Maksim Kabakou - stock.adobe.com

Data Sovereignty: Die Datenhoheit in der Cloud sicherstellen

Die Sicherstellung der Data Sovereignty in der Cloud gehört zu den wichtigsten Aufgaben eines Chief Data Officers. Drei Methoden zum Schutz der Daten stehen ihm zur Verfügung.

Die Frage der Datenhoheit, also die Verfügungsgewalt über die eigenen Daten, hängt auch von länderspezifischen Vorgaben und Gesetzen ab, an die sich alle Unternehmen halten müssen, die Daten sammeln oder verarbeiten. Dabei geht es nicht nur darum, wo die Daten im Rahmen der Data Residency (Datenresidenz) gespeichert werden dürfen und wo nicht. Die beiden Felder Data Sovereignty und Data Residency hängen jedoch trotzdem eng zusammen, da mögliche Datenspeicherorte meist durch lokale Gesetze vorgegeben werden.

Viele Chief Data Officers (CDOs) in Unternehmen haben durch die Frage der Datenhoheit in der Cloud neue Aufgaben erhalten. Zu ihren Verantwortlichkeiten gehört daher jetzt oft auch:

  • Das Verhindern von Datendiebstählen, indem nur noch diejenigen Personen Zugriff auf Daten erhalten, die dafür ausdrücklich autorisiert wurden,
  • das Einführen von Richtlinien zum Schutz gespeicherter Daten und
  • das Sicherstellen, dass sich auch alle übertragenen Daten an die Richtlinien zur Verschlüsselung, den erlaubten Datenspeicherorten, zum Lebenszyklus und zur Löschung halten.

Der rapide Aufstieg der Cloud hat das Thema Datenhoheit und seine Auswirkungen allerdings erheblich komplizierter gemacht. Stellen Sie sich nur vor, was es zum Beispiel für ein US-Unternehmen bedeutet, wenn es Infrastruktur bei einem britischen Anbieter anmietet, der auch Kunden in der Europäischen Union (EU) hat. Die Sammlung der Daten erfolgt dann etwa in Italien, so dass auch italienische Gesetze beachtet werden müssen. Da sie aber letztlich in Großbritannien gespeichert werden, gelten natürlich auch dortige Regelungen und Vorgaben. Um das Ganze noch weiter zu verkomplizieren, nehmen wir an, dass die Backups in Irland gespeichert werden, was auch die Gesetze dieses Landes mit ins Spiel bringt.

Sind Sie jetzt verwirrt? In Anbetracht der komplizierten Situation, die durch das Thema der Datenhoheit in der Cloud entstanden ist, ist es für Unternehmen unverzichtbar geworden, ständig auf der Hut zu bleiben und sich strikt an alle Regelungen zu halten. Im Folgenden beschreiben wir drei mögliche Wege, wie dieses Ziel erreicht werden kann.

1. Konzentrieren Sie sich auf die Cloud

Die Cloud selbst birgt möglicherweise bereits die Antwort auf die Frage der Datenhoheit. Während große Cloud-Provider wie AWS (Amazon Web Services), Microsoft und andere das Gewinnen neuer Kunden meist an Kosten, Verfügbarkeit und Flexibilität festmachen, darf das Thema der Datenhoheit nicht vernachlässigt werden. Die meisten IaaS-Anbieter (Infrastructure as a Service) betreiben heute in zahlreichen Ländern eigene Rechenzentren, was die Einhaltung dieser ersten Anforderung möglich macht. Zusätzlich spielen auch andere Funktionen wie Verschlüsselung und Security as a Service eine große Rolle, da erst diese den Kunden erlauben, lokale Vorgaben einzuhalten.

Es gibt aber eine wichtige Einschränkung: So ist es unerlässlich, dass die zuständigen Personen im Unternehmen die jeweiligen Vorgaben in den verschiedenen Ländern genau kennen und dafür sorgen, dass passende Management-Tools gewählt und genutzt werden, um diese Bestimmungen einzuhalten.

Mit dem Aufkommen der Position eines Chief Data Officers in vielen Unternehmen gibt es dort nun aber eine zentral verantwortliche Person, zu deren Aufgaben es auch gehört, dass der ausgewählte Cloud-Anbieter die folgenden Punkte erfüllt:

  • Dass er sich an geltende Datenschutzvorgaben hält,
  • dass er ausreichende Optionen zur Datenspeicherung sowie Empfehlungen zu den Bereichen Compliance, Kosten und Performance anbietet und
  • dass er Prozesse und Funktionen zur Verschlüsselung, zum Schlüsselmanagement, für Backups und die Datenwiederherstellung bereitstellt.

2. Für Einheitlichkeit sorgen

Unternehmen sollten die strengsten für sie geltenden Regulierungen als Maßstab nehmen und sie einheitlich durchsetzen. Gerade für international tätige Firmen ist es sonst eine enorme Herausforderung alle Vorgaben in sämtlichen Regionen einzuhalten, in denen sie Geschäfte machen.

Die Komplexität lässt sich erheblich reduzieren, wenn ein Unternehmen die schärfsten Gesetze nimmt und sie in allen Regionen umsetzt, in denen es aktiv ist. Die in anderen Ländern schwächeren Vorgaben spielen dann keine Rolle mehr. Bei einer solchen Maßnahme ist die Cloud eine große Hilfe. Prüfen Sie genau, welche Provider dazu in der Lage sind. Meist sind es die großen Anbieter sowie diejenigen, die sich auf bestimmte Branchen spezialisiert haben.

Vollständig ausgearbeitete Prozesse zur Data Governance stellen sicher, dass alle Vorschriften eingehalten und dass laufend Risikobewertungen und Maßnahmen zur Verminderung von Risiken durchgeführt werden können.

Was früher im Verantwortungsbereich des Chief Information Security Officers (CISO) fiel, liegt heute in der Regel im Zuständigkeitsbereich des CDO: Das Verhindern der Manipulation von Daten, ihres Diebstahls, der Verschlüsselung durch Ransomware sowie des Verlustes. In Anbetracht der zunehmenden Zahl von Datendiebstählen, die durch Fehler von Anderen (Lieferanten, Partner, Softwarehersteller ...) ausgelöst werden, reicht aber oft selbst das Einhalten der strengsten Gesetze nicht aus, da es dabei immer wieder zu Verzögerungen kommt. Kontinuierliche Aktualisierungen der Richtlinien sind ebenso wie das Einhalten der Vorgaben daher absolut essenziell.

3. Data Governance in der Cloud sicherstellen

Viele Cloud Provider bieten bereits Fähigkeiten, um für Datenhoheit zu sorgen. Ebenso wichtig ist aber neben dem Einhalten der striktesten geltenden Gesetze, die eigenen Richtlinien auf den Prüfstand zu stellen und regelmäßig zu aktualisieren, um das Risiko für Ihre Daten zu senken. Vollständig ausgearbeitete Prozesse zur Data Governance stellen sicher, dass alle Vorschriften eingehalten und dass laufend Risikobewertungen und Maßnahmen zur Verminderung von Risiken durchgeführt werden können. Die folgenden fünf Schritte sind hilfreich, dieses Ziel zu erreichen.

  1. Auffindbarkeit: Entdecken und verwalten Sie Ihre in der Cloud gespeicherten Daten.
  2. Qualitätsmanagement: Dient zur Einhaltung der Vorgaben zum Teilen von Daten und den dabei erlaubten Bereichen.
  3. Compliance: Senkt die Risiken durch das Aktualisieren der Richtlinien und Verwenden der jeweils schärfsten geltenden Vorgaben.
  4. Zugangskontrollen: Überwachen, automatisieren und verwalten Sie Zugriffe durch Administratoren und sorgen Sie für effektive Reaktionen auf Anfragen von Kunden, Partnern und Regulierungsstellen.
  5. Lifecycle Management: Verwalten Sie damit das Erstellen, Teilen, Zurückrufen und Löschen von Daten.

Behördliche Vorgaben und Gesetze zur Datenhoheit werden nicht nur immer wieder überarbeitet und ausgeweitet, sie nehmen auch in der Zahl und dem zu ihrer Einhaltung erforderlichen Aufwand nahezu kontinuierlich zu. Auch der Daten-Tsunami geht unvermindert weiter. Erschwerend kommt hinzu, dass immer noch sehr viele Unternehmen in die Cloud umsteigen und noch dabei sind, erste Erfahrungen zu sammeln. Das alles zusammen führt zu einigen heftigen Herausforderungen. Wenn sie am Anfang alles sorgfältig planen und sich dann darauf konzentrieren, ihre Prozesse laufend zu verbessern, dann können Unternehmen große Schritte machen und in Führung bleiben.

Auch die Rolle des CDOs wird sich ebenfalls weiterentwickeln und in Zukunft immer wieder mit den Verantwortungsbereichen anderer Führungspersonen im Unternehmen wie CIOs, CISOs, Chief Privacy Officers oder den Leitern der Rechtsabteilungen überschneiden. Eine hohe Anpassungsfähigkeit durch einen Vorsprung bei der Umsetzung der Vorgaben zur Datenhoheit und das Entwickeln starker Frameworks zur Data Governance in der Cloud sind aber eine große Hilfe dabei, die Risiken für Ihr Unternehmen deutlich zu senken.

Erfahren Sie mehr über Datensicherheit