IDC schätzt, dass bis 2018 mehr als die Hälfte aller IT-Ausgaben für Cloud-Technologie aufgewendet werden. Unternehmen speichern heute mehrere Exabyte nativ in der Cloud, und da die Kosten für die Migration weiterer Daten weiter sinken, wird die Cloud für viele Unternehmen zum primären Speicherort.
Doch obwohl die Cloud zum Standardspeicher für Unternehmens- und Privatdaten wird, wird es für die Datensicherheit nicht einfacher, mit der Entwicklung Schritt zu halten. Eine wachsende Zahl von Cloud-Datenverletzungen, die in letzter Zeit Aufmerksamkeit erregten, betraf entweder unsicher gespeicherte Daten oder fehlerhafte Zugriffskontrollen. Man kann sogar argumentieren, dass traditionelle Datenschutzansätze durch die Beseitigung veralteter Hürden bei der Beschaffung, Bereitstellung und Nutzung von Speicher im Unternehmen geschwächt oder sogar obsolet geworden sind.
Mehr Daten, mehr Probleme
Die scheinbar unbegrenzte Datenaufnahmefähigkeit der Cloud ist für Unternehmen ein zweischneidiges Schwert. Zwar sinken die Kosten und der Aufwand für die Datenspeicherung in der Cloud drastisch, was eine beispiellose Skalierbarkeit und Effizienz ermöglicht. Aber mit einfache Bereitstellung Mit der Bereitstellung und Implementierung können eine entspanntere Governance und die Beseitigung historischer IT-Einschränkungen und -Limits bei der Erstellung und Verwaltung von Daten einhergehen. Für Unternehmen, die mit sensiblen Informationen arbeiten – und das trifft heutzutage zunehmend auf die meisten Organisationen zu –, kann dies eine ernsthafte Herausforderung für Sicherheit, Compliance und Governance darstellen.
Nehmen wir zum Beispiel die Datenlokalisierung. Im Zeitalter von Unternehmensrechenzentren war es relativ einfach, die Einhaltung der Datenhoheit zu gewährleisten: Die Daten wurden auf Systemen innerhalb des Rechenzentrums gespeichert, und das Rechenzentrum war ein Gebäude mit vier Wänden an einem bestimmten Standort. Regulierungsbehörden, die einen Nachweis der Datenhoheit forderten, konnten sich darauf verlassen, dass die Daten ihrer Bürger in einem begehbaren Gebäude gespeichert waren. In der Cloud sind Unternehmen auf die Zusicherung eines Anbieters angewiesen, die eine Regulierungsbehörde zufriedenstellen kann – oder eben nicht. Wo früher ein Team, das eine Anwendung entwickelte, einen aufwändigen Freigabeprozess durchlaufen musste, um die Infrastruktur an einem bestimmten Standort einzurichten, kann heute jedes Team mit einer Kreditkarte Datensysteme nach Belieben bereitstellen.
Für Branchen, die mit regulierten Daten arbeiten, kann diese Leichtigkeit, mit der Daten erstellt und verbreitet werden können, ein großes Problem darstellen. Ein Beispiel hierfür sind Identitätsdaten. Personenbezogene Daten gelten nach den meisten Maßstäben als sensibel. Die meisten Staaten und Länder verfügen heute über Gesetze, die die Erhebung, Speicherung und Nutzung personenbezogener Daten regeln. Der Wandel im Bereich des Identitätsdatenschutzes wird wohl nirgendwo besser veranschaulicht als in Form der EU-Datenschutz-Grundverordnung, kurz DSGVO.
Die DSGVO, die im Mai 2018 in Kraft tritt, ist eine neue EU-Verordnung, die regelt, wie Unternehmen personenbezogene Daten erheben und verarbeiten. Die Missachtung der strengen Anforderungen an die Datenbuchhaltung und -berichterstattung kann für Unternehmen, die Daten europäischer Bürger verarbeiten, Strafen in Höhe von bis zu 41TP3B des weltweiten Umsatzes nach sich ziehen. Zu den 99 Artikeln der DSGVO gehören neue Datenrechte für Einzelpersonen und eine strengere Datenaufbewahrung für Unternehmen. Zusammengenommen verlangen diese neuen Anforderungen von Unternehmen, ihre Benutzerdaten unternehmensweit genau zu finden, zu inventarisieren und abzubilden. Für viele Unternehmen stellt dies bereits eine große Herausforderung für das traditionelle Rechenzentrum dar, in dem es zumindest einige logische und physische Grenzen hinsichtlich der Aufbewahrung und Suche von Daten gibt. In der Cloud wird die Herausforderung durch die geringeren Beschränkungen hinsichtlich der Orte, an denen personenbezogene Daten erstellt oder gespeichert werden dürfen, noch verschärft. In der Cloud kann sich das Problem der Identifizierung von Identitätsdaten mitunter als undurchsichtig erweisen.
Den Datennebel durchschauen
Das Auffinden und Zuordnen personenbezogener Daten in der Cloud ist unerlässlich, um neue Datenschutzbestimmungen wie die DSGVO zu erfüllen. Unternehmen, die diese Funktion in der Cloud nutzen, müssen die Datenquellen ihrer Organisation automatisch inventarisieren und anschließend eine Mischung strukturierter, unstrukturiert und halbstrukturierte Daten über IaaS und SaaS im Cloud-Maßstab. Ältere Tools zur Datenermittlung stammen aus der Zeit vor der Cloud und verfügen in der Regel nicht über die Cloud-native Skalierbarkeit und Automatisierung. Darüber hinaus haben sie Schwierigkeiten, Daten nach Datensubjekt zu inventarisieren und zuzuordnen – eine Voraussetzung für die Einhaltung von Vorschriften wie der DSGVO.
BigID ist ein führender Anbieter von Cloud-nativen Big-Data-Tools, die Unternehmen dabei unterstützen, ihre Daten in der Cloud und im Rechenzentrum zu finden, zu inventarisieren und abzubilden. Mit BigID können Unternehmen die Suche und Überwachung personenbezogener Daten in verschiedenen Cloud-Umgebungen wie AWS, Azure und Salesforce im Petabyte-Bereich automatisieren.
Datenschutz beginnt mit der Kenntnis der Daten. In der Cloud kann dies aufgrund der unbegrenzten Datenkapazität manchmal schwierig sein. Tools wie BigID ermöglichen Unternehmen, Daten präzise und skalierbar zu finden, zu verfolgen und zu überwachen, um den Cloud-Nebel zu durchdringen.
Autor
