Icon IT-Sicherheit
Cloud- & Cyber-Security

8 Maßnahmen, um Cloud-Anwendungen sicher in Ihr Unternehmen einzuführen

Julian Lang
Verfasst von: Julian Lang
Berater für Datenschutz und IT-Sicherheit

In den letzten Jahren lässt sich ein eindeutiger Trend erkennen: Unternehmen ziehen von selbst betriebenen Servern und lokal gespeicherten Anwendungen zu Cloud-Diensten von großen Tech-Unternehmen.


Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überarbeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.


 Befeuert wird dieser Trend durch den Druck der Digitalisierung, aber auch dem Wunsch, kollaborativ zusammenarbeiten zu können, unabhängig davon, ob man an einem Standort zusammenarbeitet oder Kilometer voneinander entfernt am Schreibtisch sitzt. Nicht zuletzt wird dies getriggert durch die pandemische Situation und dem damit einhergehenden Zwang zum Arbeiten von zu Hause. Die Vorteile der Arbeit „in der Cloud“ sind eindeutig. Wenn man einen der großen Cloud-Anbieter wählt, bekommt man ein hohes Maß an Informationssicherheit, nachgewiesen durch unzählige Zertifizierungen und muss sich nicht um die kostspielige Wartung und Instandhaltung der eigenen Server und Systeme kümmern. Zusätzlich bieten Cloud-Anwendungen die Möglichkeit, effektiver zusammenzuarbeiten.

Was gibt es zu beachten?

Auch wenn sich die Anwendungen in der Cloud befinden, müssen diese administriert werden. Die Verantwortlichen von Unternehmen unterschätzen häufig, wie aufwendig die Administration von Cloud-Diensten ist und stellen bzw. planen nicht genügend Ressourcen hierfür ein.

Zur Administration und Gestaltung der eigenen Informationssicherheit gehören beispielsweise folgende Maßnahmen:

  • Erstellung von Sicherheitskonzepten
  • Erstellung von Rechte- und Rollenkonzepten
  • Implementierung eines funktionierenden On- und Offboardingprozesses
  • Einstellung von Archivierungs- und Löschfristen
  • Erstellung von Passwortrichtlinien
  • Einführung einer Multifaktor-Authentifizierung
  • Schulung und Sensibilisierung von Mitarbeitenden
  • ggf. Einführung eines Mobil-Device-Managements

Bei den großen Cloud-Dienstleister handelt es sich häufig um US-amerikanische Unternehmen. Die Rechtslage bezüglich der Verarbeitung von personenbezogenen Daten von amerikanischen Unternehmen ist aktuell nicht abschließend geklärt.

Zusätzlich bieten einige Anbieter weitreichende Funktionen zur Auswertung von Aktivitäten und Daten. Es ist dementsprechend möglich, Aktivitäten von Mitarbeitenden zu analysieren und zu bewerten. Unter Berücksichtigung der geltenden Datenschutzgesetze und Gesetze, die dem Schutz der Arbeitnehmerinnen und Arbeitnehmer dienen, sollten auch solche Aspekte berücksichtigt werden.

Bei der Prüfung und Auswahl von möglichen Anbietern sollte zwingend die Beurteilung der oder des Datenschutzbeauftragten berücksichtigt werden.  

Ein nicht unwesentlicher Faktor bei der Entscheidung ist die zukünftige Abhängigkeit von dem Dienstleister. Wenn man erst einmal mit seiner ganzen Daten- und Dateistruktur in eine Cloud gewechselt ist, fällt ein erneuter Umzug schwer.

Was ist zu tun?

  1. Frühzeitige Projektplanung und Bildung eines Projektteams:
    Eine unstrukturierte Einführung von Cloud-Anwendungen sollte durch eine frühzeitige Projektplanung vermieden werden. Hierzu sollte ein Projektteam gebildet werden, das aus verschiedenen Bereichen des Unternehmens zusammengesetzt sein sollte. Zwingend erforderlich sind Personen aus den Bereichen IT, Datenschutz, Informationssicherheit.
    Zusätzlich sollte die Personalvertretung über das Projekt informiert werden.
  2. Intensive Prüfung der Anbieter:
    Eine intensive Prüfung der Anbieter und Anwendungen ist zwingend erforderlich. Der Datenschutz sollte die Auftragsverarbeitungsverträge prüfen und datenschutzrechtlichen Aspekte (ggf. Durchführung einer Datenschutz-Folgenabschätzung). Die IT und die Informationssicherheit sollten die Möglichkeit des Einsatzes und der Einbindung in die aktuellen Strukturen prüfen.
  3. Auswahl der Anwendungen:
    Es sollten nur benötigte Anwendungen ausgewählt werden. Es sollten eher die Prinzipien der Datensparsamkeit und Datenminimierung als das „Nice-to-have-Prinzip“ berücksichtigt werden.
  4. Anfertigung von Dokumentationen:
    Der Auswahl- und Einführungsprozess sollte zur Erfüllung der Nachweispflichten (Datenschutz und Informationssicherheit) zwingend dokumentiert werden. Hierzu gehört auch die Dokumentation der umgesetzten Maßnahmen.
  5. Einstellungen in den Anwendungen:
    Vor dem „Ausrollen“ sollten datenschutzfreundliche Voreinstellungen getroffenen werden, zum Schutz der Anwender und zur Erfüllung von Compliance-Vorschriften.

Fazit

Der Umzug in eine Cloud-Infrastruktur bietet einige Potenziale, um die Prozesse in Unternehmen effektiver und produktiver zu gestalten. Nicht außer Acht lassen sollte man jedoch, dass ein solcher Wechsel auch mit erheblichen Risiken einhergeht, die es zu analysieren und durch die Ergreifung von geeigneten Maßnahmen zu schmälern gilt.

Wir begleiten Sie gerne bei Ihrem Vorhaben!

 

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.