Vorbereitung auf die Datenschutz-Grundverordnung 2017, Teil 3: Wichtige Fragen, die Sie Ihrem Cloud-Anbieter stellen sollten

Dies ist der dritte Teil einer Reihe von Blog-Beiträgen, mit denen Sicherheitsverantwortliche und Führungskräfte in Unternehmen auf die Datenschutz-Grundverordnung (DSGVO) 2017 vorbereitet werden sollen.

 

Denken Sie über eine Verschiebung von Anwendungen in die Cloud nach? Wenn ja – und welches Unternehmen tut das nicht – haben Sie an die Auswirkungen der EU-Datenschutz-Grundverordnung (DSGVO) auf diese Pläne gedacht?

 

Bei McAfee sind wir der Überzeugung, dass die DSGVO eine Chance für einen Sicherheitswandel bietet – eine Möglichkeit, einen Compliance-orientierten Sicherheitsansatz zu verwerfen und zu einer Strategie des Datenschutzes und der konzeptionellen Sicherheit überzugehen.

 

Die DSGVO distanziert sich von früheren Compliance-Systemen, und anstatt eine Checkliste von Sicherheitstechnologiekontrollen vorzugeben, verlangt sie nun von den Unternehmen, nachhaltige Sicherheitsfunktionen zu entwickeln. Sie bietet Ihnen daher eine Chance, Ihre gesamte Daten- und Sicherheitsstrategie zu überprüfen und Ihre Widerstandsfähigkeit zu stärken, anstatt Checklisten zu erstellen. Wir sind der Ansicht, dass die DSGVO eine Möglichkeit darstellt, Sicherheit als Schlüsselfaktor für das Geschäft zu betrachten, insbesondere als Schlüsselfaktor für die sichere Nutzung von Cloud-Diensten.

 

Ob Sie nun ältere Anwendungen in die öffentliche Cloud verlagern, einen Cloud-Speicher verwenden oder Cloud-basierte Geschäftsanwendungen wie beispielsweise Office 365 nutzen – in jedem Fall müssen Sie die konkreten Auswirkungen der DSGVO beachten und die Möglichkeit bedenken, eine breiter angelegte Cloud-Sicherheitsstrategie zu prüfen oder zu entwickeln.

 

Wir bei McAfee möchten, dass Ihr Unternehmen Ja zur Cloud-Nutzung sagt. Daher sind nachfolgend einige wichtige Fragen und Überlegungen aufgeführt, um mit Ihrem Cloud-Serviceanbieter auf Augenhöhe über die DSGVO und die erforderlichen Sicherheitsvorkehrungen sprechen zu können:

 

Verfügt Ihr Cloud-Serviceanbieter über eine Datenschutzrichtlinie? Solide und transparente Sicherheitsrichtlinien sind der erste Schritt. In vielen Fällen erfordert die DSGVO die Ernennung eines Datenschutzbeauftragten (DPO), der das Programm überwacht. Bitten Sie auch um ein Gespräch mit dem DPO bei Ihrem Cloud-Anbieter.

 

Wie nutzt Ihr Cloud-Serviceanbieter die erfassten Daten?

Anbieter sind verpflichtet, Ihnen mitzuteilen, wie sie ggf. die über den Dienst erfassten Daten nutzen und wie sie die Informationen schützen. Viele Unternehmen nutzen erfasste Daten für Analysen oder andere rechtmäßige Zwecke. Diese Prozesse sollten jedoch kein zusätzliches Risiko für Sie darstellen.

 

Welche Sicherheits-Rahmenbedingungen, -standards oder -zertifizierungen verfolgt Ihr Cloud-Servicanbieter oder haben diese für Ihren Dienst erreicht?

Es gibt diverse branchenspezifische Leitfäden und Prozesse, in denen standardisierte Anforderungen und Kontrollen für den Schutz von Cloud-Diensten angegeben sind. FedRAMP beispielsweise ist ein umfassender Prozess zur Autorisierung von Cloud-Diensten für die US-Regierung. Dieser Prozess basiert jedoch auf NIST und könnte in größerem Umfang genutzt werden. Auf internationaler Ebene gibt es die Norm ISO 27002, für die die Cloud Security Alliance zusätzliche Leitfäden bereitstellt. Cloud-Anbieter sollten eines der verfügbaren Rahmenbedingungen nutzen, um den Reifegrad zu bewerten und kontinuierlich zu überwachen.

 

Kann Ihr Cloud-Serviceanbieter einen Fall von Datenkompromittierung nennen und deren Reaktion darauf?

Statistisch betrachtet werden mehr als die Hälfte aller Datenkompromittierungen von externen Unternehmen entdeckt. Angesichts der Tatsache, dass die DSGVO eine Meldung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde ab dem Zeitpunkt der Entdeckung eines Vorfalls durch das Unternehmen verlangt, ist es überaus wichtig, dass man über die Fähigkeit verfügt, potenzielle Datenkompromittierungen zu erkennen und mit einem bewährten Prozess entsprechend zu reagieren. Fragen Sie Ihren Cloud-Anbieter, ob er über ein Sicherheitskontrollzentrum (SOC) oder ein Reaktionsteam für Computersicherheitsvorfälle (CSIRT) intern oder als verwalteter Service mit den besagten Fähigkeiten verfügt.

 

Wo speichern und verarbeiten Ihr Cloud-Serviceanbieter die erfassten Daten?

Der Speicherort von Daten stellt möglicherweise das größte Problem dar, wenn es um Cloud-Dienste und die Vorbereitung auf die DSGVO geht. Verfügt Ihr Cloud-Anbieter über Rechenzentren in der EU oder ausschließlich in den USA? Wo speichert und verarbeitet er die Daten? Werden die Daten von der EU in die USA verschoben? Dies sind nur einige der Probleme in diesem Bereich, die jedoch mit der Verschlüsselung von gespeicherten Daten, der Zugriffskontrolle und der Schlüsselverwaltung gelöst werden können.

 

Dies waren sämtliche Überlegungen im Hinblick auf die DSGVO und Cloud-Serviceanbieter, obwohl dies keine erschöpfende Liste darstellt. Hoffentlich wurden Sie damit als Nutzer dieser Dienste hinreichend informiert und sind nun gut gerüstet, um sich auf die DSGVO entsprechend vorzubereiten. Diese Vorgehensweisen sorgen vor allem jedoch für eine sicherere Cloud-Nutzung seitens der Unternehmen.

Leave a Comment

five + 12 =