ink drop - stock.adobe.com
Virtualisierung für Datensouveränität in der Cloud nutzen
Unternehmen müssen personenbezogene Daten schützen und nachweisen können, wo diese sich befinden und wie sie genutzt werden. Bei Cloud-Nutzung eine Herausforderung für IT-Teams.
Die Public Cloud ist aus Unternehmen nicht mehr wegzudenken, da sie unter anderem schnelle Skalierbarkeit zu niedrigen Kosten ermöglichen: Laut Bitkom-Studie nutzen mittlerweile 82 Prozent der deutschen Unternehmen Cloud-Dienste – Tendenz steigend. Doch für manche Bereiche benötigen Unternehmen zusätzlich eigene IT-Infrastrukturen in Form einer Private Cloud oder On-Premises-Lösungen. Die Souveränität personenbezogener Daten in diesen Hybrid Clouds zu gewährleisten, stellt IT-Abteilungen vor Herausforderungen.
Unternehmen, die mit personenbezogenen Daten arbeiten, müssen diese schützen und zudem nachweisen können, wo sie sich befinden und wie sie genutzt werden. Nach der Nutzung sowie dem Auslaufen handels- und steuerrechtlicher Pflichten müssen sie restlos gelöscht werden können. Hinzu kommt: Es dürfen nur die Mitarbeiter mit personenbezogenen Daten arbeiten, die ein berechtigtes Interesse daran haben.
Aus diesen Gründen unterhalten viele Organisationen eine Private Cloud im eigenen Rechenzentrum sowie Public Clouds in europäischen Rechenzentren. Diese Hybrid- beziehungsweise Multi Clouds bündeln zwar die Vorteile von Private- und Public-Cloud-Modellen, doch beim Handling sensibler Daten sind sie oft zu komplex, um ausreichende Compliance für Datenschutzregelungen – unternehmensintern wie geschäftlich – zu gewährleisten.
Datensouveränität & Compliance: Was gilt es zu beachten?
Nicht zuletzt die DSGVO (Datenschutz-Grundverordnung) und ähnliche Verordnungen haben den Datenschutz in Europa weiter geschärft und zu einem der stärksten weltweit gemacht. Doch brachten sie zusammen mit Rechten für Nutzer auch Pflichten für Unternehmen mit, die personenbezogene Daten verarbeiten.
Dazu zählt die Löschpflicht personenbezogener Daten: Jede Person hat das Recht, alle über sie gespeicherten Daten restlos löschen zu lassen, sobald sie ihren Zweck erfüllt haben. Unternehmen, die über viele Cloud-Infrastrukturen verfügen und zwischen ihnen personenbezogene Daten austauschen und speichern, stehen hier vor einer großen Herausforderung: Nicht nur können die Daten, wenn sie in verschiedenen Rechenzentren gespeichert sind, bei einer gewünschten Löschung übersehen werden, auch Workload-Deployments sowie Backups und andere Wiederherstellungsdateien müssen bei der Löschaktion mitbedacht werden.
Unternehmen, die in ihrer Cloud personenbezogene Daten verarbeiten wollen, müssen bei der Anbieterauswahl ein paar Dinge beachten. Insbesondere der Standort der Rechenzentren ist für die Datensouveränität wichtig: In einigen Ländern wie beispielsweise den USA und China dürfen Geheimdienste Daten auslesen und verwerten, die sich in Rechenzentren des jeweiligen Landes befinden. Bei der Auswahl des Cloud-Services fallen Cloud-Dienstleister, die in solchen Ländern Serverstandorte unterhalten, für europäische Unternehmen von vornherein weg. Darüber hinaus gibt es weitere Merkmale, die Cloud-Dienstleister aufweisen sollten, damit Unternehmen, die sie in Anspruch nehmen, gesetzlich auf der sicheren Seite sind, allen voran eine Zertifizierung mit der ISO 27001.
Je mehr Clouds in einer unternehmenseigenen Multi Cloud gebündelt werden, desto größer ist der Aufwand für Verantwortliche, gesetzeskonforme Dienste zu finden. Die Empfehlung ist klar: Personenbezogene Daten sollten am besten in einer Private Cloud gespeichert und nicht in internationale Public Clouds transferiert werden. Ist eine Cloud-basierte Datenverarbeitung notwendig, sollten sich Unternehmen für Anbieter mit europäischen Rechenzentren und ausreichender Zertifizierung entscheiden.
Wie Virtual Locations in Hyperkonvergenten Infrastrukturen helfen
Bei einer HCI ((hyper-converged Infrastructure) handelt es sich um eine Virtualisierung aller im Unternehmen befindlichen IT-Ressourcen. In ihnen werden Hardwarekomponenten wie Storage-, Rechenleistungs- Netzwerkressourcen virtualisiert und mit Hilfe einer Plattform zentral managebar gemacht. Hinzu kommen IT-Infrastrukturen externer Cloud-Service-Anbieter. Beispielsweise kann eine Firma, die über mehrere Standorte in Deutschland verfügt, mit einer HCI ihre gesamten standorteigenen sowie Cloud-Infrastrukturen zu einer kombinieren und verwalten.
Dies bietet einige Vorteile, beispielsweise haben IT-Verantwortliche Überblick über alle verfügbaren IT-Ressourcen und können diese nach Bedarf für Projekte aufteilen. Bei nicht ausreichenden Ressourcen, etwa der Rechenkapazität, können per Cloud-Dienstleister weitere hinzugebucht werden. Aber auch bei der Datensouveränität helfen HCIs, indem sie Übersicht über den Standort und die Verwendung von Daten gewährleisten.
„Je mehr Clouds in einer unternehmenseigenen Multi Cloud gebündelt werden, desto größer ist der Aufwand für Verantwortliche, gesetzeskonforme Dienste zu finden.“
Henrik Hasenkamp, gridscale
Auch wenn in HCIs die gesamte Infrastruktur virtualisiert zur Verfügung steht, sollten manche unternehmenskritischen oder personenbezogenen Daten bestimmte Standorte nicht verlassen dürfen – sei es aus rechtlichen Gründen oder um eine zu weite Verteilung der Daten zu vermeiden.
Virtual Locations sind private Server in einer hyperkonvergenten Umgebung, die beispielsweise zur Speicherung hochsensibler Daten dienen können. Diese Server stellt ein Cloud-Service-Anbieter über die gleiche Plattform zur Verfügung, mit der auch die HCI verwaltet wird. Über die Plattform zur Verwaltung der Infrastruktur lässt sich eine einzelne oder mehrere Nodes zu einer Virtual Location konfigurieren und einem Standort zuweisen. Ein integriertes Berechtigungsmanagement garantiert, dass nur die Mitarbeiter und Abteilungen auf die Virtual Locations und die dort gespeicherten Daten zugreifen dürfen, die ein berechtigtes Interesse daran haben.
Sind für die weitere Verarbeitung der Daten Cloud-Ressourcen notwendig, können diese anonymisiert werden, bevor sie die Virtual Location verlassen. IT-Verantwortliche haben auf diese Weise immer eine ausreichende Übersicht über sensible Daten und wo sie sich gerade befinden und können bei Audits nachweisen, dass dem Datenschutz Genüge getan wurde.
Fazit
Die Nutzung verschiedener Public Clouds in Kombination mit Private Clouds kann Unternehmen vor Herausforderungen stellen was die Orchestrierung angeht – insbesondere im Hinblick auf die Datensouveränität. Hyperkonvergente Infrastrukturen, die die Einrichtung von Virtual Locations erlauben, können Unternehmen dabei helfen, die Datensouveränität kritischer Informationen zu gewährleisten, indem sie den Zugriff auf sie standortabhängig machen und den Zugriff nur bestimmten Personengruppen erlauben. Somit verlassen diese Daten nie den geschützten Bereich und im Falle eines Audits kann schnell ein Nachweis erbracht werden, wo sie sich befinden.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.