Datensouveränität
Mit digitaler Souveränität die Vorteile der Cloud maximieren
Foto: wavebreakmedia - shutterstock.com
Ob DSGVO, die Gaia-X-Initiative der Europäischen Union oder die erhöhte Compliance nach dem Schrems-II-Urteil des Europäischen Gerichtshofs: Digitale Souveränität ist für Unternehmen in Deutschland zu einem Muss geworden. 83 Prozent der Führungskräfte sind besorgt über die Auswirkungen von Souveränitäts- und Datenschutzregularien auf ihre Cloud-Pläne. Zu diesem Ergebnis kommt der neue 2023 Data Threat Report, der von Thales in Auftrag gegeben wurde.
Um strenge Datenschutzbestimmungen einzuhalten und Abhängigkeiten zu vermeiden, müssen Unternehmen ihre Daten unabhängig von einzelnen Cloud-Anbietern kontrollieren. Oft fehlt es jedoch an Kompetenz und Investitionsbereitschaft. Wie also steuern Unternehmen in Richtung Cloud-Effizienz und verbessern gleichzeitig ihre digitale Souveränität?
Modernes Datenschutzkonzept für die Cloud
Digitale Souveränität bedeutet, dass Unternehmen die volle Kontrolle über ihre Daten haben, insbesondere wenn es sich um personenbezogene Daten handelt. Unternehmen müssen auch sicherstellen, dass ihre Daten in einem bestimmten geografischen Gebiet verbleiben, was bei öffentlichen Clouds schwierig ist. Es überrascht daher nicht, dass 35 Prozent der für den Data Threat Report befragten Führungskräfte eine vollständige Standortkontrolle ihrer Daten vermissen.Dabei gibt es 3rd-Party Tools, wie z.B. der Data Custodian von SAP, der diese Aufgabe für SAP-Instanzen in der Cloud übernimmt, als Gateway für z.B. Key Management für SAP HANA dient und somit bei keiner SAP-Migration in die Cloud fehlen sollte.
Eine ganzheitliche Strategie zur digitalen Souveränität hilft Unternehmen, ihre Daten unabhängig vom jeweiligen Cloud-Anbieter zu kontrollieren und so die Datenhoheit zu behalten. Weil das Thema oft zu komplex erscheint, schieben Verantwortliche eine strategische Lösung auf die lange Bank. Abwarten ist jedoch der falsche Ansatz, denn digitale Souveränität ist hochgradig geschäftskritisch und viele Betriebe befinden sich mitten in der Migration in die Cloud oder nutzen bereits Multi-Cloud-Umgebungen.
Gerade auch um sich vor den immer häufigeren und raffinierteren Cyberattacken und den allgegenwärtigen Erpressungsversuchen zu schützen, sollten Entscheider ihre Sicherheits- und Datenschutzstrategien anpassen. Der Handlungsbedarf ist groß: Laut Data Threat Report haben 79 Prozent der Unternehmen ihre Workloads in mehr als eine Public Cloud verlagert - deutlich mehr als im Vorjahr (57 Prozent). Damit erhöhen sie ihr Risiko.
Foto: fizkes - shutterstock.com
Zeit also, das eigene Sicherheitskonzept auf den Prüfstand zu stellen. Sonst könnten die gesetzlichen Vorgaben zur digitalen Souveränität und die damit verbundenen höheren Risiken Ihren Cloud-Plänen einen Strich durch die Rechnung machen.
Souverän in die Cloud: So geht's
Digitale Souveränität maximiert die Möglichkeiten für Unternehmen, von der Cloud zu profitieren. Ein guter Ausgangspunkt für die Entwicklung einer tragfähigen Souveränitätsstrategie ist das Konzept der geteilten Verantwortung in der Cloud: Cloud-Anbieter verpflichten sich, die Infrastruktur, Server, Speicher und Plattform zu schützen. Der Kunde ist für die Sicherheit der in der Cloud gespeicherten Daten sowie für die Zugangskontrolle verantwortlich. Verschlüsselung ist dabei das zentrale Instrument: Die Hoheit über die Verschlüsselungs-Keys sichert die digitale Souveränität unabhängig von einem einzelnen Cloud-Anbieter.
Schlüsselfaktoren für digitale Souveränität
Vier Bausteine für eine Souveränitätsstrategie sollten Führungskräfte gemeinsam mit ihren Sicherheitsexperten im Auge behalten:
1. Klassifizierung der Daten: Digitale Souveränität setzt eine Risikobewertung und Klassifizierung der sensiblen Daten auf Basis der regulatorischen Anforderungen voraus. Das bedeutet, dass die Daten nach ihrem Schutzbedarf und ihrer Vertraulichkeit eingestuft werden. Beispielsweise können personenbezogene Daten, Finanzdaten oder Gesundheitsdaten als hochsensibel klassifiziert werden, während allgemeine Informationen als weniger schutzbedürftig gelten.
2. Kontrolle der Encryption Keys: Das Schlüsselmanagement ist die zentrale Komponente bei der Cloud-Sicherheit. Unternehmen können verschiedene Einsatzszenarien für Encryption Keys und Secrets in Betracht ziehen, von "bring your own key" (BYOK) über "hold your own key" (HYOK) bis hin zu "bring your own encryption" (BYOE).
3. Lebenszyklusschutz für sensible Daten: Daten müssen kompromisslos während ihres gesamten Lebenszyklus verschlüsselt werden, unabhängig davon, ob sie "at rest", "in motion" oder "in use" sind.
4. Zero Trust: Unternehmen benötigen eine rollenbasierte Zugriffskontrolle auf sensible Daten. Der Zugriff sollte nach dem Least-Privilege-Prinzip erfolgen und eine Multi-Faktor-Authentifizierung (MFA) sollte auf allen Cloud-Plattformen gelten.
Machen Sie digitale Souveränität zum Bestandteil Ihrer Cloud-Strategie. Profitieren Sie von den umfassenden Lösungen von Thales und wie Kunden diese in die Praxis umgesetzt haben.