So funktioniert compliance-konformer Datenaustausch in der Cloud

Compliance und Cloud, so kann es gelingen.

Cloud-Anwendungen zählen zum Alltag jedes Unternehmen und sind absolut bewährt. Die Absicherung bzw. die compliance-konforme Nutzung kann bisweilen aber eine echte Herausforderung darstellen.
In diesem Artikel beleuchten wir, wie das Arbeiten in der Cloud und Compliance dennoch matchen.  

❓Was versteht man unter Compliance?

Der Begriff Compliance ist in aller Munde. Doch was genau versteht man genau darunter? Bei Compliance geht es um die Einhaltung von Gesetzen und die Wahrung von Rechten durch ein Unternehmen und seine Mitarbeiter. Das untergeordnete Compliance Management umfasst interne Regeln und Richtlinien, die von den Mitarbeitern eines Unternehmens gewahrt werden müssen. Zu den allgemeinen Compliance-Grundsätzen zählen allgemeine Prinzipien, Recht und Gesetz, Produktsicherheit, Arbeitssicherheit und Umweltschutz, Know-how und Firmeneigentum.

❓Was genau bedeutet Compliance für Unternehmen?

Eine gut strukturierte und organisierte Compliance kann straf- und zivilrechtliche Risiken und demzufolge auch Konsequenzen deutlich reduzieren. Zudem kann ein gutes Compliance Management dafür sorgen, dass Unternehmen einen Wettbewerbsvorteil erhalten, nämlich beispielsweise dann, wenn öffentliche Auftraggeber nur dann Aufträge vergeben, wenn der Dienstleister ein entsprechendes Compliance Management aufweisen kann.

❓Warum ist IT-Compliance wichtig?

Im Unternehmensbereich spielt vor allem die IT-Compliance eine große Rolle. Jedes Unternehmen, das in irgend einer Form Daten von Kunden speichert oder verarbeitet, muss sich an bestimmte Regularien halten, die genau vorgeben, wie diese Daten verwendet oder weitergegeben werden müssen und welchem Schutz sie unterliegen. Die große Herausforderung für Unternehmen besteht darin, dass die Einhaltung dieser Vorgaben im kompletten Unternehmen - und somit auch von jedem einzelnen Mitarbeiter - gelebt werden muss. Damit das gewährleistet werden kann, macht es Sinn, IT-Compliance-Richtlinien aufzustellen, die allen Mitarbeitern als verbindliche Vorgabe dienen. Darüber hinaus ist es zwingend notwendig, die Einhaltung dieser Policies konsequent durchzusetzen und zu überwachen. Begeht ein Mitarbeiter einen Verstoß, wird das Unternehmen zur Haftung und in der Regel auch zu einer nicht unerheblichen Strafe herangezogen. 

❓Wer muss darauf achten, dass die IT-Compliance-Richtlinen eingehalten werden?

Generell obliegt es der Unternehmensleitung darauf zu achten, dass die IT-Compliance-Richtlinien im gesamten Unternehmen befolgt und umgesetzt werden. Selbstverständlich kann diese Aufgabe jedoch auch an jemanden übertragen werden, der aufgrund seines Wissens dazu in der Lage ist, dies zu kontrollieren. 

❓Worauf sollte man bei der Prüfung von IT-Compliance-Vorgaben achten?

An oberster Stelle muss darauf geachtet werden, dass die laufende Prüfung die Rechte der Arbeitnehmer nicht verletzt. Werden also wahllos einfach die Arbeitsgeräte von Mitarbeitern nach Firmendaten untersucht, während dabei auch private Informationen eingesehen werden können, ist dies nicht zulässig. Zugleich ist es enorm wichtig, dass die Mitarbeiter laufend in punkto Datenschutz informiert und sensibilisiert werden. Darüber hinaus ist es auch wichtig, auf IT-Sicherheitslösungen zu setzen, bei denen keine Gefahr / Möglichkeit besteht, dass Dritte (wie z. B. ausländische Geheimdienste) auf gespeicherte Daten zugreifen können. IT-Sicherheitslösungen, die aus Deutschland oder Europa stammen, unterliegen generell den Vorgaben der DSGVO. Wählt man eine dieser Lösungen, öffnet man Geheimdiensten keine Hintertür. 

Mit diesen Fragen gelingt Ihnen ein erster Check Ihrer IT-Landschaft

✔️Existiert ein Verfahrensverzeichnis und ein Datenschutzmanagementsystem?
✔️Ist sichergestellt, dass die Zugriffsberechtigungen mindestens 1x Jahr geprüft werden?
✔️Welche Cloud-Produkte werden im Unternehmen genutzt?
✔️Wer kümmert sich um die Verwaltung der Cloud-Verträge?
✔️Welche relevanten / schützenswerten Daten werden in der Cloud gespeichert?
✔️Über welche Zertifizierungen verfügen die eingesetzten Lösungen?
✔️Befindet sich ein Informations-Management-System im Einsatz?
✔️Gibt es gängige Lösch- und Archivierungskonzepte?

7 Fakten, die Unternehmen bei der Einhaltung der Compliance-Vorgaben beim Datenaustausch unterstützen

Worauf sollten Sie also achten, wenn Sie Daten sicher tauschen möchten? Wir informieren Sie über die 7 wichtigsten Fakten, die Sie dabei unterstützen, die gängigen Compliance-Regeln einzuhalten: 

1 Sichere Ende-zu-Ende-Verschlüsselung vermeidet Datendiebstahl

Die Compliance beim Datenaustausch steht und fällt mit einer sicheren Verschlüsselung. Eine clientseitige Ende-zu-Ende-Verschlüsselung sorgt dafür, dass die Daten bereits am Endgerät des Benutzers maximal sicher verschlüsselt werden. Diese Art der Verschlüsselung schützt personenbezogene Daten, die in einer Cloud gespeichert werden, vor ungewollten Zugriffen durch Dritte und stellt gleichzeitig sicher, dass auch beispielsweise der Cloud-Anbieter nicht auf diese Daten zugreifen kann. Sollte es also zu einem Hackerangriff kommen, ist sichergestellt, dass niemand etwas mit den gespeicherten personenbezogenen Daten anfangen kann. 

2 Zentrale Datenkontrolle sorgt für einen gesamtheitlichen Überblick

Ohne den Einsatz von organisatorischen und technischen Maßnahmen ist es schlichtweg nicht möglich, die Compliance-Vorgaben zu erfüllen. DRACOON unterstützt sie dabei diese Regeln einzuhalten. Das integrierte Reportingtool ermöglicht dem sogenannten Auditor einen Gesamtüberblick über die einzelnen Datenräumen und Gruppen sowie über die Berechtigungsstrukturen innerhalb Ihrer Cloud. Auf diese Art und Weise lassen sich auch unberechtigte Benutzer identifizieren und das Sicherheitsrisiko innerhalb Ihrer Organisation minimieren. So haben Sie stets eine exakte Kontrolle darüber, wer personenbezogene Daten einsehen, nutzen und bearbeiten darf.  

3 Vergabe von individuellen Zugriffsberechtigungen erleichtert die Collaboration

Mit Hilfe des feingranularen Benutzer- und Rechtemanagements können Sie jedes Zugriffsrecht sehr individuell bestimmen, zeitlich einschränken und detailliert festlegen. Im Zuge dessen können Sie sogar bereits erteilte Daten-Freigaben im Nachhinein löschen und anpassen.

4 Datenschutz durch Privacy by Design

Damit Sie die Datenschutzvorgaben für Ihr Unternehmen einhalten können, sollten Sie darauf achten, dass Sie eine Lösung verwenden, die nach den Grundsätzen von Privacy by Design entwickelt wurde. Wenn Sie ein System einsetzen, bei dessen Entwicklung bereits der Datenschutz bedacht und entsprechend integriert wurde, laufen Sie nicht Gefahr, dass es zu einem späteren Zeitpunkt zu einem schwerwiegenden Datenleck kommt und sie feststellen müssen, dass Sie deswegen dem Datenschutz nicht genügend Folge leisten können.

5 Made in Germany steht für DSGVO-konform

Bei DRACOON steht Datenschutz an erster Stelle. Deshalb verwenden wir für bei unserer Enterprise File Service-Lösung für die Datenspeicherung ausschließlich deutsche Rechenzentren. So können wir gewährleisten, dass niemand von außen einen Zugriff auf die Daten erhält und sie DSGVO-konform gespeichert werden. Da DRACOON zudem in Deutschland entwickelt wurde, unterliegen wir als Anbieter ohnehin den strengen deutschen Datenschutzgesetzen.

6 Beachten Sie geltende Gesetze und Industriestandards

Für viele Unternehmen gelten bestimmte Gesetze und Industriestandards, die sich mit Sicherheitsfragen beschäftigen. Zu den gängigsten Compliance-Richtlinien gehören so z. B. Basel II, der Payment Card Industry Security Standard (PCI DSS), Health Insurance and Accountability Act (HIPAA), Trusted Information Security Assessment Exchange (TISAX), Gramm-Leach-Bliley Act (GLBA) oder auch Sarbanes-Oxley Act (SOX). Bei jeder dieser Richtlinien wird von der Übertragung bis zum Backup der strikte Schutz von Kunden- und Finanzdaten vorgeschrieben. Wählen Sie deshalb einen Anbieter, der die für sie geltenden Richtlinien umsetzt.

7 Zertifizierter Cloud-Speicher sorgt für testierte Sicherheit

Hochwertige Zertifizierungen, aber auch die Erfüllung von relevanten Datenschutz- und Compliance-Richtlinien sorgen maßgeblich für einen sicheren Datenaustausch. DRACOON betreibt ein sogenanntes ISMS, also ein Informationssicherheitsmanagementsystem, das nach ISO 27001 auditiert und zertifiziert wird. Außerdem wurde auch durch einen unabhängigen Wirtschaftsprüfer die Einhaltung der hohen Anforderungen an die Informationssicherheit nach dem Anforderungskatalog Cloud Computing (C5) des BSI testiert. Deshalb können Sie auf folgende Zertifikate und Testierungen bauen:

• BSI C5-Testat
• ISO / IEC 27001-Norm für Informationssicherheits-Managementsysteme
• Doppel-Leader im ISG-Quadranten für „Enterprise Cloud Filesharing“
  
  

✔️ So klappt es mit der Cloud Compliance
Wenn Sie diese 7 Fakten beachten und die Leistungen Ihres Cloud-Anbieters danach bewerten, können Sie einem Verstoß gegen die Compliance-Regeln aktiv vorbeugen und sich entsprechend absichern. Auch DRACOON erfüllt die oben genannten Vorgaben vollumfänglich und unterstützt Sie bei der Einhaltung Ihrer Vorgaben.