Datenhoheit
Was Sie über digitale Souveränität wissen müssen
Foto: Gorodenkoff - shutterstock.com
Datenschutz, Sicherheit und Vertrauen stehen im Mittelpunkt der digitalen Souveränität. Das Ziel: Unternehmen sollen die Kontrolle über die gespeicherten personenbezogenen Daten behalten. Die Datenhoheit und damit die digitale Souveränität ist von zentraler Bedeutung für die Innovations- und Wettbewerbsfähigkeit der deutschen Wirtschaft. Zu diesem Ergebnis kommt eine Studie des Bundesministeriums für Wirtschaft und Energie (BMWi). Unternehmen sind gefordert, eine Strategie zur Durchsetzung digitaler Souveränität zu entwickeln - das steht bei vielen jedoch noch nicht auf der Agenda.
Akute Souveränitätsdefizite
Die Beliebtheit von öffentlichen Clouds macht europäische Unternehmen technologisch immer abhängiger von Anbietern aus den USA und Asien. Hyperscaler wie Google, Microsoft und Amazon nehmen bei der Cloud-Migration führende Positionen ein.
Viele Kunden sind sich der tatsächlichen Datenschutzrisiken nicht bewusst, die häufig mit der Nutzung von Cloud-Diensten, Software-as-a-Service und proprietären Plattformen für sensible Daten verbunden sind. Und das, obwohl immer strengere gesetzliche Vorgaben und Richtlinien wie die DSGVO, Gaia-X der Europäischen Union und das Schrems-II-Urteil des EuGH den Druck erhöhen. 81 Prozent der deutschen Unternehmen bestätigen, dass die Souveränitäts- und Datenschutzgesetze sich auf die eigenen Cloud-Pläne auswirken. Das geht aus den Befragungen zum neuen 2023 Data Threat Report im Auftrag von Thales hervor.
Digitale Souveränität ist ein Schlüsselfaktor, um Unternehmen gegenüber externen Einflüssen und sich ständig ändernden regulatorischen Rahmenbedingungen widerstandsfähig zu machen. Doch gerade auf Management- und Entscheider-Ebene werden Pläne zur Wahrung der Datenhoheit oft nicht zu Ende gedacht. Die Verantwortlichen sind sich nicht bewusst, dass Maßnahmen zur selbstbestimmten und unabhängigen Nutzung digitaler Ressourcen notwendig sind, um das eigene Unternehmen zu schützen und massive Strafzahlungen zu vermeiden. Drei typische Hemmfaktoren:
Geringe Priorität, die dem Thema digitale Souveränität im Vergleich zu anderen strategischen Zielen beigemessen wird.
Fehlende Ressourcen für die Entwicklung von Konzepten, um Daten unabhängig von Cloud-Anbietern kontrollieren zu können.
Die Materie wird als hochkomplex und hochdynamisch wahrgenommen.
Das Prinzip der Cloud Security
Die rechtlichen Regelungen zur digitalen Souveränität schreiben vor, dass klassifizierte Daten und Workloads in den jeweiligen geografischen Zuständigkeitsregionen gespeichert und ausgeführt werden müssen. Außerdem dürfen sie nur von lokalen Nutzern abgerufen werden. Unternehmen benötigen daher eine Roadmap für jedes einzelne Land, in dem sie tätig sind.
Foto: Ground Picture - shutterstock.com
Erschwerend kommt das Prinzip der "geteilten Verantwortung" und damit eine Aufgabentrennung hinzu: Cloud-Dienstleister bieten in puncto Sicherheit kein Rundum-Sorglos-Paket an. Sie kümmern sich um die IT-Sicherheit der Cloud-Infrastruktur, während der Kunde für die Sicherheit der Daten, der Workloads und der Zugangskontrolle in der Cloud verantwortlich ist. Unternehmen müssen also selbst aktiv werden. Mit eigenen Vorkehrungen schützen sie die von ihnen eingebrachten Daten und den Zugriff darauf. Verschlüsselung ist dabei das zentrale Instrument - die gewährleistet die digitale Souveränität unabhängig vom Speicherort der Daten.
Der Weg zur strategischen Autonomie
Unternehmen brauchen eine Souveränitätsstrategie. Sie sollte die zentralen Aspekte in den Mittelpunkt stellen und lokal umsetzen. Dazu müssen sie digitale Souveränität als Teil der digitalen Transformation begreifen und eigene Schutzmaßnahmen treffen. Hier drei wesentliche Punkte, die Entscheider gemeinsam mit ihren Sicherheitsexperten im Blick behalten sollten:
Kontrolle der Encryption Keys: Das Schlüsselmanagement ist eine wichtige Komponente bei der Cloud-Migration. Unternehmen können verschiedene Einsatzszenarien für Encryption Keys in Betracht ziehen, von "bring your own key" (BYOK) über "hold your own key" (HYOK) bis hin zu "bring your own encryption" (BYOE). Mehr erfahren...
Dauerhafter Schutz sensibler Daten: Kompromisslos müssen Daten während ihres gesamten Lebenszyklus verschlüsselt werden, unabhängig davon, ob sie "at rest", "in motion" oder "in use" sind. Mehr erfahren …
Zugriffskontrolle und Identitäten: Unternehmen benötigen eine rollenbasierte Zugangskontrolle auf sensible Daten. Der Zugriff sollte nach dem Least-Privilege-Prinzip erfolgen und eine Multi-Faktor-Authentifizierung (MFA) sollte auf allen Cloud-Plattformen greifen. Mehr erfahren…
Der Blick aufs Ganze macht den Unterschied
Es ist nicht einfach, den Bedarf an digitaler Souveränität im Rahmen einer Risikobewertung zu ermitteln. Noch anspruchsvoller ist es, daraus eine ganzheitliche Strategie abzuleiten und die Prozesse entsprechend anzupassen. Nachhaltige Lösungen von der Stange gibt es nicht. Umfassende Kenntnisse der rechtlichen Leitplanken und der sich ständig ändernden regulatorischen Prioritäten sind nur in den wenigsten Unternehmen vorhanden. Meist ist schon die Klassifizierung sensibler Daten auf Basis der regionalen gesetzlichen Anforderungen schwierig. Hinzu kommt, dass die Zahl der Vorschriften in Bereichen wie dem Finanzwesen exponentiell wächst.
Wollen Unternehmen den Nutzen der Cloud maximieren und Märkte besser bedienen, sollten sie die Initiative ergreifen und sich professionell beraten lassen. Der gemeinsame Blick von innen und außen hilft in zwei Phasen: Erst werden Abhängigkeiten und Schwachstellen identifiziert, anschließend die Chancen und Risiken ausgelotet, die sich aus digitaler Souveränität ergeben.
Nutzen Sie das kostenlose Whitepaper von Thales und machen Sie digitale Souveränität zum Eckpfeiler Ihrer Cloud-Strategie.