Analyse, Beratung, Umsetzung Wie Sie Ihre Daten in der Cloud sicher verschlüsseln

Sie möchten Ihre Daten in die Public Cloud verlagern und sicher sein, dass kein Dritter mitliest oder gar Zugriff auf Ihre Daten hat? Dann sollten sie diese verschlüsseln! Wie aber gehen Unternehmen das Thema richtig an, auf was müssen Sie achten und was hat das alles mit dem Namen Maximilian Schrems zu tun? Mittelstand Heute mit den wichtigsten Fakten für den Schutz Ihrer Daten!

Inhalt (per Klick auf die Links gelangen Sie direkt zum jeweiligen Kapitel):

• Bis hin zu Schrems-II: Wie hat sich der rechtskonforme Datentransfer entwickelt?
  
• Bewegen wir uns nach Schrems-II im rechtsfreien Raum?
• Datenschutz: Warum Unternehmen jetzt handeln müssen...
  
• Präzedenzfall Doctolib – Klage abgewiesen!
• In fünf Schritten zur sicheren Daten-Verschlüsselung
• So setzen Unternehmen die Verschlüsselung praktisch um
• Fazit: So sorgen Sie für den maximalen Schutz Ihrer Daten

Bis hin zu Schrems-II: Wie hat sich der rechtskonforme Datentransfer entwickelt?

Der Schutz personenbezogener Daten ist in der DSGVO geregelt. Soweit nichts Neues. Wie aber sieht es aus, wenn Daten gespeichert und verarbeitet werden und ein Cloud-Provider mit ins Boot kommt? Innerhalb der EU ist das kein Problem. Die Übermittlung in die USA ohne angemessene Schutzmaßnahmen hingegen wurde mit dem Schrems-II-Urteil gekippt.

Bis hin zu Schrems-II – das ist in den letzten 20 Jahren passiert:

• 2000 – Safe-Harbor-Abkommen: Dieser Beschluss der EU erlaubt Unternehmen den Transfer personenbezogener Daten aus der Europäischen Union in die USA.
• 2015 – Schrems-I-Urteil: Der Europäische Gerichtshof erklärt den Safe-Harbor-Pakt als ungültig.
• 2016 – Privacy Shield: Eine informelle Absprache zum gekippten Safe-Harbor kommt ins Spiel.
• 2018 – Cloud Act (Clarifying Lawful Overseas Use of Data Act): Die Regelung erlaubt US-Behörden den Zugriff auf Unternehmens- sowie Kundendaten von Cloud-Anbietern mit Sitz in den USA.
• 2020 – Schrems-II-Urteil: Das Privacy Shield wird für ungültig erklärt.

Bewegen wir uns nach Schrems-II im rechtsfreien Raum?

Aktuell existiert keine verbindliche Regelung zum transatlantischen Datenverkehr. Die Standardvertragsklauseln, als Grundlage für die Übertragung von Daten in Drittländer, sind weiterhin gültig. Faktisch kann ein Unternehmen die aktuellen Terms of Use eines Cloud-Providers außerhalb der EU für sich als ausreichend und datenschutzkonform erklären, sich aber dem Risiko einer Datenschutzklage aussetzen. Taugt dies als kurzfristige Strategie?

Denn spätestens zum 27.12.2022 müssen die bisherigen Standardvertragsklauseln auf die neuen Klauseln umgestellt werden und das Ergreifen ergänzender Maßnahmen kann erforderlich sein. Danach werden Verstöße scharf geahndet.

Datenschutz: Warum Unternehmen jetzt handeln müssen...

Laut BfDI (Bundesbeauftragte für den Datenschutz und die Informationssicherheit) „ist bei Datenübermittlungen in die USA, gegebenenfalls auch für Datenübermittlungen in weitere Drittländer, mit zusätzlichen Maßnahmen sicherzustellen, dass die personenbezogenen Daten auch im jeweiligen Drittland stets angemessen geschützt sind. Der Datenexporteur ist generell verpflichtet, für ein entsprechendes Schutzniveau zu sorgen."

Selbst wenn viele Unternehmen keine personenbezogenen Daten in die USA oder andere Länder außerhalb der EU übermitteln, kann es bereits als Nichteinhaltung angesehen werden, E-Mail- oder Cloud-Dienste/-Server zu nutzen. Auch dann droht eine empfindliche Strafe in Höhe von vier Prozent vom Geschäfts- bzw. Konzernumsatz. Es herrscht Unsicherheit im Markt und Unternehmen sind gezwungen, jetzt zu handeln.

Präzedenzfall Doctolib – Klage abgewiesen!

Doctolib wurde in Frankreich im Rahmen der Covid-19-Impfkampagne mit der Anmeldung für Impfungen über ihre Online-Plattform beauftragt. Das Hosting der Daten erfolgte bei einem amerikanischen Cloud-Provider. Verbände reichten eine Klage ein, mit der Begründung, dass es sich um personenbezogene Daten handele, die nach der DSGVO nicht in die USA gelangen dürften.

Ergebnis: Die Klage wurde vom Conseil d' Etat abgewiesen. In der Urteilsbegründung hieß es, dass die Beauftragung des Providers nicht automatisch ein Verstoß gegen die DSGVO darstellt. Durch die Verschlüsselung hat der Provider keinen direkten Zugriff auf die Daten, da der Schlüssel bei Doctolib verbleibt.

In fünf Schritten zur sicheren Daten-Verschlüsselung

Für die Übertragung personenbezogener Daten über Standardvertragsklauseln bedarf es mehr als eines Vertrags zwischen Datenexporteur und -importeur. Worauf kommt es also an?

Eine Schritt-für-Schritt-Anleitung:

1. Beratung zu den vereinbarten Standardvertragsklauseln im Rahmen der DSGVO bei einer Datenschutz-Kanzlei einholen.
2. Sensible Daten erkennen, klassifizieren und das Risiko analysieren.
3. Den Lebenszyklus, die Bewegung und Migration der Daten erfassen.
4. Das Sicherheitsniveau für unterschiedlich klassifizierte Daten definieren.
5. Daten und Datentransfer mit einer dreistufigen Verschlüsselungsstrategie verschlüsseln und den Schlüssel intelligent verwalten. Und zwar beim Cloud-Nutzer.

Datenschutz: Die drei wichtigsten Key-Management-Konzepte für die Cloud

1. BYOK: Bring Your Own Key – Bring deinen eigenen Schlüssel mit und verwalte ihn auch selbst!

   Bei diesem Modell werden die Daten bei einem Cloud-Provider verschlüsselt gespeichert. Verschlüsselung und Entschlüsselung erfolgen über den Anbieter. Dabei wird das Schlüsselmaterial vom Kunden nach eigenen Vorgaben erzeugt und über einen sicheren verschlüsselten Weg an den Provider übermittelt. Der Schlüssel kann jederzeit zurückgezogen oder auch gelöscht und wieder hergestellt werden. Ein weiteres Plus ist, dass On-Premise ein Backup erzeugt werden kann.

2. BYOE: Bring Your Own Encryption oder BYOK+ – Der Königsweg für ein erhöhtes Sicherheitsniveau

   Bei diesem Konzept erstellen und verwalten User nicht nur ihre Schlüssel selbst, sondern können auch den kryptografischen Algorithmus vorgeben und managen. Neben dem simplen Erzeugen und Zurückhalten der Verschlüsselungs-Schlüssel sollte man hierbei auch auf ein entsprechendes Lifecycling der Verschlüsselung achten, um somit die Komplexität dieser erhöhten Sicherheitsstufe zu handeln.

   3. HYOK: Hold Your Own Key – Steht für höchstes Sicherheitsniveau, denn die Daten werden verschlüsselt, bevor sie in die Cloud wandern.

   Bei diesem Verfahren werden unerlaubte Datenzugriffe verhindert, indem die Daten immer in verschlüsselter Form und nie in Klartext in der Cloud liegen. Daher macht ein Zugriff für Angreifer keinen Sinn. Der Schlüssel bleibt beim Kunden und außerhalb der Cloud sicher verwahrt, der Cloud-Anbieter hat keinen Zugang zum Schlüsselmaterial.

So setzen Unternehmen die Verschlüsselung praktisch um

Ein Lösungsansatz ist die Enterprise Data Security Architecture in drei Stufen auf Basis der Crypto Foundation von Thales, dem strategischen Partner der All for One Group in der Verschlüsselungstechnik und dem Key Management.

Im Core Layer werden zunächst die Schlüssel erstellt. Das Key- und Lifecycle Management ist der Schlüsselfaktor für die Sicherheit und gleichzeitig oft die Schwachstelle. Im Data Layer wird für die Datensicherheit gesorgt, und zwar auf Basis der Anwendungsfälle Data Discovery, Classification und Encryption Control. Das bedeutet:

Data Discovery: Unstrukturierte Daten aus unterschiedlichen Quellen werden aufbereitet, um sie nutzbar zu machen.

• Data Classification: Analyse strukturierter und unstrukturierter Daten und die Organisation im Hinblick auf Dateityp, Dateiinhalt und Metadaten sowie Vertraulichkeitslevel. Im Core Layer wird der Schlüssel erstellt.
• Encryption Control: Über ein Point-to-Point Protocol können nur autorisierte Endpoints Verbindungen aufbauen.
  

Bitte beachten: Verschlüsselte Daten sollten immer vom Schlüsselmaterial getrennt werden!

In der Praxis werden die nativen Schlüssel vom Hersteller genutzt, aber externe Key Manager wie die Thales-Services CipherTrust Cloud Key Manager (CCKM) erzeugen die Schlüssel, kontrollieren, halten sie und stellen sie Policy-bedingt zur Verfügung. Daten, die verschlüsselt werden, müssen immer vom Schlüsselmaterial getrennt sein. Das ist also zu tun:

• • Daten in der Cloud verschlüsseln!
  • Schlüssel besonders schützen und kontrollieren!
  • Verantwortlichkeiten verteilen (Segregation of Duties)!

Fazit: So sorgen Sie für den maximalen Schutz Ihrer Daten

Verschlüsselung der Daten in der Cloud ist ein Muss. Die beschriebenen Lösungsansätze und Verfahren tragen dazu bei, dass kritische und sensible Daten sicher übertragen, gespeichert und verarbeitet werden. So können Cloud-Kunden sicher sein, dass kein Dritter Zugang zu vertraulichen Daten hat. Auch die Datenschutzkonformität ist gewahrt.

Allein auf den Cloud-Anbieter zu vertrauen ist die eine Lösung. Zusätzliche Methoden und Mittel sind zumindest zu prüfen und wenn möglich einzusetzen. Denn es ist ratsam, sich im Vorfeld mit verschiedenen Möglichkeiten der Verschlüsselung auseinanderzusetzen und externe Expertise ein-zuholen. So lässt sich in jedem Fall nachweisen, das jeweils mögliche Maximum an Schutzpotenzial herausgeholt zu haben.

Aufmacher-Bild: Monster Ztudio - stock.adobe.com