WIE KÖNNEN SENSIBLE DATEN ZUVERLÄSSIG IN DER SALESFORCE CLOUD GESCHÜTZT WERDEN?
Die Digitalisierung, neue Arbeitsmodelle sowie der starke wirtschaftliche Wandel machen es in den letzten Jahren mehr denn je erforderlich, dass Geschäftsprozesse agil und skalierbar sind. Cloud-Dienste werden dieser Anforderung optimal gerecht und bieten eine flexible und dynamische Lösung. Im CRM-Segment ist Salesforce mit über 20 Prozent Marktanteil weltweit unumstrittener Marktführer und für zahlreiche Unternehmen ein unentbehrlicher Bestandteil des modernen Geschäftslebens. Viele Abteilungen, wie zum Beispiel Vertrieb, Marketing, E‑Commerce und Kundenservice, können mit der cloudbasierten CRM-Lösung jederzeit und überall zusammenarbeiten. Mit dem Gebrauch und der Aufbewahrung von sensiblen Kundendaten in der Cloud geht jedoch auch eine erhebliche Sicherheitsverantwortung einher. Sollten interne und vertrauliche Geschäftsinformationen, Kundenkontakte, Preislisten oder Lieferkettendetails kompromittiert werden, bringt dies weitreichende Konsequenzen für ein Unternehmen mit sich.
Für Unternehmen, die Salesforce als CRM einsetzen, ist es durch den enormen Stellenwert im Unternehmen und den Umfang der sensiblen Daten zwingend erforderlich, sich mit der Sicherheit und der Compliance der Cloud-Lösung intensiv auseinanderzusetzen.
WARUM VERSTÖSST DIE NUTZUNG VON SALESFORCE OHNE ZUSÄTZLICHE SCHUTZVORKEHRUNGEN GEGEN BRANCHENSPEZIFISCHE COMPLIANCE-VORSCHRIFTEN?
Salesforce ist ein US-amerikanischer Cloud-Anbieter. Die USA gelten als unsicheres Drittland im Sinne der DSGVO, da der Umgang mit personenbezogenen Daten dort nicht dem europäischen Stand entspricht. Zwar bietet Salesforce europäischen Kunden mittlerweile die Möglichkeit, ihre Daten auf Servern innerhalb der EU zu speichern, trotzdem kann es bei Verwendung mehrerer Salesforce Cloud Produkte dazu kommen, dass Daten auch auf Server außerhalb der EU transferiert werden. Ungeachtet dessen gilt der mögliche Zugriff US-amerikanischer Administratoren auf EU-Server bereits als Drittlanddatenverkehr. Auch die Standardvertragsklauseln des Cloud-Anbieters sind keine ausreichende Vorkehrung für die Übermittlung sensibler Daten. Denn auch eine solche Vereinbarung mit einem US-Datenimporteur kann den legalen Zugriff durch US-Behörden ohne vorherigen richterlichen Beschluss nicht verhindern.
Datenschutzkonformität setzt den Schutz von Daten mit Personenbezug vor dem Transfer in die Cloud voraus, sofern sie in Ländern ohne Angemessenheitsbeschluss gespeichert werden. So kann sichergestellt werden, dass US-Administratoren bei einem Zugriff sensible Daten nur verschlüsselt sehen können.
BIETET SALESFORCE SHIELD KEINEN AUSREICHENDEN SCHUTZ FÜR DIE SICHERE NUTZUNG DER PLATTFORM?
Über die Jahre hinweg hat Salesforce seine Produktpalette stark ausgeweitet und dem primären Angebot eine Reihe Über die Jahre hinweg hat Salesforce seine Produktpalette stark ausgeweitet und dem primären Angebot eine Reihe integrierter Leistungen hinzugefügt. Salesforce Shield ist ein zusätzliches Feature des Cloud-Anbieters das die Sicherheit personenbezogener Daten gewährleisten soll und mit dem unter anderem Plattform-Verschlüsselung möglich ist. Die Verschlüsselung kann dabei sowohl vom Cloud-Nutzer als auch von den Salesforce-Community Experten konfiguriert werden. Salesforce Shield Administratoren haben bei diesem Dienst jedoch trotz Verschlüsselung jederzeit Zugriff auf sensible Klardaten, denn sie kontrollieren den Schlüssel, um die Kundendaten in der Cloud zu pseudonymisieren.
Möchte ein Unternehmen diesen Zugriff vermeiden, dann muss die Verschlüsselung in eigener Regie vor dem Versand der Daten an den CRM-Dienst geschehen.
WIE SCHÜTZE ICH MEINE SENSIBLEN DATEN AM BESTEN? WAS BIETET DAS EPERI GATEWAY, DAS ANDERE ANWENDUNGEN NICHT GEWÄHRLEISTEN KÖNNEN?
Mit der Verschlüsselung personenbezogener Daten im Datenstrom gewährleistet das eperi Gateway die Einhaltung der aktuellen Compliance Richtlinien im Datenschutz. Durch die Pseudonymisierung und Tokenisierung wird den Daten vor der Speicherung in der Cloud der Personenbezug entzogen und unsere Kunden agieren datenschutzkonform. Das eperi Gateway hat keine Auswirkungen auf die Kompatibilität zwischen unterschiedlichen Anwendungen. Im Gegenteil, es kann dazu beitragen, die Nutzung von Schatten-IT zu verhindern und schwerwiegende Sicherheitslücken zu vermeiden. Mit unserer Lösung bleibt Ihre Unabhängigkeit und Selbstbestimmung erhalten. Mithilfe der selektiven Verschlüsselung kann das eperi Gateway feld- und inhaltsbasiert flexibel personenbezogene Daten verschlüsseln. Schlüssel und Verschlüsselung bleiben jederzeit unter Ihrer alleinigen Kontrolle. So bleibt viel Spielraum für individuelle Konfigurationen. Die IT-Infrastruktur bleibt durch die nahtlose Integration uneingeschränkt und es kommen keine Latenzen bei der Nutzung der Anwendung vor. Durch die funktionserhaltende Verschlüsselung von eperi können Funktionen wie Suche, Sortierung, Filter und Regeln weiterhin uneingeschränkt genutzt werden. Diese Funktionen stehen beim Einsatz von Salesforce Shield nicht mehr zur Verfügung. Auch die datenzentrierte Verschlüsselung und Tokenisierung auf Feldebene, sowie die Pseudonymisierung unstrukturierter Daten, insbesondere von Dateien ist bei der Nutzung von Cloud-Anwendungen keine Selbstverständlichkeit. Selbst bei einem Datendiebstahl bleiben sensible Daten auf diese Weise sicher geschützt, da der Angreifer die verschlüsselten Daten nicht verwenden kann.
IST ES NICHT DIE AUFGABE VON SALESFORCE, SICH UM DIE SICHERHEIT IHRER ANWENDUNG ZU KÜMMERN?
Im Rahmen des „Shared Responsibility“ Models müssen Cloud-Anwender ihren Anteil zur Sicherheit von sensiblen Daten in der Cloud beitragen. Sie können sich nicht darauf verlassen, dass ihr Cloud-Anbieter für die Sicherheit ihrer Daten sorgt. Viele Unternehmen sind sich dieser Verantwortung nicht bewusst.
Dabei regelt das Modell der gemeinsamen Verantwortung als Sicherheits- und Compliance-Framework ganz klar die Verantwortungsbereiche von Cloud Service Provider und SaaS-Anbietern sowie Kunden bei der Absicherung aller Aspekte der Cloud-Umgebung. Dies beinhaltet unter anderem Hardware, Infrastruktur, Endgeräte und Betriebssysteme, aber auch die in den Systemen gespeicherten Daten. Einfach ausgedrückt legt das Modell fest welcher Vertragspartner die Sicherheitsvorkehrungen für bestimmte Komponenten übernehmen muss. Der Cloud-Anbieter ist verantwortlich für die Überwachung und Abwehr von Sicherheitsbedrohungen, die die Cloud selbst und die grundlegende Infrastruktur angreifen. Cloud-Nutzer sind dazu verpflichtet die Daten und andere in der Cloud-Umgebung gespeicherte Assets zu schützen. Nur wenn beide Vertragspartner ihre Aufgabe ernst nehmen und sich um ihren Teil der gemeinsamen Verantwortung kümmern, ist ein ganzheitlicher Sicherheitsansatz gewährleistet.