qvantum_wolkeqvantum_wolke

Fachartikel „Wolkencheck“

Fachartikel BI Magazine 01 2019

erschienen im BI Magazine, Rubrik „Fokus Agile Organisationen“ (April 2019)

Wer Business Intelligence-Tools aus der Cloud bezieht, kann die Agilität im Unternehmen steigern und Kosten sparen. Doch wie steht es um die Datensicherheit? Ein Leitfaden für Einkäufer.

Vor dem Schritt in die Cloud fragen sich viele Verantwortliche, zum Beispiel im Controlling: «Erfüllen wir mit dieser Lösung unsere Datenschutzpflichten?» Oder: «Laufen wir Gefahr, dass Dritte sich so leichter Zugang zu unseren Daten verschaffen können oder dass Daten verlorengehen?» Eine derartige Skepsis ist gesund. Denn prinzipiell ist jedes IT-System dieser Welt angreifbar. Doch müssen sich Entscheidungsträger mit ihren Sicherheitsbedenken auch nicht allzu verrückt machen.

Bevor ein Auftrag vergeben wird, sollte jeder Cloud-Anbieter auf Herz und Nieren geprüft werden. Anhand der folgenden Kriterien können die Anwender in den Unternehmen relativ leicht verifizieren, ob ein Cloud-Dienstleister solide Sicherheitsvorkehrungen getroffen hat:

Rechtlicher Rahmen.

Besondere Regeln gelten für die Behandlung von personenbezogenen Daten, insbesondere bei der Weitergabe an Dritte. Diese Regeln sind in nationalen Gesetzen festgelegt: etwa dem BDSG (Bundesdatenschutzgesetz) in Deutschland und dem jeweiligen DSG (Datenschutzgesetz) in Österreich und in der Schweiz – erweitert durch die neue europäische DSGVO (Datenschutzgrundverordnung).

Alle diese Regelwerke beziehen sich auf Daten, die entweder «personenbezogen » (direkte Angaben zur Person) oder «personenbeziehbar» sind (indirekte Angaben, die sich mit der Person in Verbindung bringen lassen).

Mindestens der zweite Fall ergibt sich zwangsläufig, da sich die Nutzer mit klar zuzuordnenden Logins in der Anwendung anmelden und dies vom System protokolliert wird. Zum Schutz aller Daten müssen die Cloud-Provider eine gesetzeskonforme Vertragsbasis anbieten – inklusive der sogenannten Technischen und Organisatorischen Maßnahmen (TOM).

Die Anwenderunternehmen sollten sich also zuerst den Auftragsdatenverarbeitungsvertrag » vorlegen lassen und darin die Auflistung der TOM sorgfältig prüfen (Beispiel eines Tom-Dokuments runterladen). Es empfiehlt sich zudem, sämtliche Dokumente den IT- sowie Datenschutzverantwortlichen in der eigenen Organisation vorzulegen. Cloud-Anbieter, die diese Dokumente nicht zur Verfügung stellen können oder viel Zeit für die Lieferung benötigen, kommen für eine Zusammenarbeit nicht infrage.

Maßnahmen im Detail.

Doch welche Elemente befinden sich in den TOM-Listen? Cloud-Dienste werden in einem oder mehreren Rechenzentren verteilt gehostet. Das Rechenzentrum sorgt für den reibungslosen Betrieb und die Basisabsicherung aller Dienste.

Viele Punkte einer TOM-Liste beziehen sich auf den Betrieb des Rechenzentrums. Physische Maßnahmen beinhalten…

— Die gesamte Story können Sie sich gerne als PDF herunterladen —

Artikel als PDF laden

*Wir geben Ihre Daten nicht an Dritte weiter. Die Thinking Networks AG verwendet Ihre E-Mail-Adresse, um Ihnen den auf dieser Seite beworbenen Fachartikel zukommen zu lassen, Ihnen hilfreiche Inhalte zuzusenden und Sie über das Produkt QVANTUM auf dem Laufenden zu halten. Sie können unsere E-Mails jederzeit abbestellen. Mehr Informationen siehe Datenschutzerklärung bzw. unsere Seite zum Thema DSGVO.