Trotz DSGVO (GDPR): Elegant in die Cloud!

von Sebastian Rohr, CTO, APIIDA AG

In den letzten Jahren hat sich die Einstellung europäischer und vor allem deutscher Unternehmen zur „Cloud“ insgesamt grundlegend geändert. Herrschte noch vor drei Jahren eine entschiedene Ablehnung vor, so erwägen heute deutlich mehr Unternehmen den Schritt in die Cloud oder haben ihn teilweise schon vollzogen. Nicht zuletzt durch massive Werbekampagnen von Microsoft (Azure), Amazon (AWS) und Google sowie die neuen Angebote von Cloudservices dieser Anbieter aus deutschen Rechenzentren heraus (im Grunde eine Art „German Cloud“ der Telekom) ist es gelungen, die Vorbehalte gegen diese neue Art der IT-Leistungserbringung zu reduzieren. Gerade Microsoft hat mit dem massiven Ausbau seiner Office 365 Angebote dazu beigetragen, dass Kunden gerade auf die Cloud migrieren mussten. Zwar ist dies bei vielen Kunden bisher auf das Lizenzmodell und die Verwaltung begrenzt, doch Azure AD (also die Verwaltung der Konten und Berechtigungen über ein Active Directory in der Cloud) erschließt mit seinen Föderations-Möglichkeiten gleichsam einen ganzen Blumenstrauß weiterer Cloud-Applikationen. Also allenthalben Freude und Zuversicht?

Nicht ganz! Seit etwa einem Monat ist in der EU die GDPR und in Deutschland die DSGVO endgültig in Kraft getreten – und trotz gut zwei Jahre dauernder Vorbereitungsfrist haben sich nicht unbedingt alle Unternehmen (und auch viele Behörden) so auf den Termin vorbereitet, wie es die Regulierung vorsieht. Zum einen fehlen vielen Unternehmen bis heute die wirklich entscheidende interne Dokumentation über die Systeme, in denen personenbezogene Daten verarbeitet werden (Verarbeitungsverzeichnis). Zum anderen scheinen auch weiterhin große Unsicherheiten bei der Zuständigkeit und der Verantwortung für die erhobenen und zu verarbeitenden Daten zu bestehen. Einige Datenschutzbeauftragte von Banken berichteten kürzlich auf der Konferenz „Datenschutz und Datensicherheit“ in Berlin, dass ihnen die Rechtsabteilungen renommierter Firmenkunden reihenweise Vordrucke für die Auftragsdatenverarbeitung haben zukommen lassen – ein eher absurdes Verhalten im elektronischen Zahlungsverkehr, aber ein deutliches Anzeichen für die große Verwirrung, die die DSGVO bei Unternehmen gestiftet hat.

Dabei wäre in einem ganz anderen Bereich viel mehr Aufmerksamkeit notwendig: nämlich bei den Vorgaben, sich „auf dem Stand der Technik“ zu bewegen, um mögliche Gefahren eines Datenverlustes zu minimieren. Hier stand (und steht) es um viele Unternehmen immer noch schlecht. Grundlegende Maßnahmen wie die geordnete und dokumentierte Verwaltung der digitalen Identitäten und Benutzerkonten der Mitarbeiter im Rahmen eines Identity & Access Managements sind vielerorts noch genauso unbekannt, wie die Mehrwerte einer benutzerfreundlichen und modernen Zwei-Faktor/Multi-Faktor Authentifizierung. Und die Risiken, die aus einer Kombination von „steigender Cloud Adaption“ und fehlendem „Stand der Technik“ entstehen, sind gravierend!

So konnte ich beispielsweise (leider) beobachten, wie ein Unternehmen recht kurz nach dem schnellen Umstieg von lokalen Outlook/Exchange auf ein komplettes Office 365 mit online Emailkonten einem massiven Phishing Angriff zum Opfer fiel und folglich einen massiven „Breach“ von eben diesen Konten verzeichnen musste. Wäre der Vorfall nach Inkrafttreten der DSGVO aufgetreten, wären hier massive Strafzahlungen zu erwarten: Denn statt die Migration auf ein cloudbasiertes Office mit der verpflichtenden Einführung eines Zwei-Faktor-Authentifizierungs-Verfahrens zu flankieren, wurde in diesem speziellen Fall weiterhin mit Nutzername/Passwort gearbeitet. Entstehen kann so geradezu ein Daten-Supergau: Angreifer aus aller Welt können sich bequem mit den abgephishten Credentials an den Emailkonten und Online-Sharepoints austoben!

Hier wurde ganz klar versäumt, das offensichtliche Risiko einer Kompromittierung des einfachen Benutzername/Passwort-Schemas zu erkennen und sinnvoll durch die Einführung einer modernen Zwei-Faktor-Authentifizierungs-Lösung wie etwa APIIDA Mobile Authentication zu kompensieren. Sowohl für die Anmeldung am lokalen Rechner als auch über SAML 2.0/FIDO kompatible Mechanismen der Föderation lassen sich solche Zwei-Faktor-Authentifizierung-Lösungen heute sehr einfach einbinden – vorbei die Zeiten, als die Integration eines Hardware OTP Tokens (etwa von RSA oder OneSpan, vormals Vasco) oder einer Smartcard hohe Budgets verschlang und der Betrieb der Lösungen die Total Cost of Ownership explodieren ließ. Die Zwei-Faktor-Authentifizierungs-Ansätze neuester Generation lösen die Probleme der sicheren Authentifizierung sowohl für die Cloud als auch für die lokale Anmeldung am PC oder Virtual Desktop. Eine moderne Lösung wie APIIDA Mobile Authentication kann schnell, einfach und kostengünstig helfen, die Cloud sicher für sich nutzbar zu machen und die Anforderungen der DSGVO elegant zu erfüllen.

Die auf der Webseite eingesetzten Cookies haben eine wichtige Funktion für unsere Webseiten und erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies einsetzen. Klicken Sie auf "Zustimmen", um den Einsatz von Cookies zu akzeptieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen