Immer mehr Unternehmen greifen im Alltag auf Cloud-Dienste zurück, die eigentlich für Verbraucher entwickelt wurden. Doch bieten diese Lösungen auch wirklich ausreichend Schutz für sensible Daten? Die Praxis zeigt: Oft wissen Unternehmen nicht, ob ihr Cloud-Service-Provider (CSP) wirklich alle Vorschriften einhält. Diese Checkliste unterstützt sie dabei, das eigene Risiko besser zu bewerten und das nötige Maß an Sicherheit, Compliance und Governance im Umgang mit Cloud-Diensten zu gewährleisten.
1. Wer hat die Kontrolle über die Hardware?
Wer einen Dritten beauftragt, muss selbst für die Einhaltung von Sicherheitsstandards sorgen – und jederzeit nachweisen können, wer Zugriff hat. Stellen Sie also sicher, dass Ihre Service-Level-Agreements nach Unterzeichnung weiterhin eingehalten werden.
2. Was passiert mit den eigenen Daten?
Die Netzwerküberwachung sollte alle nötigen Informationen zur Einhaltung von Compliance-Regeln liefern, denn auch ohne Datenschutzverletzung bestehen Risiken. Es reicht schon wenn Unternehmen nicht wissen, ob ihre Daten gefährdet sind.
3. Wo werden die Daten gespeichert?
Häufig liegt das Risiko beim Unternehmen, obwohl die Daten bei einem externen Anbieter liegen. Unternehmen sollten zudem sicherstellen, dass die Verwaltung der Keys umfassend kontrolliert wird. Am Ende muss immer klar sein, wem welche Daten überhaupt gehören.
4. Wer verwendet ihre Daten?
Stellt ein Unternehmen besondere Anforderungen an Hardware, Netzwerk, Speicher, Benutzer und Administration, kann ein Provider diesen meist nicht gerecht werden. Verlangen Sie also vollen Zugriff auf Benutzerprotokolle und integrieren diese in eigene Tools.
5. Wie funktioniert das Zusammenspiel?
Jeder will Datensilos vermeiden. Doch es gibt immer Daten, die das Unternehmen nicht verlassen dürfen. Eine Trennung zwischen CLoud-Service und internen Prozessen ist daher geboten, um den hohen Standards des jeweiligen Unternehmens gerecht zu werden.
6. Halten Sie alle einschlägigen Gesetze ein?
Wenn ein Unternehmen einwandfrei nachweisen kann, dass es die vollständige Kontrolle über seine Daten hat, dann ist ein erster großer Schritt getan. Fehlt dieser Nachweis, könnte das bei einem Verstoß gegen Datenschutzvorschriften ernsthafte Konsequenzen nach sich ziehen.