Datensicherheit, Datensouveränität und Datenaufenthalt in einer SaaS-Cloud-Umgebung

Das Mitratech-Team |

Die Konvergenz von Big Data und Hyper-Cloud-Infrastrukturen hat eine Vielzahl von Problemen im Zusammenhang mit dem Zugang, der Nutzung und der Speicherung von Daten aufgeworfen. Die Welle des Nationalismus und der "Fokussierung nach innen" als Reaktion auf eine anhaltende Periode des nach außen gerichteten Globalismus ist ein Hauptgrund dafür. Datenverwahrer haben sehr strenge Ansichten und oft auch gesetzliche Vorschriften darüber, wie Daten behandelt werden sollten. In diesem Artikel erläutert Stephen Nyabadza vom Alyne-Vertriebsteam, wie der Ansatz von Alyne zum Umgang mit Daten in einer Software-as-a-Service (SaaS)-Cloud-Umgebung alle Bedenken in diesem Bereich ausräumt.

Was ist Datensouveränität und Datenresidenz?

Für Unternehmen ist es wichtig, genau zu wissen, wo ihre Daten gespeichert sind, und dann die notwendigen Schritte zu unternehmen, um sicherzustellen, dass sie die regionalen Rechtsvorschriften einhalten. Die Verwechslung der Begriffe Datenhoheit und Datenaufenthalt kann Ihr Unternehmen bei Verstößen gegen die Vorschriften teuer zu stehen kommen. Daher ist es wichtig, den Unterschied zwischen diesen beiden Begriffen zu definieren und zu verstehen.

Was ist Datensouveränität?

Sie gibt den Regierungen die Mittel an die Hand, um den ungeprüften Zugriff ausländischer Auftragnehmer, Hilfskräfte und Einrichtungen auf sensible Regierungsdaten zu verhindern. Datenhoheit kann in Form von Gesetzen und Vorschriften wie der EU-Datenschutzgrundverordnung (GDPR) und dem kalifornischen Verbraucherschutzgesetz (CCPA) erfolgen.

Was ist Data Residency?

Laut Oracle bezieht sich dies auf den geografischen Ort, an dem Ihre Daten aus rechtlichen oder politischen Gründen gespeichert werden.

Organisationen müssen sicherstellen, dass sie wissen, wo ihre Daten gespeichert werden, und dass sie die datenbezogenen Gesetze und Vorschriften der jeweiligen Region einhalten. Darüber hinaus müssen sie sicherstellen, dass Kontrollen und Verfahren für den Umgang mit Datenschutzverletzungen und die Vernichtung von Daten vorhanden sind. Mit anderen Worten: Sie sind auch für die Auswahl des richtigen Cloud-Anbieters verantwortlich, der strenge Sicherheitsvorkehrungen mit umfassenden Protokollen zum Schutz und zur Kontrolle der Daten bietet.

Warum sind Risikomanager über die Speicherung von Unternehmensdaten besorgt?

Nach Angaben der Weltentwicklungsbericht 2021 der WeltbankDer weltweite Internetverkehr wird auf 150.000 GB pro Sekunde geschätzt, eine Steigerung um das 1.000-fache gegenüber 2002. Angesichts der exponentiellen Zunahme der Geschwindigkeit des digitalen Wandels ist es unvermeidlich, dass immer mehr Unternehmen Cloud-Optionen für die Speicherung von Geschäftsdaten in Betracht ziehen. Ein Teil dieser Daten unterliegt jedoch den Vorschriften der Region, in der sie entstanden sind. Wenn Ihre Geschäftsdaten über das Internet Grenzen überschreiten, müssen Sie in der Lage sein sicherzustellen, dass Sie die entsprechenden regionalen Vorschriften einhalten. Andernfalls drohen saftige Geldstrafen oder Schlimmeres - das ist das Hauptargument für Datensouveränität.

Mit der zunehmenden Verbreitung von Cloud Computing machen sich Management-Teams zunehmend Gedanken darüber, wo ihre Daten gespeichert sind und wie sie übertragen werden. Wenn wir mit CISOs, Risikomanagern und anderen Verantwortlichen in der APAC-Region sprechen, kommt unweigerlich die Frage auf, wo die Daten innerhalb der Alyne Software-as-a-Service (SaaS)-Plattform digital gespeichert werden.

Und das zu Recht, denn Risikomanagement bedeutet:

  1. Identifizierung potenzieller Bedrohungen/Risiken/Schwachstellen und;
  2. Erstellung eines Aktionsplans zur Abschwächung und Verringerung des Risikos eines möglichen Verlusts

Häufig wird auf die potenzielle Überschreitung der Grenzen hingewiesen, die sich aus der Durchsetzung der Richtlinie ergeben könnte. US CLOUD ACT - Gesetz zur Klärung der rechtmäßigen Nutzung von Daten in Übersee (CLOUD-Gesetz) die es Strafverfolgungsbehörden und nationalen Sicherheitsbehörden ermöglichen wird, direkt auf Daten von Kommunikationsanbietern zuzugreifen, sofern internationale Vereinbarungen bestehen.

Gesetz zur Klärung der rechtmäßigen Nutzung von Daten in Übersee (CLOUD)

Der United States Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde 2018 verabschiedet. Das Gesetz ändert in erster Linie den Stored Communications Act (SCA) und gibt den US-Strafverfolgungsbehörden die Befugnis, von den meisten großen Cloud-Anbietern gespeicherte Daten anzufordern, auch wenn sie sich außerhalb der Vereinigten Staaten befinden. Der Geltungsbereich des CLOUD Act hat jedoch definitiv Bedenken hinsichtlich der Sicherheit von Geschäftsdaten geweckt, die in der digitalen Cloud gespeichert sind.

Sichtbarkeit und Erkennbarkeit sollten bei der Wahl Ihres Datenspeichers nicht die wichtigsten Kriterien sein

Vor-Ort-Rechenzentren gaben den Verantwortlichen ein Gefühl der Kontrolle und Sicherheit, da ein Rechenzentrum sichtbar und greifbar war, was bei der Cloud nicht der Fall ist. Interessanterweise kann die US-Regierung nach dem CLOUD-Gesetz das Recht haben, auf Ihre Daten zuzugreifen, wenn Ihre Daten in einem Rechenzentrum im Vereinigten Königreich gespeichert sind, das Rechenzentrum aber einem Unternehmen mit Sitz in den USA gehört.

Die wichtigsten Überlegungen zu Ihrer Datenspeicherung sollten daher von Anfang an angestellt werden:

  • Wo werden Ihre verschiedenen Datenkategorien (personenbezogene Daten, Finanzdaten usw.) erstellt oder verarbeitet, und welche Verpflichtungen können sich daraus ergeben?
  • Welche Daten sollten nicht in die Hände einer ausländischen Regierung fallen?
  • Ist es von Nachteil, wenn die fraglichen Daten im Ausland gespeichert werden?
  • Wo werden sie dann gespeichert, und wem gehört das Datenzentrum?
  • Wie sehen Ihre Verfahren für die Datensicherung aus und wie sieht es mit der Sicherheit oder Verschlüsselung dieser Daten aus?
  • Wie zuversichtlich sind Sie, dass Ihr(e) Cloud-Partner die aktuellen und künftigen Datenschutzbestimmungen versteht?

Die Antwort unserer Kunden lautet in allen Fällen, dass die in unserer SaaS-Plattform gespeicherten personenbezogenen Daten und Anhänge die "Kronjuwelen" sind und daher der Schwerpunkt auf der Datenhoheit und dem Datenaufenthalt liegen sollte. Wenn Sie die Unklarheiten in Ihrem Unternehmen beseitigen, können Sie die genauen Verpflichtungen, die für Sie gelten, ermitteln und die Fähigkeiten Ihrer Cloud-Service-Anbieter genauer prüfen.

Der Ansatz von Alyne in Bezug auf Daten und die Anforderungen an Datensicherheit, Souveränität und Wohnsitz

Als Sicherheitsexperte hat Alyne gründlich darüber nachgedacht, wie wir die digitale Cloud nutzen können, um sicherzustellen, dass wir alle Anforderungen an Datensicherheit, Souveränität und Aufenthaltsort erfüllen.

  • Die Alyne-Plattform wird auf Amazon Web Services (AWS) EU West 1, Heroku-Plattform gehostet, um die erstklassige Sicherheit der Hyper-Cloud zu nutzen. Die Nutzung von AWS durch Alyne gewährleistet hohe Verfügbarkeit.
  • Um alle Bedenken hinsichtlich der Datensicherheit und des Aufenthaltsorts in den verschiedenen Regionen, in denen wir tätig sind, zu zerstreuen, werden Anhänge in Form von Dateien in einem lokalen AWS S3-Bucket ihrer Wahl gespeichert (je nach Verfügbarkeit in ihrer AWS-Region). Dies erfüllt die Anforderungen an die Datenhoheit und die Datenverfügbarkeit.
  • Schließlich unterliegt Alyne der Datenschutzgrundverordnung (GDPR) und den lokalen Datenschutzgesetzen (California Consumer Privacy Act/ Australian Privacy Principles usw.) sowie den Vorschriften in allen Regionen, in denen wir tätig sind (Deutschland/ Großbritannien/ Europa/ USA/ Australien/ Singapur-APAC).

Zusammenfassend lässt sich sagen, dass die zunehmenden Datenmengen, die in der Cloud gespeichert werden, dazu geführt haben, dass Organisationen und Regierungen großen Wert darauf legen müssen, dass die Datensouveränität und gegebenenfalls der Wohnsitz der Daten gewahrt bleiben. Dabei sollte es sich jedoch nicht um ein emotionales Argument handeln, sondern um eine logische Analyse dessen, was wichtig ist und geschützt werden muss, wobei gegebenenfalls logische Schutzmaßnahmen zum Einsatz kommen.

Geschrieben von Stephen Nyabadza