Unternehmen und Einrichtungen aus beiden Branchen werden den neuen Herausforderungen beim Schutz von Daten in der Cloud nicht immer gerecht.

Eine von der Blancco Technology Group veröffentlichte Studie untersucht die Nutzung von Cloud-Computing durch Unternehmen und Einrichtungen des Gesundheits- und Finanzwesens in Deutschland sowie die Auswirkungen von Cloud-Computing auf die Datenklassifizierung und -minimierung sowie auf den Umgang mit End-of-Life-Daten.

Laut der weltweiten Studie, Daten in der Ferne, bei der insgesamt 1.800 Teilnehmer befragt wurden, darunter 300 in Deutschland, ist die einfache Verwaltung immer größer werdender Datenmengen einer der Hauptgründe, weshalb viele Unternehmen und Einrichtungen ihre Daten in der Cloud speichern. Allerdings geben 65 Prozent der Befragten in Deutschland an, dass mit der Migration in die Cloud auch die Menge redundanter, obsoleter oder trivialer Daten (ROT-Daten) zugenommen hat, die sie speichern.

Je größer die Menge der gespeicherten Daten, desto größer werden aber auch die potenziellen Probleme. Dies bereitet insbesondere Unternehmen und Einrichtungen in streng regulierten Branchen zunehmend Sorge. Neben der Gefahr von Verstößen gegen Datenschutzvorschriften spielen auch Kosten- und Nachhaltigkeitsaspekte der Datenspeicherung sowie Sicherheitsbedenken eine Rolle. Je mehr Daten, desto größer die Angriffsfläche und desto höher die Strafen bei Datenpannen.

Nach den Best Practices des Datenmanagements müssen alle datenerhebenden Unternehmen und Einrichtungen wissen, welche Daten sie sammeln, welchen Wert diese besitzen, wo diese gespeichert sind und wann diese unwiderruflich vernichtet werden müssen. Dennoch verfügt eigenen Angaben zufolge nur etwas mehr als die Hälfte (55 Prozent) der befragten Unternehmen und Einrichtungen in Deutschland über ein bewährtes Modell zur Datenklassifizierung, durch das festgelegt ist, wann Daten ihr End-of-Life erreichen. Das bedeutet im Umkehrschluss, dass fast die Hälfte eigentlich nicht weiß, wann die von ihnen in der Cloud gespeicherten Daten vernichtet werden müssen.

Auf die Frage nach dem Umgang mit EoL-Daten in der Cloud gaben 59 Prozent der Befragten in Deutschland an, dass ihr Cloud-Anbieter sich für sie um ihre EoL-Daten kümmert. Gleichwohl vertraut fast ein Drittel (31 Prozent) der Befragten dem Cloud-Anbieter nicht, dass dieser sachgemäß mit ihren EoL-Daten umgeht.

»In Deutschland arbeiten Anbieter von Gesundheits- und Finanzdienstleistungen mit den vertraulichsten und sensibelsten Daten, die es überhaupt gibt. Zu den Hauptgründen für die Migration in die Cloud zählen die bessere Konnektivität, der digitale Wandel und die einfachere Verwaltung von Daten. Dennoch wissen viele nicht, wie sie die Sicherheit ihrer Daten und die Einhaltung gesetzlicher Vorschriften sicherstellen sollen, sobald Daten keinem Geschäftszweck mehr dienen und ihr End-of-Life erreichen«, so Tanja Balazic, Managing Director von Blancco Germany. »Covid hat die Arbeitsorganisation in allen Branchen verändert und die Migration in die Cloud hat geholfen, sich an diese Veränderungen anzupassen. Aber auch Hacker haben ihre Vorgehensweise geändert. Laut eines Branchenberichts ereigneten sich 45 Prozent aller Datenschutzverletzungen im Jahr 2022 in der Cloud. Dennoch sind wir im Rahmen unserer Untersuchung auf eine ganze Reihe von Fällen gestoßen, in denen mit EoL-Daten in der Cloud nicht angemessen umgegangen wurde.« [1]

Die Befragung von Blancco unter 300 Unternehmen und Einrichtungen des Gesundheits- und Finanzwesens in Deutschland ergab Folgendes:

66 Prozent der Unternehmen und Einrichtungen finden, dass sie Daten am End-of-Life besser in einem On-Premises-Rechenzentrum verwalten können als in der Cloud.

72 Prozent (der höchste Wert aller in der Erhebung berücksichtigten Länder) setzen beim Datenmanagement ausschließlich auf die softwarebasierte Datenlöschung inklusive Audit-Trail, und zwar sowohl On-Premises als auch in der Cloud. Demgegenüber führt ein besorgniserregend hoher Anteil von 45 Prozent die Datenlöschung ohne Audit-Trail durch.

92 Prozent der Befragten haben erkannt, dass die Datenklassifizierung ein erster wichtiger Schritt auf dem Weg zur Datensicherheit ist.

37 Prozent sind gerade erst dabei, eine Richtlinie zur Datenklassifizierung und -minimierung umzusetzen, und fast jeder zehnte Befragte (7 Prozent) muss damit erst noch beginnen.

Die regelmäßige Bewertung von Daten und die Festlegung von Aufbewahrungsfristen sind ein wichtiger Aspekt, der angesichts der steigenden gesetzlichen Anforderungen an Unternehmen und Einrichtungen des Gesundheits- und Finanzwesens weiter an Bedeutung gewinnt. Laut der Studie verfügen 56 Prozent der Unternehmen und Einrichtungen in Deutschland über einen Datenplan, anhand dessen überprüft wird, wann verschiedene Arten von Daten ihr End-of-Life erreicht haben. Rund ein Viertel (26 Prozent) nutzt hingegen einen blinden Ansatz, wonach schlichtweg alle Daten nach Ablauf eines einheitlichen Zeitraums ihr Lebensende erreichen. Dieser Ansatz ist einfach, aber ineffektiv, da nicht berücksichtigt wird, um welche Daten es sich im Einzelfall handelt, welchen Wert diese besitzen oder wie hoch das Risiko ist, dass die Daten in die falschen Hände gelangen.

Immerhin ist sich ein Großteil der Unternehmen und Einrichtungen aus dem Gesundheits- und Finanzwesen der neuen Herausforderungen bewusst, die die Cloud an das Management von EoL-Daten stellt. So haben es 64 Prozent infolge der Umstellung von analog auf digital als notwendig erachtet, die Art und Weise, wie sie bestimmen, wann Daten nicht länger benötigt werden, neu zu bewerten. Zu den Versäumnissen bei der Klassifizierung und Minimierung von Daten kommt hinzu, dass ein erschreckend hoher Anteil von 68 Prozent der Befragten (deutlich mehr als in anderen Ländern) eigenen Angaben zufolge zum Entfernen von Daten zumindest manchmal die systemeigene Löschoption nutzt. Bei diesem Verfahren werden in der Regel lediglich die Zeiger auf die Daten entfernt, nicht aber die Daten selbst. Das heißt, dass die Daten nach wie vor vorhanden sind und problemlos wiederhergestellt werden können. Folglich fehlt auch ein Audit-Trail, der die ordnungsgemäße Datenvernichtung am EoL belegt.

Selbst wenn in On-Premises-Rechenzentren die Best Practices der Datenvernichtung befolgt wurden, heißt das nicht automatisch, dass diese bei der Datenmigration in die Cloud mit umziehen. Auch wenn es mittlerweile zum Standard gehört, dass Cloud-Anbieter das Entfernen von Daten in Nutzungsvereinbarungen berücksichtigen, ist die routinemäßige Bereitstellung klarer Nachweise, dass bestimmte sensible Daten tatsächlich unwiderruflich gelöscht wurden, nach wie vor eher eine Seltenheit. Das macht streng regulierte Branchen anfällig für Compliance-Verstöße und unbefugte Datenzugriffe.

Der durch die Covid-Pandemie beschleunigte Umzug in die Cloud macht deutlich, dass Unternehmen und Einrichtungen in stark regulierten Branchen und mit einem hohen Bedrohungspotenzial ihre Verantwortung für ihre Daten neu überdenken müssen. Der Bericht zur Studie enthält eine Reihe von Best Practices, die diesen und anderen datenintensiven Branchen helfen, die gesetzlichen Bestimmungen zur Datenhaltung zu befolgen und sowohl sich als auch ihre Kunden zu schützen. Den Bericht mit der vollständigen Analyse finden Sie hier: https://www.blancco.com/daten-in-der-ferne .

[1] Methodik: Diese Studie basiert auf einer Umfrage unter 1.800 Entscheidungsträgern für Datenhaltung und Datenvernichtung weltweit, darunter 300 in Deutschland. Befragt wurden zu gleichen Teilen Beschäftigte aus dem Finanzdienstleistungs- und dem Gesundheitswesen. Die Umfrage wurde zwischen November und Dezember 2022 von dem unabhängigen Forschungsunternehmen Coleman Parkes unter Beschäftigten in sechs Ländern durchgeführt: Vereinigte Staaten (USA), Kanada, Vereinigtes Königreich (UK), Deutschland, Frankreich und Japan. Diese Länder repräsentieren Nordamerika, Europa und den asiatisch-pazifischen Raum, Regionen, in denen Blancco tätig ist.

[1] (IBM, 2022): Cost of a data breach 2022: A million-dollar race to detect and respond. https://www.ibm.com/reports/data-breach