Nachbericht zum solutionsHUB: Cloud, Data, Security

Sicherheit und Datenschutz in der Cloud: ein Thema, das die Gemüter – nicht nur von Datenschutzbeauftragten – bewegt! Am 29. Oktober lud die direkt gruppe zum Fachevent „solutionsHUB: Cloud, Data, Security“ ein. Bei der Veranstaltung konnten sich Teilnehmer aus unterschiedlichen Branchen mit Experten aus Politik, Wirtschaft und Aufsichtsbehörden zu Fragen rund um die Themen Datenschutz und IT-Sicherheit in der Cloud austauschen.

Einführung durch Stefan Müller

Einführung durch Stefan Müller, direkt gruppe

Stefan Müller, Security- und Datenschutzexperte bei der direkt gruppe, führte durch den Tag, der mit hochwertigen Vorträgen, intensiven Speeddates und einer interaktiven Paneldiskussion viel Wissen vermittelte und beim anschließenden Networking bei erlesenem Fingerfood für weiteren angeregten Austausch bis in den Abend hinein sorgte. Gastredner waren Dr. Jens Ambrock (Referatsleiter Wirtschaft, Arbeit, Kultur beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit), Carsten Kestermann (Senior Manager für den Public Policy Bereich bei AWS), Andreas Weiss (eco – Verband der Internetwirtschaft e. V.) und Hans-Wilhelm Dünn (Cyber-Sicherheitsrat Deutschland e. V.).

Der erste Beitrag des Tages kam von Thorsten Pelka, Vorstand der solutions direkt AG, einem Unternehmen der direkt gruppe.

Thorsten Pelka berichtet

Thorsten Pelka berichtet

Er startete mit drei besonders relevanten Entwicklungen:

  • Die Kommunikation zwischen den Bereichsleitern für IT-Sicherheit und Datenschutz hat sich seit der Einführung der DSGVO im Mai 2018 maßgeblich verbessert.
  • Nach wie vor herrscht ein großes Wissensdefizit bezüglich der Public Cloud.
  • Der Kampf um die besten IT-Talente spitzt sich weiter zu.

Programm

AUDITOR: Wie Sie Cloud-Dienste nach DSGVO zertifizieren

Andreas Weiss erläutert das AUDITOR Zertifikat

Andreas Weiss erläutert das AUDITOR Zertifikat

Andreas Weiss stellte in seinem Impulsvortrag das Projekt AUDITOR (European Cloud Service Data Protection Certification) vor.

Ziel des Projekts ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutz-Zertifizierung von Cloud-Diensten. Zu den Feld- und Transferpartnern gehört auch die direkt gruppe.

Nach erfolgreichem Abschluss der ersten Projektphase (Nov. 2017 – Okt. 2019) ist die Aufnahme von AUDITOR ins Akkreditierungsprogramm der Deutschen Akkreditierungsstelle GmbH für das Frühjahr 2020 vorgesehen.

Die zweite Projektphase (Nov. 2019 – Okt. 2021) zielt auf die europaweite Anerkennung ab: Die AUDITOR-Zertifizierung eines deutschen Unternehmens muss dann auch in den anderen Mitgliedstaaten der Europäischen Union anerkannt werden.

In diesem Kontext erläuterte Weiss das neue, am 14. Oktober 2019 von der Datenschutzkonferenz (DSK, dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) beschlossene Bußgeldverfahren gegen Unternehmen. Die DSGVO-Karenzzeit ist abgelaufen, und es ist abzusehen, dass ab 2020 auch siebenstellige Bußgelder verhängt werden. Die Maßnahmen, die Unternehmen zur AUDITOR-Zertifizierung erfüllen müssen, mindern das Risiko eines Datenschutzvorfalls erheblich. Wie diese Maßnahmen aussehen und was Unternehmen leisten müssen, berichtet Stefan Müller in der aktuellen direkt informiert und im Blog der direkt gruppe.

Cloud- vs. On-premises-Software? Warum cloud-basierte Services sicherer sind

Carsten Kestermann über Cloud Computing

Carsten Kestermann über Cloud Computing

Carsten Kestermann erläuterte die Infrastruktur von AWS: ein globales Netzwerk mit Rechenzentren, gegliedert in Regionen. Die Kunden können entscheiden, in welcher Region ihre Daten ausschließlich gespeichert werden.

Seit Oktober 2014 ist AWS auch mit einer Region in Deutschland vertreten. Die AWS-Rechenzentren im Raum Frankfurt am Main wurden als „Kritische Infrastrukturen“ (KRITIS) eingestuft und unterstehen der Aufsicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das 2015 verabschiedete IT-Sicherheitsgesetz und dessen Vorgaben, insbesondere die Meldepflichten, betreffen AWS somit direkt.

Laut Kestermann verändern sich seit 3 Jahren die Beweggründe der Kunden, von On-premises-Systemen in die Cloud zu wechseln: Waren früher noch Kostenersparnisse das Hauptargument für die Migration in die Cloud, so sind heute Sicherheit und Innovation die Motivatoren.

Zum Download der Präsentation → AWS Cloud vs On-Premises Software

DSGVO-Umsetzung: Was funktioniert bereits? Wo haben Unternehmen Nachholbedarf?

Dr. Jens Ambrock zu DSGVO

Dr. Jens Ambrock zu DSGVO

Dr. Jens Ambrock konstatierte, dass die DSGVO von vielen Unternehmen auch 2019 nur teilweise umgesetzt wurde.

Das Ergebnis einer von Bitkom durchgeführte Umfrage von Oktober 2019 ähnelt dem einer vergleichbaren Bitkom-Umfrage aus dem vorherigen Jahr: Etwa ein Drittel der Befragten haben die DSGVO nur teilweise umgesetzt. Dabei gibt es eine eklatante Kluft zwischen großen finanzkräftigen Unternehmen, kleinen oder mittleren Firmen und Vereinen. Doch Dr. Ambrock stellte auch fest, dass große Konzerne häufig nur nach außen hin datenschutzkonform aussehen, in der Realität aber oft noch hinterherhinken.

Beim Einsatz von Cloud-Diensten riet er Unternehmen, neben dem Verarbeitungsverzeichnis besonders auf die Informations- und Auskunftspflichten sowie die Meldepflicht bei einem Data Breach zu beachten.

Dazu erklärte er die Meldepflicht nach Art. 33 DSGVO: Ein Sicherheitsvorfall ist meldepflichtig, wenn zwei Voraussetzungen erfüllt sind:

  • wenn ein Data Breach vorliegt, also die Verletzung des Schutzes personenbezogener Daten
  • wenn das Risiko einer Datenschutzverletzung oder Sicherheitslücke besteht.

Es bleibt eine interne Entscheidung, ob ein Vorfall gemeldet wird oder nicht. Kommt es zu einer Schutzverletzung, so ist abzuwägen, ob der Vorfall voraussichtlich zu einem Risiko führt, oder nicht. Dem Unternehmen bleiben in jedem Fall 72 Stunden Zeit, um den Vorfall zu melden. Dazu ist es hilfreich, im Vorfeld Abläufe zu definieren, die im Ernstfall greifen.

Zum Download der Präsentation → DSGVO-Umsetzung

Cyber Risks – Bedrohung für Wirtschaft, Politik und Gesellschaft

Hans-Wilhelm Dünn beleuchtet die Entwicklung von Cyber-Kriminalität

Hans-Wilhelm Dünn beleuchtet die Entwicklung von Cyber-Kriminalität

Hans-Wilhelm Dünn berichtete in seinem Vortrag von aktuellen Entwicklungen zum Thema Cyber-Kriminalität. Neben einer starken messbaren Zunahme von kriminellen Aktivitäten richtet Cybercrime inzwischen finanzielle Schäden in Milliardenhöhe an. Dabei dauert es im Schnitt 200 Tage, bis Unternehmen Cyberangriffe überhaupt bemerken, insbesondere bei großen Konzernen mit vielen Zulieferern.

58 % der Attacken treffen kleine und mittlere Unternehmen mit weniger als 500 Mitarbeitern. Eine Ursache dafür könnte sein, dass sich vor allem familiengeführte Unternehmen noch vor größeren Investitionen in ihre IT-Sicherheit scheuen. Des Weiteren sind viele kleinere Unternehmen und Vereine der Ansicht, dass ihre Daten nicht „so wichtig“‘ oder „so wertvoll“ seien, und gehen dementsprechend fahrlässig mit ihren Daten um.

Außerdem betonte Dünn, dass Quantencomputing schon bald Realität sein wird. Dann stellt er die Frage: Was machen wir, wenn unsere Datenverschlüsselung wirkungslos wird?

Zum Download der Präsentation → Cyber Risks – Bedrohung für Wirtschaft, Politik und Gesellschaft

Paneldiskussion: Datenschutz und IT-Sicherheit in der Cloud

Paneldiskussion Security

Paneldiskussion Security

Cloud-Zertifizierung war ein Thema der Paneldiskussion, außerdem wurde der CLOUD Act der DSGVO gegenübergestellt. Es wurde über Banken in der Cloud gesprochen, eine DSGVO-Bilanz nach 1,5 Jahren gezogen und die Verarbeitung besonderer Kategorien personenbezogener Daten erörtert.

SPEED DATES

In drei Speeddates gingen die Referenten gemeinsam mit den Teilnehmerinnen und Teilnehmern in kleinen Gruppen tiefer auf einige Themen ein:

  • Jens Ambrock stellte sich aktuellen Datenschutzfragen
  • Kai Fryder von AWS sprach über sichere Cloudmigration
  • Adrian Wnek erläuterte das Cloud Baselining, ein Vorgehensmodell der direkt gruppe für den Weg in die Cloud

Compliance as a Service: Datenmanagement auf einer medizinischen Cloudplattform

Im Abschlussvortrag berichtete Michelle Stehle, Beraterin aus der Security Unit der direkt gruppe, von einem besonderen Projekt: Der Kunde ist ein führender Anbieter von Produkten und Lösungen unter anderem für die Augenheilkunde. Damit Patientendaten sicher und entsprechend den rechtlichen Vorschriften immer dort zur Verfügung stehen, wo sie gebraucht werden, entwickelte das Unternehmen eine Cloud-Plattform.

Die (technische) Lösung

Die (technische) Lösung

Die direkt gruppe unterstützte die Zertifizierung der Lösung nach ISO 27001 und führte Beratungen im architekturellen Bereich durch. Der Wechsel von einem medizinischen System zu einem (Cloud)-Dienstleister auf globaler Skala brachte zusätzliche Komplexität in das Projekt.

Zur Sicherstellung einer dauerhaften regulatorischen und ISO 27001 Konformität wurde mithilfe des standardisierten Vorgehensmodells „Compliance as a Service“ der direkt gruppe ein Informations-Sicherheitsmanagement-System aufgebaut und zertifiziert.

Compliance as a Service

Compliance as a Service

Dabei entstand auch eine mobile Anwendung, die der niedergelassene Arzt auf seinem eigenen mobilen Gerät installieren kann, um die zuvor erhobenen Messdaten für seine OP-Planung abzurufen und auf das OP-Gerät zu übertragen. Die Anwendung nutzt für das beschriebene Vorgehen verschiedenste Services des Cloud-Anbieters AWS.

Mehr zum Vorgehensmodell Compliance as a Service der direkt gruppe erfahren Sie hier: https://cloud.direkt-gruppe.de/compliance-as-a-service/

Zum Download der Präsentation → Datenmanagement auf einer medizinischen Cloudplattform

 

Wir bedanken uns herzlich bei allen Teilnehmenden für den regen Austausch und die gelungene Veranstaltung! Eine Fortsetzung des Formats ist bereits in Planung.

Diesen Artikel teilen: