Unternehmen in der Cloud – und wo bleibt der Know-how-Schutz?

Sobald die EU-Mitgliedsstaaten die Know-how-Schutz-Richtlinie umgesetzt haben, müssen Unternehmen angemessene Maßnahmen zum Schutz von Geschäftsgeheimnissen vornehmen. Zählt dazu auch die Wahl des Cloud-Providers?

 

Ziel der Richtlinie 2016/943 ist ein einheitlicher Mindestschutz für Geschäftsgeheimnisse in Europa – doch was ändert sich damit? Und was hat die Wahl eines sicheren Cloud-Dienstes damit zu tun?

Die Richtlinie definiert unter anderem den Begriff des Geschäftsgeheimnisses sowie die wesentlichen Dreh- und Angelpunkte des Geheimnisschutzes; außerdem listet sie erlaubte Handlungen sowie Handlungsverbote auf.

Eine der schwerwiegendsten Neuerungen dürfte sein, dass Geschäftsgeheimnisse nur noch dann als geschützt gelten, wenn angemessene Geheimhaltungsmaßnahmen getroffen wurden. In Betracht kommen dabei sowohl technische Zugangsbeschränkungen und Vorkehrungen als auch vertragliche Sicherungsmechanismen; die Beweislast liegt dabei beim Geheimnisinhaber.

Wer sich also künftig auf den Geschäftsgeheimnisschutz berufen möchte, wird zunächst nachweisen müssen, auch dementsprechend ausreichende Sicherheitsmaßnahmen getroffen zu haben.

 

Die passende Cloud macht den Unterschied!

Konkrete Vorgaben, welche Maßnahmen Unternehmen zu treffen haben, nennt die Richtlinie leider nicht; was als »ausreichende Maßnahmen« verstanden werden darf, soll demnach von den Gerichten im Einzelfall entschieden werden.

Es stellt sich daher die Frage, ob beispielsweise bereits die Nutzung von Cloud-Diensten, die lediglich den Anforderungen der TCDP/AUDITOR-Schutzklasse 1 oder 2 [1] entsprechen, eine Unterlassung von Schutzmaßnahmen und damit als eine Fahrlässigkeit interpretiert werden wird. Eventuelle Haftungs- oder Schadensersatzansprüche, die sich aus dem Bekanntwerden eines Geschäftsgeheimnisses für das betroffene Unternehmen ergeben würden, könnten damit hinfällig sein.

Cloud-Security-Experte Dr. Hubert Jäger, CTO der Münchner TÜV-SÜD-Tochter Uniscon GmbH, rät daher zu Lösungen, die per se ein hohes Maß an Datenschutz und Datensicherheit bieten können: »Wenn Daten für den Cloud-Anbieter einsehbar sind, können sie auch weitergegeben oder missbraucht werden. Vor allem Daten, die verarbeitet werden, liegen auf den Servern vieler Anbieter unvermeidlich unverschlüsselt vor und sind daher besonders gefährdet. Dort müssen besondere Schutzmaßnahmen ergriffen werden.«

Unternehmen, die sich, ihre Daten und ihre Geschäftsgeheimnisse zuverlässig schützen wollen, sollten daher auf Lösungen setzen, bei denen ein unerwünschter Zugriff oder eine Weitergabe von Daten schon rein technisch ausgeschlossen sind. Dies ist beispielsweise bei betreibersicheren Cloud-Diensten wie der versiegelten Cloud der Deutschen Telekom oder Uniscons Sealed-Cloud-Dienst iDGARD der Fall: Durch die logische und physische Verkapselung der Server ist sichergestellt, dass niemand – auch nicht der Betreiber des Dienstes oder seine Mitarbeiter – auf die gespeicherten Daten zugreifen kann. So können Unternehmen u.a. die Angriffsfläche auf Geschäftsgeheimnisse durch die Nutzung betreibersicherer Cloud-Dienste signifikant reduzieren.

 

Passende Zertifikate gibt es derzeit leider noch nicht; ausgehend von dem hohen Schutzniveau, dass im Rahmen der DSGVO beispielsweise für personenbezogene Daten gefordert wird, ist aber davon auszugehen, dass in der höchsten Schutzklasse DSGVO-zertifizierte Cloud-Dienste auch den Anforderungen der Know-how-Schutz-Richtlinie genügen dürften. Mit dem Projekt AUDITOR [2] ist aktuell ein entsprechendes Zertifikat in Arbeit.

 

________________________________________
[1] https://tcdp.de/index.php/zertifizierung/schutzklassenkonzept
[2] https://www.auditor-cert.de/

 


 

Europas Unternehmen haben Nachholbedarf in Sachen Cloudsicherheit

  • Nutzung von Cloudanwendungen deutlich gestiegen.
  • Office 365 und AWS auf dem Vormarsch.

 

Eine aktuelle Studie liefert einen Überblick zur Nutzung von Cloudanwendungen in Europa [1]. Untersucht wurden dafür 20.000 Unternehmen in Deutschland, Frankreich, den Niederlanden, Italien, Spanien und Großbritannien. Während die Nutzung von Office 365 mit 65 Prozent einen neuen Rekordwert erreicht hat, lässt die Sicherung von Cloudanwendungen dagegen bei 53 Prozent der Unternehmen noch zu wünschen übrig.

Wie die aktuelle Untersuchung europäischer Unternehmen von Bitglass zeigt, steigt die Nutzung von Cloudanwendungen weiter an. Einen deutlichen Nachholbedarf gibt es jedoch noch bei den Sicherheitsmaßnahmen: Weniger als die Hälfte der Unternehmen (47 Prozent) verwenden Single-Sign-On (SSO) für die Sicherung ihrer Cloudanwendungen. Zumindest regulierte Branchen haben teilweise die Notwendigkeit dieser Sicherheitsmaßnahme erkannt: So wird SSO am häufigsten im Bildungswesen (64 Prozent), in der Biotechnologie (54 Prozent), sowie im Finanz- und Gesundheitswesen (je 53 Prozent) eingesetzt.

84 Prozent der europäischen Unternehmen haben mindestens eine Cloudanwendung in Betrieb. Für die Businessanwendung nimmt Office 365 mit einer Verbreitung von 65 Prozent unangefochten die Spitzenposition ein, lediglich 19 Prozent der Unternehmen in Europa, vorwiegend in Frankreich (30 Prozent) und Spanien (40 Prozent), setzen auf G-Suite. Auch die Nutzung von Amazon Web Services (AWS) ist im europäischen Raum mit 21 Prozent überaus hoch – der weltweite Durchschnitt liegt einer weiteren Erhebung von Bitglass zu Folge lediglich bei 8 Prozent. Die stärkste Nutzung verzeichnet AWS mit 41 Prozent im öffentlichen Sektor.

Rich Campagna, CMO bei Bitglass, erklärt: »Die Ergebnisse dieser Studie bestätigen die Ergebnisse unserer Erhebung aus dem Jahr 2016: Unternehmen in EMEA nutzen verstärkt Produktivitätsanwendungen in der Cloud, aber es fehlt ihnen noch an den notwendigen Sicherheitstools, um ihre Daten zu schützen. In Cloud-orientierten Umgebungen muss die Sicherheit weiterentwickelt werden, damit Daten auf viel mehr Endpunkten und in viel mehr Anwendungen geschützt werden können.«

[1] Methodik: Das Forschungsteam von Bitglass, Anbieter einer CASB-Lösung der nächsten Generation, verwendete Unternehmens-Domains, um die jeweils bereitgestellten Cloud-Anwendungen zu identifizieren und um zu ermitteln, ob Sicherheitstechnologien wie das Single Sign-On (SSO) verwendet werden. Die Stichprobe umfasste 20.000 Unternehmen in Frankreich, Deutschland, den Niederlanden, Italien, Spanien und Großbritannien.

 

Die Vorteile ausgereifter Cloud-Sicherheitsstrategien

Ein neues Cloud-Security-Maturity-Model mit Benchmarks bietet Unternehmen Orientierung bei der Nutzung von nicht-IT-geführten Cloud-Services. Erfahrene Unternehmen haben doppelt so wahrscheinlich einen Cloud-Security-Architekten eingestellt wie andere Unternehmen.

 

Netskope stellt den neuen »The Maturity of Cloud Application Security Strategies«-Report vor, in dem die Enterprise Strategy Group (ESG) im Auftrag von Netskope die geschäftlichen Vorteile der Nutzung von nicht-IT-geführten Cloud-Services bewertet. Die Untersuchung zeigt, dass Unternehmen mit einem pragmatischen Ansatz zur sicheren Nutzung von Cloud-Services, die von Nutzern und/oder einzelnen Geschäftsbereichen ohne Zutun der IT eingesetzt werden, spürbare geschäftliche Vorteile im Vergleich zu Unternehmen erzielen, die drakonischere, bipolare Ansätze verfolgen. Dem Report zufolge haben lediglich 21 Prozent der Unternehmen eine solche pragmatische Herangehensweise umgesetzt.

 

Unternehmen befinden sich auf ihrem Weg hin zu ausgereiften Cloud-Strategien in verschiedenen Phasen, sowohl was die strategische Ausrichtung als auch deren Umsetzung betrifft. Der Report definiert drei grundlegend verschiedene Stadien der Cloud-Security-Reife:

  • »Discoverer« nutzen zuallererst Cloud-Access-Security-Broker (CASB), um Schatten-IT und nicht-IT-geführten Cloud-Services aufzudecken;
  • »Controller« setzen Cybersecurity-Policies, Prozesse und CASB-Technologien ein, um die sichere Nutzung von Cloud Apps, die von der IT bereitgestellt werden zu gewährleisten und Datenverlusten und Cyber-Threats vorzubeugen;
  • am reifsten sind die »Enabler«, die sich der Verwendung von nicht-IT-geführten Anwendungen bewusst sind, aber einen grundlegend anderen Ansatz verfolgen, indem sie die Nutzung dieser Anwendungen absichern und für das Unternehmen den geschäftlichen Mehrwert nutzen.

 

»Der Report belegt, dass viele Unternehmen inklusive der Enabler noch Arbeit vor sich haben, um alle Vorteile der Cloud auszureizen«, so Sanjay Beri, Gründer und CEO von Netskope. »Um Organisationen beim Erreichen einer vollen Cloud-Reife zu helfen, haben wir ein Tool zur Selbsteinschätzung entwickelt, mit dem Unternehmen ihre Fortschritte auf dem Weg hin zu maximaler Cloud-Sicherheit bemessen können. Wir freuen uns auf die Zusammenarbeit mit Organisationen überall auf der Welt, um ihre Einführung von Cloud-Services zu beschleunigen.«

 

Laut dem Report fallen 48 Prozent der befragten Unternehmen in die Kategorie der »Discoverer«, 31 Prozent in die der »Controller«, und 21 Prozent in die der »Enabler«. Weitere wesentliches Ergebnisse sind:

 

  • Die Reife der Cloud-Security kann sich auf die finanzielle Performance auswirken: »Enabler« übertrafen ihre Umsatzerwartungen im Schnitt um 4,9 Prozent. Demgegenüber meldeten »Controller« und »Discoverer« lediglich 3,6 Prozent, was darauf hinweist, dass das Blocken von nicht-IT-geführten Cloud-Services die finanzielle Performance negativ beeinflussen kann.
  • Ein hoher Reifegrad der Cloud-Security führt zu einer Steigerung der Produktivität: Fast die Hälfte der »Enabler« berichteten von einem ausgeprägt positiven Einfluss von nicht-IT-geführten Cloud-Services auf die Produktivität. Nur 17 Prozent der »Discoverer« und 23 Prozent der »Controller« vermeldeten das Gleiche.
  • Die Rolle des Cloud-Security-Architekten kann den Reifungsprozess beschleunigen. Während fast zwei Drittel der befragten Unternehmen über einen Chief Information Security Officer (CISO) verfügten, besaßen lediglich 23 Prozent einen Cloud-Security-Architekten. Architekten kennen nicht nur die technischen Unterschiede von Cloud-Services, sondern sind sich auch der gesteigerten Agilität und Produktivität für das Business durch die Nutzung von Cloud Services bewusst. »Enabler« haben doppelt so wahrscheinlich wie andere Unternehmen eine solche Position besetzt.

 

»IT-freigegebene und nicht-freigegebene Cloud-Services haben die traditionelle Rolle der Unternehmens-IT und der Sicherheits-Teams in Frage gestellt. Sie verlangen, dass diese Teams jetzt entscheiden, wie – und nicht wann – sie die Cloud für das Unternehmen nutzen«, sagt Doug Cahill, Senior Analyst und Group Director, Enterprise Strategy Group. »Dieser Report belegt vor allen Dingen, dass Unternehmen mit einem ausgereiften Cloud-Ansatz nicht nur greifbare geschäftliche Vorteile genießen, sondern auch ihr gesamtes Cloud-Sicherheitsrisiko verringern.«

 

[1] Für den Report wurden Unternehmen in Nordamerika, Westeuropa und im asiatisch-pazifischen Raum befragt. 88 Prozent der Teilnehmer arbeiteten in Unternehmen mit mehr als 1000 Mitarbeitern, 12 Prozent in Unternehmen mit 500 – 999 Mitarbeitern. Die Befragten stammen aus verschiedenen Branchen, darunter die Bereiche Produktion, Finanzdienstleistungen, Gesundheitswesen, Einzelhandel und Dienstleistungen.
Der Bericht steht hier nach Registrierung zum Download zur Verfügung.
https://resources.netskope.com/cloud-security-reports-1/esg-research-insights-report-the-maturity-of-cloud-application-security-strategies
Mit dem interaktiven Web-Tool können Unternehmen die Reife ihrer Cloud-Security selbst beurteilen.

 


 

 

 

Weitere Artikel zu