewalls richtig zu konfigurieren. Der Nutzer muss sicherstellen, dass nur autorisierte Zugriffe erlaubt sind und dass die Firewall-Regeln regelmäßig überprüft und aktualisiert werden.

• Management von Verschlüsselung und Zugangskontrollen: Der Cloud-Anbieter kann Verschlüsselungstools und Identitätsmanagementsysteme bereitstellen, aber der Cloud-Nutzer muss diese korrekt implementieren und verwalten. Dies umfasst die Verschlüsselung sensibler Daten sowohl im Ruhezustand als auch während der Übertragung sowie die Verwaltung von Benutzerrechten und Zugangskontrollen.

Durch die klare Trennung und Zuordnung der Verantwortlichkeiten können sowohl Cloud-Anbieter als auch -Nutzer sicherstellen, dass die Sicherheitsanforderungen erfüllt werden und dass die Daten in der Cloud umfassend geschützt sind. Dieses Modell erfordert eine enge Zusammenarbeit und regelmäßige Kommunikation zwischen beiden Parteien, um Sicherheitslücken zu vermeiden und eine kontinuierliche Compliance zu gewährleisten.

Um die Sicherheit von Daten in der Cloud zu gewährleisten, müssen Unternehmen eine Kombination aus technischen und organisatorischen Maßnahmen ergreifen. Diese Maßnahmen helfen, Risiken zu minimieren und den Schutz sensibler Informationen zu gewährleisten:

• Implementierung von Verschlüsselung (Customer Key Encryption): Verschlüsselung ist eine der wichtigsten Sicherheitsmaßnahmen in der Cloud. Durch die Verwendung von Customer Key Encryption behalten Unternehmen die Kontrolle über ihre Verschlüsselungsschlüssel. Dies stellt sicher, dass nur autorisierte Benutzer auf die verschlüsselten Daten zugreifen können und dass die Daten selbst im Falle eines Sicherheitsvorfalls geschützt bleiben.

• Zugriffskontrollen und Identitätsmanagement: Ein effektives Zugriffs- und Identitätsmanagement ist entscheidend, um sicherzustellen, dass nur befugte Personen Zugang zu sensiblen Daten und Anwendungen haben. Unternehmen sollten rollenbasierte Zugriffsmodelle implementieren und Multi-Faktor-Authentifizierung (MFA) verwenden, um die Sicherheit weiter zu erhöhen. Regelmäßige Überprüfungen und Aktualisierungen der Zugriffsrechte sind ebenfalls notwendig, um sicherzustellen, dass nur die richtigen Personen Zugang haben.

Neben technischen Maßnahmen spielen auch Prozess- und Risikomanagement eine entscheidende Rolle bei der Sicherung von Cloud-Diensten:

• Durchführung von Risikoanalysen: Bevor Daten in die Cloud migriert werden, sollten Unternehmen umfassende Risikoanalysen durchführen. Diese Analysen helfen, potenzielle Bedrohungen und Schwachstellen zu identifizieren und geeignete Maßnahmen zur Risikominimierung zu ergreifen. Regelmäßige Aktualisierungen der Risikoanalysen sind notwendig, um auf neue Bedrohungen und Änderungen in der IT-Landschaft reagieren zu können.

• Erstellung und Pflege von Dokumentationen (Datenflussdiagramme, Netzpläne): Eine sorgfältige Dokumentation ist unerlässlich, um den Überblick über die Datenverarbeitung in der Cloud zu behalten. Unternehmen sollten Datenflussdiagramme und Netzpläne erstellen, um die Wege der Daten durch die Systeme zu visualisieren und mögliche Sicherheitslücken zu identifizieren. Diese Dokumentationen sollten regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie den aktuellen Stand der Technik und die tatsächlichen Prozesse widerspiegeln.

Durch die Kombination technischer und organisatorischer Maßnahmen sowie durch ein effektives Prozess- und Risikomanagement können Unternehmen die Sicherheit ihrer Daten in der Cloud gewährleisten und die Einhaltung von Datenschutzbestimmungen sicherstellen. Diese Ansätze helfen, das Vertrauen in Cloud-Dienste zu stärken und die Risiken im Zusammenhang mit der Datenverarbeitung in der Cloud zu minimieren.

Die Datenschutz-Folgenabschätzung (DSFA) ist ein zentrales Instrument, um die Datenschutzrisiken einer Verarbeitungstätigkeit zu bewerten und geeignete Maßnahmen zu ihrer Bewältigung zu planen. Sie ist besonders wichtig, wenn neue Technologien oder umfangreiche Datenverarbeitungen eingeführt werden:

• Systematische Beschreibung der Verarbeitungsvorgänge: Eine DSFA beginnt mit einer detaillierten Beschreibung der geplanten Verarbeitungsvorgänge. Dies umfasst die Art der Daten, die verarbeitet werden sollen, die Zwecke der Verarbeitung, die betroffenen Personen und die Empfänger der Daten. Eine klare und umfassende Dokumentation dieser Aspekte ist entscheidend, um die Risiken vollständig zu erfassen.

• Bewertung der Risiken und geplante Abhilfemaßnahmen: Nach der Beschreibung der Verarbeitungsvorgänge erfolgt eine Bewertung der damit verbundenen Risiken für die Rechte und Freiheiten der betroffenen Personen. Hierbei werden die Schwere und die Eintrittswahrscheinlichkeit der Risiken analysiert. Basierend auf dieser Bewertung werden dann Maßnahmen geplant, um die identifizierten Risiken zu minimieren. Dies können technische Maßnahmen wie Verschlüsselung und Pseudonymisierung sowie organisatorische Maßnahmen wie Schulungen und klare Richtlinien sein.

Die DSFA ist nicht nur eine Best Practice, sondern auch eine gesetzliche Anforderung, die in Artikel 35 der Datenschutz-Grundverordnung (DSGVO) festgeschrieben ist:

• Vorgaben gemäß Artikel 35 DSGVO: Gemäß Artikel 35 DSGVO ist eine DSFA durchzuführen, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies kann beispielsweise der Fall sein, wenn neue Technologien verwendet werden oder wenn umfangreiche personenbezogene Daten verarbeitet werden. Die DSFA muss dokumentiert und gegebenenfalls der Aufsichtsbehörde vorgelegt werden.

Durch die Durchführung einer DSFA können Unternehmen sicherstellen, dass sie die Datenschutzrisiken ihrer Verarbeitungstätigkeiten systematisch bewerten und geeignete Maßnahmen zur Risikominderung ergreifen. Dies trägt nicht nur zur Einhaltung der gesetzlichen Anforderungen bei, sondern stärkt auch das Vertrauen der Kunden und Partner in den Umgang des Unternehmens mit personenbezogenen Daten.

Bei der Nutzung von Cloud-Diensten endet die Verantwortung für Datenschutz und Sicherheit nicht beim direkten Cloud-Anbieter. Es ist entscheidend, die gesamte Lieferkette zu berücksichtigen, um sicherzustellen, dass alle beteiligten Parteien hohe Sicherheits- und Datenschutzstandards einhalten:

• Einbeziehung von Unterauftragnehmern des Cloud-Anbieters: Viele Cloud-Anbieter arbeiten mit verschiedenen Unterauftragnehmern zusammen, die spezialisierte Dienstleistungen wie Datenhosting, Wartung oder Support bereitstellen. Unternehmen müssen sicherstellen, dass auch diese Unterauftragnehmer strenge Sicherheits- und Datenschutzrichtlinien befolgen. Dies erfordert eine sorgfältige Überprüfung und Dokumentation der Maßnahmen, die von allen beteiligten Parteien in der Lieferkette ergriffen werden.

Neben der internen Kontrolle der Lieferkette müssen Unternehmen auch die regulatorischen Anforderungen berücksichtigen, die für die Datenübertragung und -verarbeitung in verschiedenen Ländern gelten:

• Drittlandübertragungen und der EU-U.S. Data Privacy Framework: Die Übertragung personenbezogener Daten in Länder außerhalb der Europäischen Union (Drittstaaten) ist an strenge Bedingungen geknüpft. Der EU-U.S. Data Privacy Framework ist ein Mechanismus, der sicherstellen soll, dass Daten, die in die USA übermittelt werden, einem angemessenen Schutz unterliegen. Unternehmen müssen überprüfen, ob ihre Cloud-Anbieter und deren Unterauftragnehmer die Anforderungen dieses Rahmenwerks erfüllen und entsprechend zertifiziert sind. Darüber hinaus sollten sie sicherstellen, dass alle Datenübertragungen in Drittstaaten den Vorgaben der Artikel 44 ff. DSGVO entsprechen.

Durch die Berücksichtigung der gesamten Lieferkette und die Einhaltung der regulatorischen Anforderungen können Unternehmen sicherstellen, dass ihre Daten nicht nur innerhalb ihrer eigenen Systeme, sondern auch bei allen externen Partnern und Dienstleistern sicher und datenschutzkonform verarbeitet werden. Dies reduziert das Risiko von Datenschutzverletzungen und stärkt die gesamte Sicherheitsarchitektur des Unternehmens.

Um die Sicherheit und den Datenschutz in der Cloud zu gewährleisten, können Unternehmen auf verschiedene Zertifizierungen und Standards zurückgreifen. Diese helfen dabei, die Einhaltung bestimmter Sicherheits- und Datenschutzanforderungen sicherzustellen:

• ISO/IEC 27701: Diese Norm erweitert die ISO/IEC 27001 und ISO/IEC 27002 um spezifische Anforderungen an ein Datenschutz-Managementsystem. Sie bietet Leitlinien zur Implementierung, Aufrechterhaltung und kontinuierlichen Verbesserung eines Datenschutz-Managementsystems und ist speziell darauf ausgerichtet, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu erfüllen.

• ISO/IEC 27001: Diese international anerkannte Norm legt die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) fest. Sie hilft Unternehmen dabei, systematisch und dauerhaft die Informationssicherheit zu gewährleisten und Risiken zu minimieren.

• C5-Kriterienkatalog: Der Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert Mindestanforderungen an die Sicherheit von Cloud-Diensten. Der Katalog umfasst 125 Kriterien, die sich auf 17 Themengebiete verteilen und bietet eine transparente Berichterstattung über die Sicherheitsmaßnahmen eines Cloud-Dienstes.

Zertifizierungen spielen eine entscheidende Rolle bei der Sicherstellung von Sicherheitsstandards und Compliance:

• Sicherstellung von Sicherheitsstandards und Compliance: Durch die Zertifizierung nach anerkannten Standards können Unternehmen nachweisen, dass sie die notwendigen Sicherheits- und Datenschutzmaßnahmen implementiert haben. Dies schafft Vertrauen bei Kunden und Partnern und erleichtert die Einhaltung gesetzlicher und regulatorischer Anforderungen.

Bei der Auswahl eines Cloud-Anbieters sollten Unternehmen auf verschiedene Kriterien achten, um sicherzustellen, dass der Anbieter die erforderlichen Sicherheits- und Datenschutzstandards erfüllt:

• Prüfumfang: Es ist wichtig, den Umfang der Zertifizierung zu überprüfen. Dabei sollte festgestellt werden, welche Bereiche und Prozesse des Cloud-Dienstes geprüft wurden und ob diese Prüfungen alle relevanten Sicherheits- und Datenschutzanforderungen abdecken.

• Gültigkeit: Die Gültigkeit der Zertifizierungen ist ein weiterer wichtiger Faktor. Unternehmen sollten sicherstellen, dass die Zertifizierungen aktuell sind und regelmäßig erneuert werden, um den fortlaufenden Schutz der Daten zu gewährleisten.

• Nationale und internationale Anerkennung: Zertifizierungen sollten von anerkannten nationalen oder internationalen Stellen ausgestellt werden. Dies stellt sicher, dass die Zertifizierung einem hohen Standard entspricht und weltweit anerkannt wird.

Durch die Berücksichtigung dieser Auswahlkriterien können Unternehmen sicherstellen, dass sie einen Cloud-Anbieter wählen, der robuste Sicherheits- und Datenschutzmaßnahmen implementiert hat. Dies trägt wesentlich zur Minimierung von Risiken und zur Sicherstellung der Compliance bei.

Die Anforderungen an Datenschutz und IT-Sicherheit entwickeln sich ständig weiter, und Unternehmen müssen auf dem Laufenden bleiben, um Compliance zu gewährleisten:

• NIS-2 Richtlinie und ihre Auswirkungen auf Cloud-Dienstleister und -Nutzer: Die NIS-2 Richtlinie (Network and Information Security Directive) zielt darauf ab, die Cybersicherheitsstandards in der EU zu vereinheitlichen und zu verschärfen. Diese Richtlinie wird weitreichende Auswirkungen auf Cloud-Dienstleister und deren Nutzer haben, da sie strengere Sicherheitsanforderungen und Meldepflichten vorschreibt. Unternehmen müssen sicherstellen, dass sie die neuen Anforderungen rechtzeitig umsetzen, um Sanktionen zu vermeiden.

Mit der fortschreitenden Digitalisierung und den zunehmenden Cyberbedrohungen wird die Stärkung der Cybersicherheit immer wichtiger:

• Fortlaufende Anpassung und Verschärfung der IT-Sicherheitsanforderungen: Unternehmen müssen ihre IT-Sicherheitsmaßnahmen kontinuierlich anpassen und verbessern, um neuen Bedrohungen und Schwachstellen zu begegnen. Dies erfordert regelmäßige Sicherheitsüberprüfungen, Schulungen und die Implementierung neuer Technologien und Best Practices. Die Entwicklung robuster Sicherheitsstrategien und die Zusammenarbeit mit erfahrenen Sicherheitsexperten sind dabei von entscheidender Bedeutung.

Die sichere Nutzung von Cloud-Diensten erfordert ein umfassendes Sicherheitskonzept, das sowohl technische als auch organisatorische Maßnahmen umfasst:

• Bedeutung eines umfassenden Sicherheitskonzepts bei der Cloud-Nutzung: Ein ganzheitlicher Ansatz zur Sicherung von Cloud-Diensten, der die Integration von Datenschutz- und IT-Sicherheitsmaßnahmen umfasst, ist unerlässlich. Nur so können Unternehmen ihre Daten wirksam schützen und den regulatorischen Anforderungen gerecht werden.

Um die Sicherheit und den Datenschutz in der Cloud zu gewährleisten, sollten Unternehmen proaktiv handeln:

• Proaktive Maßnahmen zur Sicherstellung von Datenschutz und IT-Sicherheit: Unternehmen sollten umfassende Risikoanalysen durchführen, geeignete technische und organisatorische Maßnahmen implementieren und regelmäßig überprüfen. Die Zusammenarbeit mit erfahrenen Cloud-Anbietern und Sicherheitsexperten kann dabei helfen, Sicherheitslücken zu schließen und Compliance sicherzustellen.

Die sichere Nutzung von Cloud-Diensten ist eine komplexe, aber notwendige Aufgabe für moderne Unternehmen. Um den Datenschutz und die IT-Sicherheit in der Cloud zu gewährleisten, ist es wichtig, auf dem neuesten Stand der Technik und der regulatorischen Anforderungen zu bleiben. Tobias Mielke und andere Experten stehen bereit, um Unternehmen bei dieser Herausforderung zu unterstützen. Für weitere Beratung und Unterstützung können Sie gerne Kontakt aufnehmen und von ihrem Fachwissen profitieren.