Jahresausblick 2023
Das Jahr neigt sich dem Ende zu und es gibt keinen besseren Zeitpunkt, um die vergangenen 12 Monate Revue passieren zu lassen. Gleichzeitig bietet es sich jetzt an, nach vorne zu schauen und sich Gedanken über die kommenden Aufgaben und Hindernisse zu machen. Während die IT-Welt 2022 von Cyberkriminalität, der souveränen Cloud und Datenlecks geprägt war, bringt das neue Jahr einige Herausforderungen für die Branche mit sich. Experten sind sich sicher, dass 2023 ein Wandel in der Cybersicherheit bevorsteht. Aus unserer Sicht gibt es drei zentrale Faktoren, die die Anstöße für diese Veränderungen geben:
1. DAS MULTI-CLOUD-MANAGEMENT DURCH EINEN DATENZENTRISCHEN SICHERHEITSANSATZ OPTIMIEREN
Darum sollte die Sicherheit der Daten im Mittelpunkt stehen!
Für Unternehmen jeder Größe und nahezu aller Branchen ist die Migration in die Cloud nicht mehr nur ein aufkommender Trend, sondern eine unvermeidliche, zeitgemäße Entscheidung. In der Vergangenheit waren die Anforderungen an IT-Sicherheit geprägt durch die Speicherung von Daten auf lokalen Servern. Mit der Nutzung der Cloud ist diese physische Sicherheitsbarriere jedoch weitgehend verschwunden. Unternehmen müssen nun Strategien entwickeln, um sicherzustellen, dass die Daten – oft auf Datensatzebene – unabhängig davon geschützt werden, wo sie gespeichert oder verarbeitet werden. Sie können sich nicht darauf verlassen, dass ihr Cloud-Service-Provider (CSP) für die Sicherheit ihrer Daten sorgt. Das Modell der gemeinsamen Verantwortung (Stichwort "Shared Responsibility") regelt als Sicherheits- und Compliance-Framework ganz klar die Verantwortungsbereiche von CSPs (z. B. Amazon Web Service, Microsoft Azure oder Google Cloud Platform) und Kunden bei der Absicherung aller Aspekte der Cloud-Umgebung, dies beinhaltet unter anderem Hardware, Infrastruktur, Endgeräte, Daten und Betriebssysteme. Einfach ausgedrückt, legt das Modell fest welcher Vertragspartner die Sicherheitsvorkehrungen für bestimmte Komponenten übernehmen muss. Der Cloud-Service-Anbieter ist verantwortlich für die Überwachung und Abwehr von Sicherheitsbedrohungen, die die Cloud selbst und die grundlegende Infrastruktur angreifen. Unternehmen sind dazu verpflichtet die Daten und andere in der Cloud-Umgebung gespeicherte Assets zu schützen. Auch Eric Ahlm, Senior Director Analyst bei Gartner, stellt in der Cybersicherheitsprognose für 2023 fest: "Datenzentrierte Sicherheit ist für den Datenschutz in der heutigen Welt, in der Daten immer und überall verfügbar sind, unerlässlich. Im Jahr 2023 müssen sich Unternehmen darauf konzentrieren, ihre zentrale Sicherheitsarchitektur mit einer datenzentrierten Sichtweise zu überlagern." Unternehmen benötigen künftig mehr denn je einen Sicherheitsansatz, bei dem die Sicherheit der Daten selbst und nicht die Sicherheit von Netzwerken, Servern oder Anwendungen im Vordergrund steht.
2. CLOUD-COMPLIANCE DURCH EINSATZ DES AKTUELLEN STANDS DER TECHNIK ERREICHEN
Darum können Cloud-Dienste aus unsicheren Drittstaaten auch heute schon DSGVO-konform genutzt werden!
Mit großer Wahrscheinlichkeit werden die Ereignisse des kommenden Jahres in Sachen Datenschutz und Datentransfer für mehr Verwirrung sorgen, anstatt endlich die lang ersehnte Hoffnung auf Klarheit mit sich zu bringen. Es ist vorhersehbar, dass neue Entwürfe und überarbeitete Konzepte zur Regelung des EU-US Datenflusses nur weitere Klagen und Beschwerden nach sich ziehen werden. Der Verlust des Angemessenheitsbeschlusses der USA hat deutlich gemacht, wie schwierig es datenschutzrechtlich ist, mit Anbietern aus Ländern zu interagieren, die kein an EU-Verhältnisse angepasstes Schutzniveau für personenbezogene Daten gewährleisten können. Dieses Hindernis kann schon seit Jahren überwunden werden, indem Unternehmen sich an den aktuellen Stand der Technik halten. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat den Stand der Technik gemeinsam mit dem Bundesverband IT-Sicherheit e.V. (TeleTrusT) definiert. Das veröffentlichte Dokument zum „Stand der Technik“ in der IT-Security gibt konkrete Hinweise und Handlungsempfehlungen. Für cloudbasierten Datenaustausch (§ 3.2.11) und Datenablage in der Cloud (§ 3.2.12) empfiehlt es beispielsweise ein Verschlüsselungs-Gateway, das eine vollständig intern kontrollierte Datenverschlüsselung erlaubt und wichtige Funktionen nicht einschränkt. Unternehmen, die ihre sensiblen Daten mit Hilfe eines Verschlüsselungs-Gateways schützen, können Cloud-Anwendungen aus unsicheren Drittstaaten datenschutzkonform nutzen. Den Daten wird der Personenbezug vor der Speicherung in der Cloud entnommen, somit gibt es keine Einschränkungen bei der Verwendung und Speicherung in einem Multi-Cloud-Umfeld. Unternehmen können unabhängig von der aktuellen Rechtslage uneingeschränkt agieren und den größtmöglichen Nutzen aus DSGVO-konformer Datennutzung ziehen.
3. DIE STEIGERUNG DER CYBERSICHERHEIT ALS UNTERNEHMENSZIEL DEFINIEREN
Darum muss Raum für die Cybersicherheit in der Unternehmenskultur geschaffen werden!
Die Corona-Pandemie hat die Digitalisierung der Arbeitswelt enorm beschleunigt. Viele Unternehmen haben Modelle für hybrides Arbeiten eingeführt, bei denen zunächst nur die Sicherung der Endnutzergeräte im Vordergrund stand. Mittlerweile ist klar, dass der Übergang zu standortunabhängigen Arbeitsumgebungen mit viel höheren Anforderungen an die Datensicherheit verbunden ist. Gerade in Zeiten, in denen Cloud-Anwendungen wie Microsoft Teams, Microsoft 365 und Salesforce aus dem beruflichen Alltag nicht mehr wegzudenken sind, müssen Unternehmen einfache Lösungen finden, mit denen sie ihre Daten auch in Homeoffice-Umgebungen effektiv sichern können. Denn die operativen Auswirkungen von Sicherheitsvorfällen können schwerwiegend sein – sowohl für das eigene Unternehmen als auch für die Kunden. Jedes Jahr verursachen Cyberattacken Schäden in Billionenhöhe und können Unternehmen innerhalb kürzester Zeit handlungsunfähig machen. Auch im sich aktuell zu Ende neigenden Jahr waren stillstehende Fabriken, Büros und Filialen immer wieder die Folge fortgeschrittener Cyberattacken. Aus diesem Grund gehört das Thema Cybersicherheit zwingend in die Vorstandsebene und muss als strategisches Unternehmensziel verstanden und nachhaltig verfolgt werden. Eine punktuelle Erfüllung des gesetzlich geforderten Mindestmaßes ist nicht ausreichend! Darüber hinaus muss das Bewusstsein in allen Teilen eines Unternehmens geschärft werden. IT-Lösungen, die möglichst sicher und einfach anzuwenden sind, können dabei unterstützen, die Akzeptanz zu erhöhen. Auf diese Weise kann z. B. selektive Verschlüsselung dabei helfen, sensible Daten in einem Multi-Cloud-Umfeld optimal zu schützen.
Disclaimer:
Soweit dieses Dokument juristische Erläuterungen und Ratgeber enthält, so stellen diese unverbindliche Informationen ohne jede Gewähr für Vollständigkeit und Richtigkeit dar. Es handelt sich insoweit nicht um Rechtsberatung und die Eperi GmbH erhebt auch keinesfalls den Anspruch eine solche darzustellen oder gar zu ersetzen.