Wie können deutsche Unternehmen ihre Daten schützen?
Die weltweit erzeugten Datenmengen wachsen exponentiell, und damit auch der Bedarf nach entsprechendem Datenschutz. Wo stehen Europa und Deutschland hier und wie kann die Cloud Unternehmen dabei helfen, stets auf der sicheren Seite zu bleiben?
Der Wert von Daten und Informationen hat den von Öl überstiegen - der digitale Rohstoff ist längst zum wertvollsten Wirtschaftsgut unserer Gesellschaft geworden. Dieser Zustand wird sich weiter zuspitzen, betrachtet man die prognostizierte Entwicklung der weltweiten Datenmenge in den kommenden drei Jahren: das Volumen generierter Daten wird sich bis 2025 verglichen mit 2018 auf über 175 Zettabyte (175 Milliarden Terabyte) mehr als verfünffachen, berichtet Statista. Die Lösung, um diese Mengen beherrschen zu können, heißt für die meisten Unternehmen Cloud. Laut einer Bitkom-Studie nutzen mittlerweile 82 Prozent aller deutschen Unternehmen Cloud-Infrastrukturen zumindest teilweise, Tendenz steigend. Bis 2025 sollen laut Bitkom im Schnitt sogar bereits die Hälfte aller Anwendungen aus der Cloud kommen.
Dabei kann es sich um Public-, Private- oder Hybrid-Clouds handeln, die unternehmenseigene Infrastrukturen und rechtliche Anforderungen mit einbeziehen. Daten vor unberechtigtem Zugriff zu schützen ist dabei entscheidend, da Datenschutzverletzungen zu hohen Strafzahlungen führen können, die gerade für kleine und mittelständische Unternehmen schnell betriebsgefährdend sein können. Auch deutsche Unternehmen stehen vor der enormen Herausforderung, die stetig wachsende Datenmenge regelkonform zu verwalten. Wie können ihr Unternehmen begegnen?
Der Status quo 2022
Nachrichten über Datenlecks und -hacks, in deren Folge teils kritische Daten an unberechtigte Dritte gelangen, werden in den letzten Jahren immer häufiger. Durch die gestiegenen Datenmengen in nahezu jeder Art von Unternehmen gibt es theoretisch keine Branchen und Unternehmensgrößen mehr, die nicht für einen Angriff infrage kämen. Grundsätzlich gilt: Je größer die Menge an kritischen Daten innerhalb einer Organisation, desto mehr lohnt sich ein Hack aus Sicht der Angreiferer und desto aufwendiger ist es für das Unternehmen selbst, internen Datenlecks vorzubeugen. Doch es muss nicht immer ein Leck oder ein Hack sein, der zu Strafzahlungen führt. Schon das Speichern von Informationen an einem falschen Ort kann ausreichen, um eine Datenschutzverletzung zu begehen. Unternehmen aus strenger regulierten Industrien wie der kritischen Infrastruktur sollten hierauf ein besonderes Augenmerk legen: Denn häufig dürfen sie bestimmte kritische Daten beispielsweise nicht auf Public-Clouds ablegen, sondern müssen dafür dedizierte Server nutzen.
Werden diese inhouse gehostet, entfällt die Absicherung über einen externen Provider, weshalb es hier häufig Sinn ergibt, auch lokale Server über die Strukturen von Cloud-Providern zu nutzen, z. B. Virtual Locations oder Private- bzw. Hybrid-Clouds. Sobald Organisationen Cloud-Services nutzen, können sie aber schnell in eine andere Falle tappen: So ist die Speicherung sensibler, beispielsweise personenbezogener Daten in Rechenzentren außerhalb der EU in vielen Fällen nur unter Auflagen möglich. Hierzu gehören Standarddatenschutzklauseln, die in Cloud-Verträgen den Datenverkehr zwischen Importeur und Exporteur regeln und somit Rechtssicherheit gewährleisten. Zudem dürfen sie nicht verändert werden, da ansonsten ihre datenschutzrechtliche Wirkung verloren geht.
Existiert eine solche Klausel im Vertrag nicht und der Cloud-Provider lagert kritische Daten beispielsweise in ein US-amerikanisches Rechenzentrum aus, haftet der Kunde – auch wenn er die Auslagerung gar nicht veranlasst hat und sie ohne sein Wissen geschehen ist.
Dieses Risiko können Unternehmen weitgehend ausschließen, indem sie ihre Daten über europäische oder deutsche Anbieter hosten lassen. Diese nutzen häufig Rechenzentren innerhalb der EU und Deutschland und unterliegen so automatisch hiesigen Datenschutzbestimmungen.
DSGVO und Bundesdatenschutzgesetz
Ein besonderer Vorteil in Deutschland ansässiger IT-Provider ist, dass sich das deutsche Bundesdatenschutzgesetz (kurz: BDSG) zu großen Teilen mit der EU-weit geltenden DSGVO deckt. Das führt dazu, dass Cloud- und andere IT-Anbieter mit deutschem Firmensitz und in Deutschland gehosteten Servern mit die größte Sicherheit beim Schutz von Daten innerhalb der EU bieten können.
Was ist Ihre Reaktion?
