Wenn es um die Sicherheit und den Schutz von Daten in der Cloud geht, ist immer öfter von der »souveränen Cloud« die Rede. Was verbirgt sich hinter diesem Begriff? Und bietet sie wirklich die Sicherheit, die sich Unternehmen und Datenschützer von ihr erhoffen? Im Gespräch mit Andreas Steffen, dem Geschäftsführer von eperi, hinterfragt Manage IT die Wirkungskraft der souveränen Cloud und identifiziert Eckpunkte, auf die Unternehmen beim Einsatz der Cloud grundsätzlich achten sollten.
Wir alle wissen, dass der Datenschutz in der Cloud weitaus komplexer und komplizierter ist als noch vor Jahren angenommen. Jetzt scheint das Prinzip der souveränen Cloud Abhilfe zu schaffen. Was genau ist die souveräne Cloud?
Als souveräne Cloud bezeichnet man Cloud-Computing-Dienste, die von einer vertrauenswürdigen Organisation betrieben werden und die die Daten in Deutschland oder zumindest in der EU speichern. Die Cloud-Infrastruktur ist dabei so konzipiert, dass sie die Anforderungen des Bundesamtes für Sicherheit (BSI) erfüllt. Vordergründig ist das ein durchaus hohes Sicherheitslevel, aber noch lange nicht das, bei dem die Datensicherheit zu jedem Zeitpunkt garantiert werden kann.
Andreas Steffen,
Geschäftsführer von eperi
Was könnte bei der souveränen Cloud problematisch sein?
Das Konzept der souveränen Cloud wurde hauptsächlich von internationalen Hyperscalern und anderen Branchengrößen entwickelt, um Unternehmen, die besonders vorsichtig den Schritt in die Cloud wagen, als Neukunden zu gewinnen. Um diesen Ansatz auch in der DACH-Region zu einem Erfolg zu machen und die nötige Compliance zu wahren, gehen diese Anbieter Kooperationen mit etablierten, lokalen Providern ein. Doch was so vielversprechend daherkommt dient eher der Beruhigung des Dateneigentümers, als dass es sich um wirklichen Datenschutz handelt. Gerade vor dem Hintergrund aktueller Gesetzesanpassungen, durch die das persönliche Haftungsrisiko der Geschäftsführer noch einmal erhöht wurde, gilt es diese Angebote kritisch in Bezug auf den Datenschutz zu hinterfragen.
Was bedeutet das? Ist die souveräne Cloud gar nicht so unabhängig, sicher und überlegen, wie es dargestellt wird?
Das ist sie leider nicht immer. Auch in einer souveränen Cloud sind Daten einem erhöhten Risiko ausgesetzt, wenn hinter dem lokalen Angebot doch wieder ein internationaler Cloud-Anbieter steht. Damit möchte ich nicht gegen Hyperscaler per se sprechen. Fakt ist aber, dass in einer solchen Konstellation die Daten ohne wirksame Verschlüsselung nicht den Schutz genießen, den man sich erwünscht. Denn schlussendlich ist ein Hyperscaler seinen heimatlichen Gesetzen verpflichtet, wozu beispielsweise der US Patriot Act gehört. Deshalb sollten sich Unternehmen unbedingt fragen, ob ihnen das Sicherheitslevel einer souveränen Cloud wirklich ausreicht.
Was würden Sie denn empfehlen, um auf Nummer sicher zu gehen?
Wichtig ist, dass sich die Verantwortlichen in den Unternehmen immer wieder klar machen, dass die Verantwortung für die Datensicherheit ausschließlich bei ihnen selbst liegt. Sie sind dafür haftbar und können diese Verantwortung nicht einfach auf jemanden außerhalb der Firma übertragen – auch nicht, indem sie auf das souveräne Cloud-Konzept setzen. Im Grunde sollte ein Unternehmen den Datenschutz selbst in die Hand nehmen, anstatt seine Daten aufgrund eines vagen Versprechens außer Haus zu geben. Die effektivste Methode, um Cloud-Daten zu schützen, ist eine eigenständig initiierte und durchgeführte Verschlüsselung sobald die Daten das Unternehmen verlassen.
Und worauf muss ich achten, wenn ich auf der Suche nach der passenden Verschlüsselungsplattform bin?
Da Unternehmen selten auf nur einen Cloud-Anbieter und einen Dienst setzen ist es ideal, wenn eine Multi-Cloud-fähige Verschlüsselungslösung zum Einsatz kommt. Diese Plattformen sollten zudem über eine Template-Architektur verfügen, die es den Unternehmen ermöglicht selbst zu definieren, welche Datenfelder verschlüsselt, tokenisiert oder im Klartext belassen werden – für jede Anwendung und ohne Programmierkenntnisse. Das eperi Gateway beispielsweise stellt für zahlreiche Standard-Anwendungen und Cloud-Speicher Templates zur Verfügung, u.a. für M365-Produkte wie Sharepoint, OneDrive, Teams und Mail, aber auch für web-basierte Applikationen wie z. B. HubSpot, Trello, ServiceNow oder Personio. Bei Bedarf können auch Eigenentwicklungen von Kunden unterstützt werden.
Dann ist ein solches Verschlüsselungs-Gateway eine Art zentraler Kontrollpunkt für sämtliche, datenschutzrelevanten Prozesse?
So kann man das sagen. Wichtig ist, dass ein solches Gateway einfach und schnell zu implementieren ist und alle wichtigen Funktionen der Cloud-Anwendung wie Suchen oder Sortieren weiterhin zulässt. Zudem sind Gateways mit der Fähigkeit zu skalieren optimal. Sie ermöglichen Testinstallationen, kleine Rollouts oder bei Bedarf sogar weltweite Installationen ohne merkbare Performance-Einschränkungen.
Wenn ein Unternehmen diesen Weg einschlägt, kann es sich dann wirklich sicher sein, dass es sich um den Datenschutz keine Gedanken mehr machen muss?
So ist es. Eine moderne und zertifizierte Verschlüsselungsplattform sorgt dafür, dass Daten nur in einem verschlüsselten, pseudonymisierten oder tokenisierten Zustand das Unternehmen verlassen. Und niemand außer dem Daten-Eigentümer hat Zugriff auf die Verschlüsselung und die Keys. Selbst wenn Daten gestohlen werden, kann damit niemand etwas anfangen. Klar, einen soliden Backup- und Recovery-Plan sollte man natürlich auch in der Schublade haben, damit im Fall des Falles schnell alles wiederhergestellt werden kann. Aber mehr muss man im Grunde nicht machen, um einen wirkungsvollen Datenschutz zu gewährleisten.