Compliance im Multi-Cloud-Zeitalter

Illustration: Absmeier, Geralt

Die Multi-Cloud ist heute Realität. Dazu kommt, dass Public Clouds grundsätzlich weltweit verteilt sind. Dies führt zu neuen Herausforderungen bei Compliance und Datenschutz. Denn hier sind oft nationale Regeln zu berücksichtigen. Um bei der Cloud-Nutzung die Compliance sicherzustellen, sind laut Rackspace folgende Punkte zu berücksichtigen:

 

  1. Der Cloud-Provider

Viele Cloud Service Provider (CSP) erfüllen inzwischen die verschiedenen Compliance-Regeln durch eigene Rechenzentren, die sich im jeweiligen Rechtsraum – etwa der EU – befinden. Damit ist für die Kunden jedoch nur ein Teil der Aufgaben erledigt. Denn sie müssen sich trotzdem um die Einhaltung der Richtlinien bemühen, die sie selbst betreffen.

  1. Wissen, wo die Daten sind

Dies gilt insbesondere für den Nachweis, wo welche personenbezogenen Daten gespeichert sind. Daher müssen Unternehmen sämtliche Daten analysieren, die sie in die Cloud übertragen wollen. Eventuell müssen einige hochvertrauliche Daten im eigenen Rechenzentrum bleiben.

  1. Umfassende Compliance

Häufig übersehen wird die Tatsache, dass personenbezogene Daten nicht nur in der Produktivphase zu schützen sind, sondern auch während der Design-, Entwicklungs-, Implementierungs- und Testphase. Durch eine Referenzarchitektur lässt sich erkennen, wo Compliance-Anforderungen anzuwenden sind.

  1. Der richtige Partner

Unternehmen sollten einen erfahrenen Partner einbinden, der mit den verschiedenen Compliance-Anforderungen und Vorschriften vertraut ist. Ein solcher Managed Service Provider (MSP) stellt sicher, dass das Unternehmen sowohl bei der Architektur der Umgebung regelkonform ist als auch die Cloud-Sicherheitskontrollen konsequent implementiert und durchsetzt.

 

Compliance kann eine große Hürde für die Cloud-Nutzung darstellen. Eine Zusammenarbeit mit einem MSP hilft, die zahlreichen Vorschriften und Anforderungen jederzeit zu erfüllen.

 

Mehr zu den Herausforderungen und Lösungen erfahren Sie im Blog-Beitrag Compliance im Cloud-Zeitalter. https://blog.rackspace.com/de/compliance-im-cloud-zeitalter

 


 

Public Clouds sind grundsätzlich weltweit verteilt. Dies führt jedoch zu neuen Herausforderungen bei Compliance und Datenschutz. Denn hier sind oft nationale Regeln zu berücksichtigen.

Laut IDC ist der weltweite Markt für Cloud Computing im Jahr 2018 rund 160 Milliarden US-Dollar groß. Das entspricht einem Anstieg von 23 Prozent gegenüber 2017. Die Vorteile des Ansatzes sind unbestritten: schnellere Markteinführung neuer Produkte und höhere Kosteneffizienz.

Wenn Unternehmen aber weltweit auf Daten zugreifen und diese speichern, entstehen neue Herausforderungen wie globale Compliance und Datenschutz. Denn sie müssen die jeweiligen Gesetze und Vorschriften der Länder beachten, in denen sie ihre Daten verwalten.

Zum Beispiel hat die Europäische Union die neue Datenschutzgrundverordnung (DSGVO) eingeführt, um den Umgang mit personenbezogenen Daten und die Privatsphäre von EU-Bürgern zu regeln. Diese gilt für alle Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig von ihrem Sitz.

Gemäß einem aktuellen Bericht der International Association of Privacy Professionals fühlen sich aber jeweils 16 Prozent der befragten Unternehmen in der EU und den USA nicht genügend auf die DSGVO vorbereitet. Sie rechnen sogar mit einer Geldstrafe, sobald die neuen Vorschriften im Mai in Kraft treten.

Um die Compliance von Anfang an sicherzustellen, sind bei der Cloud-Nutzung folgende Punkte zu berücksichtigen:

Die Bedeutung des Cloud-Providers

Die Maßnahmen beginnen mit dem genutzten Cloud Service Provider (CSP). Viele Anbieter erfüllen inzwischen die verschiedenen Compliance-Regeln durch eigene Rechenzentren, die sich im jeweiligen Rechtsraum – etwa der EU – befinden. Damit ist für die Kunden jedoch nur ein Teil der Aufgaben erledigt. Denn sie müssen sich trotzdem um die Einhaltung der Richtlinien bemühen, die sie selbst betreffen.

Microsoft Azure und Amazon Web Services sind zum Beispiel zwei führende Public-Cloud-Anbieter, die umfassende Compliance-Lösungen in verschiedenen Ländern bieten. Sie haben Richtlinien und Zertifizierungen entwickelt, damit ihre Umgebungen den nationalen, regionalen und branchenspezifischen Anforderungen an die Erfassung und Nutzung individueller Daten entsprechen.

Jeder CSP sollte die unterstützten Compliance-Standards und Sicherheitsprogramme auflisten können und diese mit Audits und Zertifizierungen nachweisen. Nur dann können die Kunden feststellen, welche Anforderungen der DSGVO dadurch erfüllt sind – und welche nicht. Zudem muss klar geregelt sein, wer für welche Bereiche zuständig ist. Dann zeigt sich häufig, dass in den meisten Fällen das Unternehmen selbst für die Compliance verantwortlich zeichnet.

Wissen, wo die Daten sind

Dies gilt insbesondere für den Nachweis, wo welche personenbezogenen Daten gespeichert sind. Daher müssen Unternehmen sämtliche Daten analysieren, die sie in die Cloud übertragen wollen. Eventuell müssen einige hochvertrauliche Daten im eigenen Rechenzentrum bleiben. Nur wenn bekannt ist, welche Daten in der Cloud gespeichert werden, lässt sich feststellen, welche Vorschriften bei der Gestaltung der Umgebung zu beachten sind. Der Speicherort der Daten ist dabei in der Regel entscheidend.

In einigen Fällen kann eine durchgängige Verschlüsselung der in der Cloud gespeicherten Daten ausreichen, um die Anforderungen zu erfüllen. Mit den entsprechenden Schlüsseln, die sich im Besitz des Unternehmens oder eines Partners befinden, werden die Daten etwa vor unerwünschten »Backdoor-Zugängen« geschützt.

Umfassende Compliance

Häufig übersehen wird die Tatsache, dass personenbezogene Daten nicht nur in der Produktivphase zu schützen sind, sondern auch während der Design-, Entwicklungs-, Implementierungs- und Testphase. Zum Beispiel lässt sich durch eine Referenzarchitektur – also eine standardisierte, plattformunabhängige Softwarearchitektur – erkennen, wo bestimmte Compliance-Anforderungen anzuwenden sind. Zudem entdecken Unternehmen damit Überschneidungen und Gemeinsamkeiten zwischen den Vorschriften, um doppelte Arbeit oder Unstimmigkeiten zu vermeiden.

Den richtigen Partner finden

Dabei sollten Unternehmen einen erfahrenen Partner einbinden, der mit den verschiedenen Compliance-Anforderungen und Vorschriften vertraut ist. Ein solcher Managed Service Provider (MSP) stellt sicher, dass das Unternehmen sowohl bei der Architektur der Umgebung regelkonform ist als auch die Cloud-Sicherheitskontrollen konsequent implementiert und durchsetzt. Kunden müssen aber genau auf die durchgeführten Compliance- und Sicherheitsaudits des MSPs sowie dessen Zertifizierungen achten. Nur dann können sie sicher sein, den richtigen Partner zu haben.

Die globale Cloud-Landschaft wird immer komplexer. Compliance kann dabei eine große Hürde für die Cloud-Nutzung darstellen. Daher müssen Unternehmen einen Partner finden, der während der gesamten Reise in die Cloud auf die Einhaltung der Richtlinien achtet. Eine Zusammenarbeit mit einem MSP wie Rackspace hilft, die zahlreichen Vorschriften und Anforderungen jederzeit zu erfüllen.

 


 

Kommentar: Multi-Cloud im Eigenbetrieb ist ein Chaos-Garant

Die 3 Schlüsseltechnologien einer Multi-Cloud-Strategie

Multi-Cloud-Checkliste: die Top 5 Herausforderungen

Trends Cloud Computing – Die Multi-Cloud effizient meistern

Multi-Cloud – Die Vielfalt der Cloud-Provider effizient nutzen

Multi-Cloud-Architekturen erfordern Multi-Cloud-Management – Wegbereiter des digitalen Wandels