Ob ein Unternehmen erfolgreich ist, hängt zunehmend davon ab, wie gut Firmennetz und IT-Infrastruktur mit neuen Anforderungen schritthalten. Um Flexibilität zu gewinnen, verwalten immer mehr Organisationen ihre Netzwerkinfrastruktur aus der Cloud. Doch das birgt Compliance-Risiken.

Unternehmen, die ihr Filialnetz oder das WLAN am jeweiligen Standort mit Hilfe einer Cloud-Lösung verwalten, profitieren von deutlich mehr Effizienz, Agilität und Kontrolle. Unregelmäßigkeiten im Netzbetrieb lassen sich über ein zentrales Dashboard erkennen und im Idealfall per Fernzugriff beheben, noch bevor eine Störung auftritt. Neue Zweigstellen sind mit wenigen Klicks ans Firmennetz angebunden und geschäftskritische Dienste innerhalb kürzester Zeit verfügbar.

Neue Rechtslage. Seit letztem Sommer haben sich die Rahmenbedingungen für den Einsatz von Cloud-Lösungen jedoch grundlegend geändert. Im Fokus: personenbezogene Daten, die in der Cloud, und damit außerhalb des Unternehmens, von US-Cloud-Anbietern verarbeitet werden. Damit sind nicht nur die gängigen Plattformen und Cloud-Dienste wie Facebook, AWS oder Azure gemeint. Auch bei Cloud-gemanagten Unternehmensnetzen werden, je nach Art der Netze, personenbezogene Daten von Beschäftigten, Kunden, Gästen, Schülern oder – besonders sensibel – Patienten verarbeitet: so zum Beispiel MAC- und IP-Adressen, Anmeldeinformationen, Standortdaten, Informationen zur Nutzung von Diensten oder Namen und E-Mail-Adressen.

Mit dem Schrems-II-Entscheid hat der Europäische Gerichtshof dem transatlantischen Austausch solcher Daten auf Basis des Privacy Shield am 16. Juli 2020 die Rechtsgrundlage entzogen. Daten von EU-Bürgerinnen und Bürgern seien nicht ausreichend vor dem Zugriff der US-Behörden geschützt, so die Richter. Dabei spielt es keine Rolle, ob die Datenverarbeitung auf europäischen Boden stattfindet. Entscheidend ist, welcher Rechtsprechung das beauftragte Unternehmen qua Herkunft unterliegt – denn die staatlichen Überwachungsbefugnisse greifen unabhängig vom Speicherort.

Die sogenannten Standardvertragsklauseln (SCC) sind zwar als Alternative weiterhin zulässig, müssen aber durch technische und organisatorische Maßnahmen flankiert werden, um ein adäquates Schutzniveau herzustellen. Bei Cloud-gemanagten Netzwerken ist dies kaum möglich: Um das Netz kontinuierlich teils bis auf Endgeräteebene zu optimieren, sind Produktiv- und Klardaten erforderlich. Kryptographische Verfahren oder die Pseudo- und Anonymisierung von Nutzerdaten scheiden damit aus.

Datenschutzaktivist Max Schrems: »Das Thema wird nicht weggehen«. Man müsse verstehen, dass es sich um einen grundsätzlichen Rechtskonflikt handele, so Datenschutzaktivist Max Schrems kürzlich bei einem Webcast der Wirtschaftsinitiative »Privacy Provided«, die sich für Aufklärung in Datenschutzfragen einsetzt. Mit seiner Klage gegen Facebook hatte Schrems das EuGH-Verfahren seiner Zeit ins Rollen gebracht. »Das Thema wird die nächsten zehn Jahre plus nicht weggehen, bis entweder die Amerikaner ihre Überwachungsgesetze ändern oder wir den Datenschutz in der EU-Grundrechte-Charta abschaffen,« so Schrems weiter.

Bußgelder in Millionenhöhe. Für Unternehmen, die ihr Netzwerk mit einer Cloud-Lösung aus einem datenschutzrechtlich unsicheren Drittland wie den USA verwalten, bedeutet der Richterspruch eine massive Verunsicherung. Schließlich drohen Bußgelder in Millionenhöhe, sollten Mitarbeiter und Kunden gegen Datenschutzverstöße klagen und Schadensersatz fordern.

Um nicht in die Datenschutzfalle zu tappen, raten Experten wie Max Schrems Unternehmen zu einer gründlichen Bestandsaufnahme und Gefahrenanalyse. Bei Lösungen, die sich schlicht nicht datenschutzkonform betreiben ließen, bliebe nur die Prüfung von Änderungsoptionen, so Schrems. Dies könne mitunter sogar günstiger sein, als große Summen in Anwälte und Beratungsdienstleistungen zu investieren, um mit vertraglichen Konstrukten etwas zu lösen, das technisch und faktisch einfach nicht zu lösen sei.

»Ein endlos loderndes Feuer«. Für Unternehmen, die ein Cloud-basiertes Management ihrer Netzwerkinfrastruktur in Erwägung ziehen und sich aktuell im Auswahlprozess befinden, ist die Empfehlung denkbar einfach: In ein Lösungsangebot investieren, das den rechtskonformen Umgang mit Daten sicherstellt. Andernfalls, so das Fazit von Max Schrems, bleibe das Thema Datenschutz für Compliance- und Rechtsabteilungen in Unternehmen ein endlos loderndes Feuer.

Konkret heißt das: Unternehmen sind gut beraten, Compliance- und datenschutzrechtliche Fragen bereits bei der Planung ihrer Cloud-basierten Netzwerkinfrastruktur zu berücksichtigen. Wer sein Filialnetz oder das LAN und WLAN am jeweiligen Firmensitz mit Hilfe einer Cloud-Lösung verwalten will, muss sich fragen: Welche Daten verlassen das lokale Netz? Welcher Gesetzgebung unterliegt der Lösungsanbieter? Erfüllt dieser die eigenen Compliance-Vorgaben und den EU-Datenschutz? Liegt für das jeweilige Herkunftsland ein Angemessenheitsbeschluss vor, der ein vergleichbares Datenschutzniveau gewährleistet?

Bei außereuropäischen Netzwerklösungen »aus der Cloud«, müssen sich Anwender darüber im Klaren sein, dass personenbezogene Daten nicht nur das lokale Netz verlassen, sondern auch den hier gültigen Rechtsraum. Im Fall US-amerikanischer Anbieter gelangen sie damit in den Einflussbereich eines Rechtssystems, das mit Überwachungsgesetzen wie FISA und CLOUD Act mit den Anforderungen der DSGVO nicht vereinbar ist. Der Datentransfer ist somit rechtswidrig.

Auf der sicheren Seite. Europäische Netzwerkmanagementlösungen, die den strengen Vorgaben der DSGVO entsprechen, bieten dagegen Rechtssicherheit und helfen, Compliance-Risiken von vornherein zu vermeiden. Auf diese Weise profitieren Anwender nicht nur von einem Unternehmensnetz, das dank der Cloud flexibel auf neue Geschäftsanforderungen reagiert und leicht zu managen ist, sondern machen auch beim Thema Datenschutz keine Kompromisse.

Dr. Tarik Erdemir,
Vice President Router & VPN Gateways,
LANCOM Systems

Illustration: © Aleksandra Gigowska /shutterstock.com

118 Artikel zu „Netzwerkmanagement“

NEWS | INFRASTRUKTUR | IT-SECURITY | RECHENZENTRUM | SERVICES

Smartes Netzwerkmanagement: Fünf Pluspunkte

3. März 2021

Ein Netzwerkausfall, auch wenn er nur ein paar Minuten dauert, kann massive Auswirkungen für ein Unternehmen haben. Entsprechend gut sollten kritische Infrastrukturen für jede Eventualität gesichert sein. Opengear, Anbieter von Out-of-Band-Managementlösungen, erklärt, welche Vorteile ein smartes Netzwerkmanagement für Unternehmen hat. Out-of-Band-Management (OOB) galt lange Zeit lediglich als ein Mittel, sich remote mit Geräten zu…

Ob ein Unternehmen erfolgreich ist, hängt zunehmend davon ab, wie gut Firmennetz und IT-Infrastruktur mit neuen Anforderungen schritthalten. Um Flexibilität zu gewinnen, verwalten immer mehr Organisationen ihre Netzwerkinfrastruktur aus der Cloud. Doch das birgt Compliance-Risiken.

Dr. Tarik Erdemir, Vice President Router & VPN Gateways, LANCOM Systems

118 Artikel zu „Netzwerkmanagement“

Dr. Tarik Erdemir,
Vice President Router & VPN Gateways,
LANCOM Systems