Datenschutz ist weiterhin ein zentrales Thema im Cloud Computing, wie der aktuelle Cloud Monitor 2020 von Bitkom zeigt. Unternehmen ohne Public-Cloud-Lösungen haben vor allem Sicherheitsbedenken. Sieben von zehn Nichtnutzern (70 Prozent) fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten.
Allerdings ist das Bild vom Cloud-Datenschutz nicht immer stimmig. Umfragen unter Cloud-Nutzern haben mehrfach gezeigt, dass ein Teil der Anwender meint, der Cloud-Provider sei für den Datenschutz und die IT-Sicherheit des eingesetzten Cloud-Dienstes verantwortlich. Ein solches Missverständnis kann Folgen haben: Man kümmert sich als Cloud-Nutzer nicht ausreichend um den Datenschutz für die Cloud-Daten.
Selbst bei Cloud-Diensten, die zum Beispiel ein Testat nach C5 (Cloud Computing Compliance Criteria Catalogue) oder eine Datenschutzzertifizierung vorweisen können, ist der Datenschutz und die IT-Sicherheit nicht etwa die Angelegenheit des Anbieters.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstreicht dies ebenfalls: Die Verwendung von C5 oder den genannten Zertifizierungen ändert nichts daran, dass der jeweilige Cloud-Kunde selbst in der Verantwortung ist, den Datenschutz zu gewährleisten und die ergriffenen Maßnahmen zur Einhaltung des Datenschutzes zu bewerten.
Die Datenschutz-Grundverordnung (DSGVO / GDPR) regelt dies insbesondere in Artikel 28 DSGVO (Auftragsverarbeitung).
Cloud-Provider wie AWS bieten nicht nur ein Modell der geteilten Verantwortung für Sicherheit und Compliance, sie haben auch eine Vielzahl von Datenschutz-Tools im Angebot, die der Cloud-Nutzer einsetzen kann, um seine Aufgaben im Cloud-Datenschutz besser umsetzen zu können.
Ein Beispiel ist Amazon Macie, das kürzlich um mehrere Funktionen im Bereich Datenschutz erweitert wurde. So ist der Cloud-Kunde zwar für die Verwaltung der eigenen Daten (einschließlich Verschlüsselungsoptionen) und für die Klassifizierung der eigenen Assets verantwortlich. Doch ein Dienst wie Amazon Macie kann helfen.
AWS beschreibt seinen entsprechend Dienst so: Kunden wählen die Buckets aus, die sie zur Erkennung vertraulicher Daten senden möchten, und Amazon Macie scannt diese Buckets mithilfe von maschinellem Lernen und Mustervergleich, um die Daten anhand eines vordefinierten Satzes gängiger vertraulicher Datentypen zu identifizieren und zu kategorisieren.
Die Kunden erhalten umsetzbare Sicherheitsergebnisse, in denen alle Daten aufgelistet sind, die zu diesen sensiblen Datentypen passen, einschließlich personenbezogener Daten (PII wie z. B. Kundennamen und Kreditkartennummern) und Kategorien, die in Datenschutzbestimmungen wie der DSGVO definiert sind. Die Datenerkennungs-Engine von Amazon Macie wurde laut AWS vollständig überarbeitet, um die zugrunde liegenden Speicher- und Rechenressourcen besser zu nutzen und eine schnellere und skalierbarere Erkennung durchzuführen.
Die Modelle für maschinelles Lernen von Amazon Macie wurden aktualisiert, um eine genauere Erkennung in einer wachsenden Liste von PII-Typen zu ermöglichen. Beispielsweise wurden die Modelle verbessert, um internationale Kunden besser zu unterstützen, indem geografische Unterschiede in den Datentypen besser erkannt werden, z. B. Unterschiede in den Postanschriftformaten in den USA und in Deutschland oder regionale Namenskonventionen, die durch Standardmusterabgleich nur schwer zu erkennen sind.
Kunden können jetzt auch ihre eigenen Datentypen mithilfe regulärer Ausdrücke erstellen – ein weit verbreiteter Standard zum Definieren von Suchmustern -, sodass Amazon Macie vertrauliche Daten erkennen kann, die für das Geschäft eines Kunden spezifisch sind oder innerhalb eines Unternehmens eindeutig formatiert sind (z. B. Patienten-ID-Nummern).
Zum Beispiel fordert der Mindeststandard des BSI zur Mitnutzung von externen Cloud-Diensten:
So hilfreich solche Dienste für die Klassifizierung zu schützender Daten auch sein können, Cloud-Nutzer sollten immer an die Grenzen dieser Tools und die bleibende Verantwortung denken, wenn sie Provider-Sicherheitsdienste in ihre Datenschutzkonzept für die Cloud einbeziehen.
Offensichtlich wurde Amazon Macie kürzlich weiter optimiert, um weitere Datenkategorien identifizieren und klassifizieren zu können. Im Umkehrschluss konnte Amazon Macie also bestimmte Klassifizierungen bisher nicht.
Wenn aber zu schützende Daten in der Cloud bisher nicht oder nur unvollständig erkannt und klassifiziert wurden oder auch in Zukunft werden, ist dies nicht etwa die Verantwortung des Providers. Die Nutzung von Provider-Tools ändert nichts an der Aufgabenteilung zwischen Provider und Kunde und schon gar nicht an der datenschutzrechtlichen Verantwortung.
Wer sich also dafür entscheidet, Datenschutzaufgaben mit einem bestimmten Provider-Tool anzugehen, verschiebt die Verantwortung nicht auf den Provider, sondern als Verantwortlicher entscheidet man sich für eine bestimmte Maßnahme im Datenschutz, zum Beispiel für ein Provider-Tool. Provider-Sicherheitsdienste können also im Cloud-Datenschutz helfen, die Aufgabe und Verantwortung und damit die große Bedeutung des Datenschutzes für eine Entscheidung pro Cloud Computing bleiben bestehen.
HPE GreenLake ist ein IT-as-a-Service-Angebot, das das Cloud-Erlebnis in Ihre On-Premises-Infrastruktur bringt und Ihre Edges, Clouds und Rechenzentren vereinheitlicht. Lernen Sie in diesem Webinar, wie Sie die Vorteile der HPE-Lösung optimal für Ihr Unternehmen nutzen.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
