Thomas Benz ist der neue Managing Director Switzerland & Austria bei Veritas. Wir haben ihn auf dem 6. Confare Swiss CIO SUMMIT getroffen und mit ihm darüber gesprochen, wie sich die Nutzung von Cloud Services verändert hat und was für Anwender dabei in Zeiten der neuen EU Datenschutzgrundverordnung zu beachten ist.
Public, Private, Hybrid – und jetzt Multi? Wie hat sich die Cloud-Nutzung in den letzten Jahren verändert?
Die Cloud gehört heute vielerorts zum Unternehmensalltag. Nach Jahrzehnten der internen Rechenzentren und dem Trend mit Public- und Private-Cloud-Strukturen setzen aktuell Firmen auf die Hybrid-Cloud, also verwalten sie ihre Daten sowohl in-house, als auch in der Cloud.
Nun zeichnet sich abermals eine neue Entwicklung ab – die Multi-Cloud. Hier werden Daten in unterschiedlichen Public Clouds gespeichert. In ihren „FutureScape Worldwide Cloud 2017 Predictions“ kommt IDC jedenfalls zu dem Ergebnis, dass bis 2018 bereits 85 Prozent aller Unternehmen weltweit vorwiegend auf die Multi-Cloud setzen werden.
Was ist an Multi-Cloud so verlockend?
Sicherheitsbedenken im Zusammenhang mit Cloud-Technologien gehören der Vergangenheit an, heute überwiegt der hohe Business-Nutzen. Doch je nach Anforderungskatalog sind unterschiedliche Cloud-Angebote verlockend. Hier bekommt die Multi-Cloud ihren großen Auftritt: Sie bietet für jeden Einsatzzweck die jeweils passende Umgebung. Zu den weiteren Vorteilen gehört die Ausfallsicherheit, denn fällt eine Cloud aus, ist eine andere davon nicht betroffen. Das führt zu mehr Flexibilität und vermeidet den für andere Cloud-Strategien typischen Vendor-lock: Die Abhängigkeit von einem Cloud-Provider etwa kann zu schlechteren Preiskonditionen führen. Zudem gewährleistet eine Multi-Cloud die bestmögliche Performance-Geschwindigkeit für unterschiedliche Anforderungen.
Das klingt zu schön, um wahr zu sein, oder?
Die Kehrseite der Medaille: Unternehmen müssen alle Clouds unter einen Hut bringen, um Daten auch in Zukunft zuverlässig zu verwalten. Dabei helfen Lösungen für das Datenmanagement, vor allem sogenannte 360-Grad-Lösungen stehen hoch im Kurs.
Sie gewährleisten Einblicke in die Daten und vereinfachen die Cloud-Migration. Ein optimierter Speicher sorgt für die Datensicherheit bei jedem Schritt. Eine einfache Verwaltung der unterschiedlichen Cloud-Strukturen ist gerade dann wichtig, wenn der Blick in Richtung personenbezogener Daten geht. Ab dem 25. Mai 2018 ist nämlich eine DSGVO-Compliance gefordert.
Stichwort Compliance – was gibt es hier zu beachten?
Die Compliance mit der DSGVO betrifft jedes Unternehmen, das mit personenbezogenen Daten von EU-Bürgern arbeitet. Momentan haben rund 18.500 Firmen weltweit solche Daten gespeichert. Dazu gehören nicht nur Namen und Passwörter, sondern auch beispielsweise die IP-Adresse oder Geheimfragen mit privaten Antworten. Mit der DSGVO werden diese Datenberge für Unternehmen zur Mammutaufgabe: Ab Mai 2018 gibt es für Bürger das „Recht auf Vergessenwerden“. Das bedeutet, dass alle persönlichen Daten einer Person auf Anfrage eingesehen, analysiert und eventuell gelöscht werden müssen. Kommen Firmen dieser Anfrage nicht nach oder verstossen gegen andere Richtlinien, drohen enorme Strafzahlungen: Die maximalen Bussgelder belaufen sich auf bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten Jahresumsatzes, je nachdem, welcher Wert höher ist. Gelangt ein solcher Fall an die Öffentlichkeit, könnte das für das Unternehmen einen Image-Schaden nach sich ziehen. Kunden verlieren dann häufig das Vertrauen in ihre Provider und wechseln zur Konkurrenz.
Daher gilt für Unternehmen: Die Zeit drängt.
Aber wie genau können sich Unternehmen vorbereiten und eine Compliance sicherstellen?
Es existieren einige wichtige Grundvoraussetzungen für eine lückenlose Compliance. Allen voran müssen die Angestellten eines Unternehmens darauf vorbereitet sein, was mit der DSGVO auf sie zukommt. Ein Datensicherheitsbeauftragter ist dafür verantwortlich, regelmässige Kontrollen durchzuführen und Policen und Abläufe abzustimmen. Auch ein Dateninventar ist entscheidend, ebenso wie die richtige Technologie. Fünf Kernpunkte müssen Unternehmen erfüllen, damit sie perfekt auf die DSGVO vorbereitet sind:
- Lokalisieren:
Unternehmen müssen in einer Art Datenlandkarte einen Überblick darüber gewinnen, wo personenbezogene Daten abgelegt sind. Das gilt insbesondere für Umgebungen, in denen Daten in verschiedenen Standorten und in der Cloud verteilt wurden. - Suchen:
EU-Bürger können einen Einblick in und/oder die Herausgabe von über sie gespeicherte Daten verlangen. Unternehmen müssen diese Anforderung zeitnah erfüllen können. Ein Prozess und Software, mit denen sich diese Daten schnell auffinden und bei Bedarf löschen lassen, helfen dabei. - Minimieren:
Die DSGVO regelt, dass Firmen personenbezogene Daten nur zweckgebunden, also nur für eine bestimmte Frist speichern dürfen. Deshalb sollte jede Datei mit einem Verfallsdatum versehen und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden. - Schützen:
Es sollte selbstverständlich sein, personenbezogene Daten sorgsam zu sichern. Unternehmen müssen Massnahmen ergreifen, um Angreifer von aussen und innen abzuwehren. Bei einem Datenleck sind Firmen verpflichtet, es innerhalb von 72 Stunden zu melden. - Überwachen:
Bevor ein Datenleck gemeldet werden kann, muss klar sein, dass es existiert. Es ist wichtig, verlorene Daten schnell und eindeutig zu identifizieren. Eine Software für ein umfassendes Datenmanagement, die die komplexe Speicherinfrastruktur ständig auf Unregelmässigkeiten überprüft, unterstützt dieses Vorhaben.