Im Interview zum Datenschutz in der Cloud: Andreas Steffen, eperi„Manager von heute müssen Datenschutz können“
28. Februar 2024Sicherheitsbedenken gegenüber der Datenspeicherung in der Cloud bleiben auch im Jahr 2024 ein Dauerbrenner. Dabei geht es in erster Linie nicht nur um die technische Machbarkeit, sondern viel mehr um eine ganzheitliche Datenschutzstrategie. Umfragen deuten darauf hin, dass 60 Prozent der deutschen Unternehmen Bedenken hinsichtlich des Datenschutzes haben und 55 Prozent sogar einen Kontrollverlust fürchten. Diese Bedenken sind berechtigt und hängen in vielen Fällen mit den schnellen Entwicklungen in der IT-Industrie und mit den inländischen, europäischen oder internationalen Auflagen und Gesetzen zusammen, die mit der Datenschutzstrategie von Unternehmen nicht in Einklang stehen. Die Herausforderung liegt in der Verantwortlichkeit. Liegt der Datenschutz in den Händen der IT, der Datenschutzbeauftragten oder der Geschäftsleitung? Wer die Verantwortung trägt und wie Compliance und Datenschutz verbessert werden können – dazu steht Andreas Steffen, CEO beim Verschlüsselungsexperten eperi, gegenüber Line-of_biz (LoB) Rede und Antwort.
LoB: Wie sehen Sie zum heutigen Zeitpunkt den Status in Sachen Compliance und Datenschutz?
Steffen: Die Frage ist recht einfach zu beantworten, denn die Situation lässt in vielen Bereichen sehr zu wünschen übrig. Unternehmen wissen, dass der Datenschutz wichtig ist. In einigen Bereichen, in denen sie zum Datenschutz gezwungen werden – etwa in stark regulierten Bereichen wie der Medizin – werden zumindest die gesetzlichen Vorgaben eingehalten. Außerhalb dieser speziellen Branchen hat der Datenschutz oft eine untergeordnete Rolle. Er trägt nicht unmittelbar zum Erfolg und Wachstum eines Unternehmens bei und hat daher oft nicht die Priorität, die er haben sollte. Aus einer anderen Perspektive betrachtet, kann ein ungenügender Datenschutz jedoch sehr leicht die Ursache dafür sein, dass der erwünschte Erfolg ausbleibt und das Wachstum aufgrund eines schlechten Datenschutzes gefährdet ist.
LoB: Das heißt, Unternehmen sind sich der Gefahren eines schlechten Datenschutzes bewusst, ordnen das Risiko aber dem Geschäftserfolg unter?
Steffen: Vielleicht sollte man es nicht so drastisch und pauschal darstellen, da die Gemengelage bei den Unternehmen durchaus Unterschiede aufweist. Ein Beispiel: Im Jahr 2012 waren es lediglich 37 Prozent der Unternehmen, die Cloud im Einsatz hatten. Heute sind es nahezu 100 Prozent, die in irgendeiner Weise auf die Cloud setzen. Wenn ein Unternehmen alle seine Daten aus strategischen Gründen in die Cloud zu einem lokalen Provider oder zu einem der Hyperscaler auslagert, ist der Datenschutz zwar nicht in allen, jedoch in vielen Fällen ein Thema. Hier wird Datenschutz aktiv betrieben, wenn auch gelegentlich mit einigen Fehlern. Wenn Unternehmen jedoch innerhalb der IT-Lieferkette schleichend und durch externe Einflüsse in die Cloud gezwungen werden, greift der Datenschutz oft zu kurz. Hier spielt Software as a Service (SaaS) eine maßgebliche Rolle, bei dem nach und nach Daten in die Cloud verschoben werden und sich einer Kontrolle durch den Datenschutz entziehen. Microsoft 365 oder Salesforce sind nur zwei von vielen Beispielen. Wenn Teilbereiche in die Cloud umziehen – aus Gründen der Funktionsvorteile oder weil die Anbieter ihren Kunden keine Wahl lassen, findet die Prüfung des Datenschutzes und der nötigen Maßnahmen oft nicht statt.
LoB: Sie sprachen eben von Fehlern beim Einrichten des Datenschutzes in der Cloud. Welche sind das typischerweise?
Steffen: Datenschutz in der Cloud kann wesentlich komplexer sein als Datenschutz mit IT-Systemen, über die ein Unternehmen in-house die Kontrolle hat. Eine verteilte IT-Struktur birgt viele zusätzliche Herausforderungen. Beispielsweise gibt es den EINEN Administrator nicht mehr. Es gibt Administratoren im Unternehmen und solche, die beim Cloud-Betreiber sitzen. Beide haben jedoch umfangreiche Rechte, auf die Daten zuzugreifen. Ein weiteres Beispiel ist die Verschlüsselung der Daten beim Cloud-Anbieter. Was sinnvoll klingt – nämlich die Daten in der Cloud nur verschlüsselt aufzubewahren – hat einen Haken, wenn der Schlüssel für die Verschlüsselung beim Provider liegt, anstatt ausschließlich beim Dateneigentümer. Durch die umfangreiche und fragmentierte Nutzung der Cloud, sind Unternehmen überfordert, jedes einzelne Leck im Datenschutz zu finden und zu schließen.
LoB: Unternehmen können und wollen nicht zurück zur alten IT. Was ist die Lösung?
Steffen: Im ersten Schritt sollten Unternehmen genau wissen, welche Daten bei welchen Cloud-Anbietern liegen. Zweitens sollten Unternehmen ihre Datenschutzstrategie für das existierende Maß an Cloud-Aktivität anpassen und das Datenschutzkonzept mit den geltenden und sich stetig weiterentwickelnden Auflagen in Einklang bringen. Drittens benötigen Unternehmen eine möglichst einfache Lösung, den vorgeschriebenen aber auch den eigens auferlegten Datenschutz zu realisieren. Viertens – und das ist besonders wichtig – ist Datenschutz die Aufgabe des Managements und nicht nur der IT oder die des Datenschutzbeauftragten. Die Geschäftsleitung hat die Aufgabe, Schaden vom Unternehmen mit allen nötigen Mitteln fernzuhalten, um die Existenz und den Erfolg des Unternehmens sicherzustellen. Im Übrigen haftet die Geschäftsleitung durch Gesetze wie EU NIS-2 zu einem großen Ausmaß persönlich, wenn bei einer Datenpanne im Bereich des Datenschutzes eine Nachlässigkeit festgestellt wird.
LoB: Wie kann eine Lösung aussehen?
Steffen: Es müssen strategische und technische Lösungen gefunden werden, welche mindestens die gesetzlichen Vorgaben einhalten – idealerweise aber noch mehr, um das Unternehmen noch umfassender zu schützen. Diese Lösungen müssen diverse Anforderungen erfüllen. Wenn wir von einer Datenverschlüsselung reden, was heute die beste Methode ist, Daten in der Cloud zu schützen, darf diese nicht proprietär für eine einzelne Cloud-Anwendung sein, sondern muss übergreifend und skalierbar die Cloud-Entwicklung des Unternehmens begleiten. Viele einzelne Lösungen würden zu einem schwer kontrollierbaren und löchrigen Flickenteppich führen. Zudem muss eine Verschlüsselung bereits im Unternehmen stattfinden und nicht erst beim Cloud-Anbieter. Erst damit hat das Unternehmen die volle Kontrolle und die Hoheit über die Daten und die Schlüssel. Als weiterer wichtiger Punkt ist die Funktionalität zu nennen. Anwendungen wie beispielsweise Salesforce können mit herkömmlich verschlüsselten Daten nichts anfangen, was die Datenverschlüsselung ad absurdum führen würde. Nötig ist daher eine funktionserhaltende Datenverschlüsselung, die gleichzeitig den Datenschutz aufrechterhält.
LoB: Welche Rolle spielen die Manager beim Datenschutz?
Steffen: Da die Manager als oberste Instanz bei Datenschutzverstößen per Gesetz zunehmend mehr in der persönlichen Haftung stehen, sollte aus meiner Sicht allein das Eigeninteresse groß genug sein, um für einen angemessenen Datenschutz zu sorgen. Darüber hinaus haben Manager eine Sorgfaltspflicht für das Wohlergehen des Unternehmens und der Mitarbeitenden. Es gibt genügend Gründe, weshalb Datenschutz ein Management-Thema ist. Konkret sollten Manager dafür sorgen, dass eine Datenschutzstrategie, die dem Unternehmen angemessen ist, existiert und dass diese umgesetzt wird. Mit dieser Strategie müssen sie sich sicher sein, dass der Datenschutz in allen Bereichen des Unternehmens funktioniert. Zudem gilt es, diese Strategie kontinuierlich zu hinterfragen und in regelmäßigen Abständen zu kontrollieren. Denn die Technologie sowie die Gefahrenpotenziale entwickeln sich viel zu schnell, als dass eine einzige Strategie für Jahre gelten könnte.
LoB: Was empfehlen Sie Unternehmen konkret jetzt zu tun?
Steffen: Unternehmen und vor allem das Management müssen wissen, welches individuelle Gefahrenpotenzial im Bereich des Datenschutzes tatsächlich besteht. Mutmaßungen und Schätzungen bringen hier nichts, denn man kann eine wirkungsvolle Strategie und Lösung nur auf Basis von Fakten aufbauen. Den Zustand des Datenschutzes sollten externe Spezialisten prüfen, da diese das Unternehmen aus der Vogelperspektive und vor allem mit viel Erfahrung unter die Lupe nehmen. Im Anschluss muss eine Lösung gefunden werden und hier ist die Datenverschlüsselung heute die wirkungsvollste und vermutlich am meisten erprobte Technologie.