Analysen
29. Juni 2015
AUTOR: Businesscloud.de

Die Cloud und die Mühlen der EU

Es gibt Gesetze, die Jahrzehnte oder gar Jahrhunderte gültig sind, und das teilweise ohne große Änderungen. Man denke an das Deutsche Reinheitsgebot aus dem Jahr 1516, das die Herstellung von Bier regelt. Es ist noch heute in der Bundesrepublik gültig und gilt weltweit als eine der ältesten Regelungen im Bereich Lebensmittelrecht. Oder das Gesetz gegen den unlautereren Wettbewerb, das 1896 verabschiedet wurde. Obwohl das UWG mehrfach überarbeitet wurde, gelten viele Bestimmungen von Anno Tobak immer noch, etwa das Verbot der „unlauteren Werbung“.

Pironet_NDH_BusinessCloud_EU_Datenschutz

In puncto Datenschutzregelungen mahlen die Mühlen der EU langsam – aber sie mahlen. In Kürze sollen neue Vorgaben verabschiedet werden, die Unternehmen vor deutlich höhere Herausforderungen stellen als die geltenden nationalen Gesetze.

Offenkundig vertritt auch die Europäische Union den Standpunkt, dass ein allzu hohes Tempo bei der Verabschiedung von Regelungen und Normen unzweckmäßig ist. Ein Beispiel dafür, dass die Mühlen der EU-Kommission teilweise arg langsam mahlen, ist der Datenschutz. Das mag damit zusammenhängen, dass die EU 28 Mitglieder hat und damit 28 unterschiedliche Versionen von Datenschutzregelungen. Diese auf einen gemeinsamen Nenner zu bringen, ist eine Herkulesaufgabe.

Erster Anlauf zu einer Reform der Datenschutzregelungen

Immerhin haben sich die Justiz- und Innenminister der EU-Mitglieder Mitte Juni 2015 auf eine erste, gemeinsame Linie beim Datenschutz geeinigt - nach fast dreieinhalbjährigen Debatten. Die Kernelemente sind die „Richtlinie zur Netz- und Informationssicherheit“ (NIS) und die „Datenschutz-Grundverordnung" (DSGVO). Sie sollen in Deutschland das bislang gültige Bundesdatenschutzgesetzt (BDSG) ablösen. Allerdings ist nicht davon auszugehen, dass dies, wie geplant, noch in diesem Jahr passiert. Das hat mehrere Gründe. Zum einen handelt es sich um einen ersten Entwurf, der noch in den Länderparlamenten sowie mit Interessenvertretern diskutiert werden muss. Zum anderen sind die Institutionen der Europäischen Union und die Politiker der Mitgliederländer derzeit mit anderen, Zeit raubenden Aktivitäten beschäftigt, Stichwort Griechenland.

Bestehende Regelungen stammen aus der „Internet-Steinzeit“

Klar ist, dass eine Neuregelung der Datenschutzregelungen überfällig ist. Die bislang gütigen Bestimmungen stammen aus dem Jahr 1995, also gewissermaßen der Internet-Steinzeit. Nur zum Vergleich: In dieser Zeit brachte Microsoft Windows 95 heraus. Gerade einmal zwei Jahre zuvor, also 1993, kam mit Mosaic der erste grafikfähige Web-Browser auf den Markt. Und die Vorläufer von Technologien wie Suchmaschinen, Cloud Computing und Big Data existierten bestenfalls in Forschungslabors von Unternehmen und Universitäten. Nach Angaben der Marktforschungsfirma IDC nutzten Ende 1995 weltweit gerade einmal 16 Millionen User das Internet. Ende 2014 waren es nach Daten von Internetworldstats.com mehr als 3 Milliarden Menschen, also mehr als 40 Prozent der gesamten Weltbevölkerung.

IWS

Als 1995 die heute in der EU geltenden Datenschutzregelungen verabschiedet wurden, gab es weltweit 16 Millionen Internet-Nutzer. Ende 2014 waren es fast 3,1 Milliarden. Bild: Internet World Stats

Erhebliche Verschärfungen

Die neuen Vorschläge der EU sehen zum Teil erhebliche Änderungen der Datenschutz-Vorgaben vor. In der NIS-Richtlinie ist beispielsweise von nationalen Cyber-Security-Centern die Rede. Solche CERTs (Computer Emergency Response Teams) sind beispielweise in den USA seit längerer Zeit fester Bestandteil der Cyber-Security-Strategie. Unternehmen und öffentliche Einrichtungen in Europa sollen nun nach den Vorgaben der EU-Datenschutzrichtlinie die CERTs in ihren Ländern informieren, wenn IT-Sicherheitsprobleme, Angriffe und Datenpannen aufgetreten. Das gilt insbesondere für Firmen in strategisch wichtigen Branchen wie dem Energie- und Gesundheitssektor, der Finanzbranche und der Lebensmittelversorgung. In dieser Vorgabe spiegelt sich ein Aspekt einer umfassenden Cyber-Security-Strategie wider, die nach den Vorstellungen von EU-Mitgliedern wie der Bundesrepublik entwickelt werden soll.

Verschärfte Meldepflicht nach Datenpannen

Nach IT-sicherheitsrelevanten Vorkommnissen, etwa dem „Absaugen“ von Kundendaten durch Hacker oder illoyale eigene Mitarbeitern, haben Firmen 72 Stunden Zeit, um Kunden und Behörden zu informieren. Das sieht die von der EU forcierte geplante Datenschutz-Grundverordnung (DSGVO) beziehungsweise General Data Protection Regulation (GDPR) vor. Wer diese Informationspflicht nicht ernst nimmt, muss mit Sanktionen rechnen. So sind Geldstrafen in Höhe von bis zu 5 Prozent des Umsatzes vorgesehen. Die Höchststrafe wurde jedoch auf 250.000 Euro reduziert. Im ersten Entwurf war noch von bis zu 100 Millionen Euro die Rede. Eine weitere Vorgabe: Unternehmen sind dazu verpflichtet, Kunden und Nutzer ihrer Services darüber zu informieren, welche „Personally Identifiable Information“ (PII) sie über die betreffende Person aufbewahren. Die Herausgabe dieser Daten muss allerdings erst auf Nachfrage seitens des Kunden beziehungsweise Users erfolgen. Stark eingeschränkt wurde dagegen die Vorgabe der „Datensparsamkeit“. Nun können Unternehmen und Behörden deutlich mehr persönliche Informationen von Kunden, Mitarbeitern und Partnern erfassen und speichern. Solche Daten sollen laut dem EU-Entwurfe allerdings nicht in exzessivem Maße erhoben und verwendet werden. Allerdings bedeutet dies, dass dem Schutz personenbezogener Daten in unternehmenseigenen und Cloud-Rechenzentren ein noch höherer Stellenwert beizumessen ist. Denn je mehr Daten dort gespeichert werden, desto besser sollten sie gegen Angriffe von externen Hackern oder Insidern abgesichert werden.

EU

Der aktuelle Vorschlag für die neue Datenschutzverordnung der EU. Eigentlich sollten die Regelungen 2015 verabschiedet werden. Danach sieht es derzeit jedoch nicht aus. Bild: EU-Kommission

Neue IT-Sicherheitslösungen müssen her

Wie gesagt: Es handelt sich um einen ersten Entwurf der Datenschutz-Grundverordnung, der mit Sicherheit noch überarbeitet wird. Dennoch ist klar, dass die DSGVO für Unternehmen mit eigenen Datacentern eines bedeutet: einen höheren Aufwand in puncto IT-Sicherheit und Compliance. Das bestätigt eine Umfrage von FireEye, einem amerikanischen IT-Sicherheitsunternehmen, unter Unternehmen in Deutschland, Großbritannien und Frankreich. An die 64 Prozent der Firmen gehen davon aus, dass sie neue IT-Sicherheitssysteme anschaffen müssen. An die 58 Prozent sehen in den Implementierungskosten der neuen Datenschutz-Standards eine massive Herausforderung.

Wie hoch die Kosten ausfallen, lässt sich derzeit nur grob schätzen. Die EU selbst hat errechnet, dass der Schutz von Netzwerken und Informationen, Stichwort NIS, ein größeres Unternehmen mindestens 1 bis 2 Millionen Euro kosten dürfte. Kleinfirmen sind mit bis zu 5.000 Euro dabei, Mittelständler liegen dazwischen.

Pironet_NDH_EU_Datenschutz_Complinace_FireEye

Nur 38 Prozent der IT-Fachleute in europäischen Unternehmen haben laut der Studie von FireEye eine klare Vorstellung davon, welche Maßnahmen sie ergreifen müssen, um die „Compliance“ mit den neuen Datenschutz- und IT-Sicherheitsregeln der EU herzustellen. Bild: FireEye

Viele Unternehmen sind zu blauäugig

Doch nicht alleine die Kosten bereiten den IT-Fachleuten in den Unternehmen Kopfzerbrechen. Ein Kernproblem besteht darin, dass viele nicht wissen, wie sie die neuen Vorgaben umsetzen sollen. Die Studie von FireEye ergab beispielsweise, dass nur 38 Prozent der CIOs und IT-Fachkräfte eine Vorstellung davon haben, welche neuen IT-Sicherheitsvorkehrungen durch die EU-Regelungen notwendig sind. Die Mehrheit hat nur vage Ahnungen – ein gefährlicher Mangel an Wissen. Zudem sind laut der Studie in Deutschland 32 Prozent der befragten IT-Experten der Auffassung, dass NIS und DSGVO für ihr Unternehmen nicht relevant sind. Falsch! Denn alle Unternehmen und öffentlichen Einrichtungen unterliegen den neuen Regelungen. Das dürfte der Geschäftsführung und der IT-Abteilung spätestens dann klar sein, wenn beispielsweise nach einer Datenpanne besagte Geldstrafen von bis zu 250.000 Euro fällig werden.

Pironet_NDH_BusinessCloud_EU_Datenschutz_Fireeye

Laut einer Studie, welche die IT-Sicherheitsfirma FireEye durchführen ließ, fürchten IT-Verantwortliche in Europa die Herausforderungen, die mit NIS und DSGVO auf sie und ihre Abteilung zurollen. Bild: FireEye

Folge: Das eigene Rechenzentrum wird ein kostspieliger Spaß

Letztlich bedeutet dies, dass der Betrieb eigener Datacenter für Unternehmen komplizierter und teurer wird. Vor diesem Hintergrund stellt sich die Frage, warum nicht zumindest ein Teil der IT-Services von einem Cloud Service Provider bereitgestellt werden soll. Denn seriöse Service Provider erfüllen bereits heute in einem deutlich höheren Maße IT-Sicherheits- und Compliance-Vorgaben als ein „normales“ Unternehmensrechenzentrum.

Wer hat denn schon ein Ausweichrechenzentrum?

Hinzu kommen weitere Faktoren. Denn welches Unternehmen leistet sich schon ein Ausweichrechenzentrum oder eine Disaster-Recovery-Strategie? Hier können Cloud-Rechenzentren einspringen. Denkbar ist beispielsweise, dass ein Unternehmen Daten, Anwendungen und ganze IT-Umgebungen (Workloads) in das Rechenzentrum eines Cloud-Service-Providers spiegelt. Dadurch lässt sich sicherstellen, dass bei Ausfall des hauseigenen Rechenzentrums IT-Services und Daten schnell wiederhergestellt werden können. Wichtig ist dabei: Es handelt sich um aktuelle Applikationen und Datensätze, keine „Zombies“, die möglicherweise vor zig Wochen im Rahmen eines Backups inhouse gesichert wurden. Nötigenfalls übernimmt der Cloud Service Provider übergangsweise das Bereitstellen der IT-Dienste über seine eigene Infrastruktur.

Die Cloud macht die Umsetzung von NIS und DSGVO einfacher

Kurzum: Der Umstieg auf NIS und die DSGVO lässt sich aus Sicht von Unternehmen geschmeidiger gestalten, wenn sie nicht selbst im Hauruck-Verfahren diese Vorgaben sofort und für jeden IT-Service umsetzen, sondern Cloud-Services nutzen. Denn auch wenn die Mühlen der EU langsam mahlen: Sehr viel länger als bis etwa 2017 haben Unternehmen nicht, um die neuen Verordnungen umzusetzen. Bis dahin läuft die Übergangsfrist der EU. Aber das bedeutet keinesfalls Entwarnung für Unternehmen und ihre IT-Abteilungen. Denn für komplexe Aufgaben wie den Umbau der IT-Sicherheitsinfrastruktur im hauseigenen Rechenzentrum und die Anpassung der internen Prozesse, wie sie die geplante Datenschutz-Grundverordnung erfordern, sind zwei Jahre kaum ausreichend.

Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

Nürnberg, im Dezember 2018: VR-Brillen, Roboter, an Computerspiele erinnernde Lernumgebungen – beim Finale des von WorldSkills ... Weiterlesen
Die CANCOM SE hat heute gegenüber dem Vorstand der Pironet AG ihr am 22. August 2018 gemäß § 327a Abs. 1 Satz 1 AktG gestelltes ... Weiterlesen
Köln, den 14. September 2018: Die langjährigen Partner IBM und CANCOM bauen ihr Cloud-Geschäft gemeinsam weiter aus: Der weltweit ... Weiterlesen
Köln, den 28. August 2018: Zu den anspruchsvollsten Prüfstandards für Informationssicherheit und Compliance zählt der ... Weiterlesen