Bei der Migration von Daten oder Fachanwendungen in die Cloud (z.B. bei der Einführung von M365 oder beim Bezug einer Fachanwendung als Software as a Service (SaaS)) kann die Gewährleistung des Datenschutzes und der Datensicherheit je nach Schutzbedarf der Daten eine Herausforderung sein. Welche Compliance-Anforderungen sind bei der Bearbeitung von besonders schützenswerten Personendaten in der Cloud relevant? Was sind die wesentlichen Risiken und wie kann man diese in der Praxis angemessen reduzieren?
Die Cloud bietet unbestritten sehr viele Vorteile. Auf der anderen Seite «drängen» viele Anbieter ihre Kunden mit neuen Lizenzmodellen und Angeboten in die Cloud. Insbesondere grosse Anbieter bieten eine Vielzahl von Sicherheitsmassnahmen, welche schwierig zu durchschauen sind. Was bringt mir als Unternehmen beispielsweise «Bring Your Own Key (BYOK)» für Vorteile und welche Risiken reduzieren sich damit?
Die Anforderungen und Schutzmassnahmen der Kunden können nicht mehr selbst on-prem umgesetzt, sondern müssen vertraglich vereinbart werden. Die Prüfung der Verträge des Cloud-Anbieters in Bezug auf den Datenschutz und die Datensicherheit hat somit einen hohen Stellenwert. Für öffentliche Organe folgt zudem bei hohen Risiken für betroffene Personen eine Vorabkonsultation bei der zuständigen Datenschutz-Aufsichtsbehörde.
Die Erfahrung aus zahlreichen Projekten hat gezeigt, dass für die Erstellung eines Informationssicherheits- und Datenschutzkonzeptes (ISDS-Konzept) insbesondere bei Cloud-Lösungen und beim Outsourcing Spezialisten-Know-How notwendig ist. Dadurch lassen sich Verzögerungen im Projekt vermeiden und das Risiko für spätere Sicherheitsvorfälle stark reduzieren.
Kunden haben von der professionellen Erstellung eines ISDS-Konzeptes inkl. Schutzbedarfsanalyse, Risikoanalyse, Datenschutzfolgenabschätzung und bei Bedarf eines Benutzer- und Rollenkonzeptes folgende Vorteile:
- Die für das Unternehmen relevanten Compliance-Anforderungen sind geprüft und beurteilt.
- Die Risiken, Massnahmen und Restrisiken bei der Migration in die Cloud sind bekannt.
- Sämtliche wichtige Stakeholder wie die Geschäftsleitung, die IT-Abteilung, der CISO, die Rechtsabteilung, die Leistungsbezüger und externe Aufsichtsbehörden oder Datenschutzbeauftragte sind miteinbezogen.
- Konkret im Projekt umzusetzende Schutzmassnahmen inklusive Priorisierung sind bekannt.
- Es gibt keine Verzögerungen aufgrund von «Datenschutzbedenken» im Projekt.
- Die Grundlagen für einen sicheren Betrieb nach dem Projekt sind vorhanden.
UNSER ANGEBOT
Aus der Erfahrung von zahlreichen Kundenprojekten hat sich untenstehendes Vorgehen bewährt. Die für das jeweilige Vorhaben notwendigen Schritte werden zusammen mit Ihnen bestimmt, die untenstehende Auflistung soll dazu helfen. Selbstverständlich ist auch ein pragmatisches und abgekürztes Vorgehen für KMU oder Gemeinden problemlos umsetzbar.
- Koordination optimaler Zeitpunkt als Einstieg im Projekt: Die Geschäftsanforderungen, der Scope des Projektes, die geschäftlichen Use-Cases sowie in groben Zügen die technische IT-Architektur und falls möglich das einzusetzende Produkt und der Cloud-Dienstleister sollten bekannt sein. Alternativ bietet sich auch der Einstieg im Rahmen der Spezifikation der Anforderungen, beispielsweise für eine Ausschreibung.
- Erstellung der Schutzbedarfsanalyse (Aspekte Vertraulichkeit, Verfügbarkeit, Integrität, Nachvollziehbarkeit, Datenverlustzeit).
- Identifikation der relevanten internen und externen Compliance-Vorgaben sowie von relevanten Standards.
- Einbezug von weiteren internen Stakeholdern nach Bedarf (CISO, Rechtsabteilung, Fachabteilung usw.).
- Erstellung einer Datenschutzfolgenabschätzung (DSFA) bei Bedarf.
- Definition der IT-Architektur (falls noch nicht vorhanden) zusammen mit dem IT-Architekten oder dem externen Dienstleister.
- Prüfen der Verträge und Dokumente des Cloud-Anbieters (insb. DPA, AGB, SLA, Rahmenvertrag, Technische und Organisatorische Massnahmen, Auftragsverarbeitungsvereinbarung, Zertifizierungen wie ISO 27001, ISAE oder SOC Reports).
- Erstellung einer spezifischen Risikoanalyse (Identifikation, Bewertung und Reduktion von Risiken) gemeinsam mit den Stakeholdern.
- Bestimmen der umzusetzenden Sicherheitsmassnahmen zur Reduktion der Risiken.
- Bei Bedarf Vertragsverhandlungen mit dem Cloud-Anbieter.
- Erarbeitung und Dokumentation relevanter Sicherheits-Aspekte im ISDS-Konzept (Auswahl und Detaillierungsgrad nach Bedarf), z.B.:
- Sicherheitsrelevante Prozesse
- Rollen und Zuständigkeiten (Cloud-Anbieter, externe Dienstleister, interne IT-Abteilung)
- Integration in bestehende Umgebung (insbesondere IAM, Backup)
- Benutzer- Rollen- und Rechteverwaltung
- Technische Massnahmen, Verschlüsselung
- BCM und Notfallplanung
- Exit-Konzept
- Bewertung der Restrisiken.
- Vorabnahme des ISDS-Konzeptes und Akzeptand der Restrisiken durch den Projektausschuss/Auftraggeber.
- Nach Bedarf Vorabkonsultation bei der Datenschutz-Aufsichtsstelle.
- Nach Bedarf formelle Abnahme durch übergeordnete Instanz (Regierung, Geschäftsleitung usw.).
- Umsetzung der Sicherheitsmassnahmen im Projekt, Begleitung des Projektes nach Bedarf.
AUFWAND
Das Vorgehen und die Lieferobjekte für «Sicher in die Cloud» lassen sich basierend auf Ihrem Bedarf beliebig skalieren und anpassen:
- Punktuelle Unterstützung ab ca. 2 Tagen
- Begleitung eines komplexen und umfangreichen Cloud-Vorhabens mit sämtlichen Schritten und umfangreichen Lieferobjekten ca. 20 Tage
IHR ANSPRECHPARTNER
Wollen auch Sie sicher in die Cloud? Dann kontaktieren Sie Peter Flütsch für ein unverbindliches Gespräch.
UNSERE REFERENZEN
Der Service war bereits in den Verwaltungen der Kantone St. Gallen, Basel-Landschaft und Graubünden im Einsatz.