Die Absicherung von Data Privacy und Data Confidentiality durch R&S®Trusted Gate
Am 16. Juli 2020 hat der Europäische Gerichtshof das Datenschutzabkommen Privacy Shield für ungültig erklärt. Die Entscheidung
macht deutlich: Europäische Daten sind in den USA und auch vielen anderen nicht-europäischen Ländern vor dem Zugriff Dritter nicht sicher. Doch welche Auswirkungen hat das sogenannte Schrems II – Urteil auf die Unternehmen? Wie können Sie den nun zwangsläufig zu Tage tretenden Unwägbarkeiten in Sachen Datenschutz begegnen?
Zunächst muss man den groben Begriff Datenschutz in zwei wichtige Bereiche aufspalten. Da gibt es zunächst Data Privacy, was alle Daten umfasst, die man persönlich hinterlässt, wenn man Systeme Dritter nutzt. Zum anderen Data Confidentiality, wo gespeicherte Inhalte, unter anderem die mit personenbezogenen Daten, vor dem Zugriff Unberechtigter geschützt werden müssen. Data Confidentiality ist meist mit strengen nationalen Regulierungen wie der Datenschutzgrundverordnung gesetzlich verankert.
Die Absicherung von Data Privacy
Bei jeder Anmeldung an ein System gibt man Personendaten frei. Diese sind nur bedingt abzusichern. Wollte man diese komplett anonymisieren, wäre es wie eine Verschlüsselung der Daten verbunden mit dem anschließenden Wegwerfen des Schlüssels. Es gäbe keinerlei Rückkanal und damit wäre kein produktiver Einsatz in der modernen Datenverarbeitung möglich. Die einzig anerkannte Methode personenbezogene Daten zu schützen ist die Pseudonymisierung. Bei dieser gibt es einen Rückkanal, obwohl Nutzer nicht mit Ihrem Klarnamen in den Systemen arbeiten.
Wenn Organisationen ihre Systeme in die Cloud überführen, wird häufig ein lokales Active Directory (ein Verzeichnisdienst von Microsoft-Windows-Betriebssystemen, abgekürzt AD) in die Cloud überführt. Im Falle von Microsoft 365 übergibt eine Organisation damit personenbezogene Daten komplett an Microsoft. Einige Organisationen möchten aber nicht ihr Rollen-/Rechte-/Nutzer-Verwaltung (englisch Identity Access Management, abgekürzt IAM) komplett durch die Cloud kontrollieren lassen. In diesem Moment kommt das Pseudonymisierungsmodul von R&S®Trusted Gate ins Spiel.
R&S®Trusted Gate kann bei der Migration eines on-premises AD in die Cloud Daten übernehmen und diese gleichzeitig automatisch gleichzeitig anonymisieren. Bei der Anmeldung bei einem Cloud-Dienst geht der Nutzer dann zunächst direkt zur Anmeldung bei R&S®Trusted Gate. Dort meldet er sich mit seinem Klarnamen an. R&S®Trusted Gate überprüft, ob der Nutzer autorisiert ist und meldet diesen mit einem Pseudonym in der Cloud an. Anschließend kann der Nutzer wie gewohnt in der Cloud arbeiten. Mit seinem Pseudonym kann er Dateien hochladen, runterladen, chatten und mit Dritten Dokumente austauschen. Eine Pseudonymisierung ohne Verschlüsselung der Inhalte ist aber ohne große Wirkung, weswegen Data Confidentiality ein zweiter wichtiger Baustein für Organisationen ist.
Die Absicherung von Data Confidentiality
Neben der Identität des Nutzers müssen natürlich auch Inhalte geschützt werden. Neben einem Eigeninteresse ist der Schutz von Daten auch staatlichen Regulierungen wie der DSGVO in Europa oder dem APPI (Act on the Protection of Personal Information) in Japan eine Notwendigkeit. Organisationen sind für den Schutz von personenbezogenen Daten voll verantwortlich. Nehmen sie diese Verantwortung nicht in vollem Rahmen wahr, drohen empfindliche Geldstrafen.
Beim Nutzen von Kollaborationsplattformen in der Cloud und beim Datenaustausch zwischen zwei Partnern nutzt R&S®Trusted Gate für die Sicherung der Daten zwei wichtige Grundpfeiler: Zum einen werden alle Daten transparent verschlüsselt und fragmentiert. Zum anderen können Kunden selbst bestimmen, wo Ihre Daten abgespeichert werden, sei es im eigenen Rechenzentrum, bei einem Clouddienst ihrer Wahl oder verteilt auf mehrere Standorte. Durch diese beiden Grundpfeiler erreicht R&S®Trusted Gate eine Entkopplung der Daten von den Diensten und Systemen der Cloudanbieter. Es stellt sich auch nicht mehr die Frage, ob Daten z.B. wirklich in Deutschland oder der EU liegen (eine Maßnahme, die durch z.B. den Cloud Act sowieso unterlaufen wird), sondern der Kunde hat die volle Datensouveränität. Er allein besitzt die Schlüssel für die verschlüsselten Daten und allein er bestimmt, wo seine Daten gespeichert werden.
Für international agierende Organisationen ergibt sich in der Lösung R&S®Trusted Gate Secure Glocalization der Vorteil, dass der Kunde alle Daten, die aus Gründen der Exportkontrolle oder anderweitigen Vorgaben in der jeweiligen Region bleiben müssen, dort lokal abgespeichert werden können. Während also eine Kollaborationsplattform wie Microsoft 365 mit Teams und SharePoint Online auf globaler Ebene von der Organisation verwaltet werden kann und von den Mitarbeitern wie gewohnt genutzt werden kann, bleiben die entsprechend klassifizierten Daten automatisch in den jeweiligen Regionen. Damit geht der Kunde selbst im sehr dynamischen Umfeld der internationalen Datenschutzregulierungen einen sicheren Weg und ist unabhängig von den Zusagen und Versprechungen der Cloudanbieter.
Fazit
Moderne Organisationen wollen sich den Vorteilen von Cloudplattformen nicht verschließen. Gleichzeitig muss die Absicherung von Data Privacy und Data Confidentiality aus Eigeninteresse und aus gesetzlichen Gründen einen hohen Stellenwert einnehmen. Die technische Umsetzung der Absicherung der Daten kann mit R&S®Trusted Gate so transparent umgesetzt werden, dass Mitarbeiter in der täglichen Nutzung der Clouddienste nicht gestört werden und die Vorgaben von Urteilen wie dem Schrems II-Urteil oder Regulierungen wie der DSGVO automatisch eingehalten werden.