Aktueller Channel Fokus:

Storage und Datamanagement

Schatten-IT als Risiko für DSGVO

Wenn SaaS und DSGVO zur explosiven Mischung werden

| Autor: Sarah Gandorfer

SaaS und die DSGVO können eine explosive Mischung ergeben.
SaaS und die DSGVO können eine explosive Mischung ergeben. (Bild: Pixabay / CC0)

SaaS ist ein kommodes Mittel für Kunden, ihre Software einfach über das Internet zu beziehen. In Hinblick auf die europäische Datenschutzgrundverordnung (DSGVO) ist sie allerdings ein nicht zu unterschätzender Risikofaktor.

Für Anwender bietet SaaS quasi Software ohne IT-Ballast. Die Implementierung geht einfach und ohne IT-Unterstützung. Daher führen Fachabteilungen SaaS-Software nicht selten autark ein, ohne sie entsprechender fachgerechter Kontrolle zu unterstellen. Für Unternehmen bedeutet das eine wachsende Schatten-IT.

Das Software Asset Management (SAM), also die Kontrolle der Ausgaben und die korrekte Lizenzierung von Software, sieht sich konfrontiert mit der Aufgabenstellung, dies auch für die Cloud zu gewährleisten. Das bedeutet, dass für diese Aufgaben neue Werkzeuge eingesetzt werden müssen. Denn die Tools, die heute für ein effektives Vermessen herangezogen werden, werden zunehmend stumpf.

Die Analysten von Gartner gehen davon aus, dass bis 2019 die heute genutzten Tools zur technischen Vermessung für SAM zu 90 Prozent nutzlos sein werden. Die Cloud erfordert andere Mechanismen, um etwa festzustellen, welcher Mitarbeiter eine Subskription tatsächlich nutzt und welcher nicht. Auch muss die IT Prozesse bereitstellen, die sicherstellen, dass ihre User Anwendungen sauber nutzen können und die genauso sicherstellen, dass beim Verlassen des Unternehmens, diese Anwendungen nicht mehr für den entsprechenden User bereitstehen.

Erstes Problem: fehlende Standards

Diese Probleme setzten sich im weiteren auch im Service Management fort. So gehen die Marktforscher von Gartner davon aus, dass bereits 2017 die Nutzung von SaaS in 75 Prozent aller Unternehmen dominiert wird von fehlender Kontrolle und Steuerung. Kurz: Es fehlt an Standards, denn die Bereitstellung der Anwendungen liegt in vielen Unternehmen immer noch überwiegend bei den Fachabteilungen. Zudem sind Datenschutzfragen oftmals nicht ausreichend beantwortet.

Nun steht die DSGVO am 25. Mai 2018 vor der Tür. Bis dahin muss alles konform sein, sonst kann es teuer werden. Allerdings hinken viele Unternehmen diesbezüglich hinterher. Wichtig ist es, Antworten auf folgende Fragen zu finden:

  • Welche Software aus der Cloud ist im Unternehmen im Einsatz?
  • Wo werden die Daten physisch gespeichert?
  • Welche Prozesse und Verfahren verwenden diese Cloud-Anwendungen?
  • Werden personenbezogene Daten in der Cloud gespeichert?
  • Wenn ja, aus welchem Grund?
  • Wer hat welche Zugriffsrechte?

Kaum eine Firma wird das ohne die Unterstützung eines darauf spezialisierten externen Partners schaffen.

Schwierig macht es zudem, dass die personenbezogene Datenspeicherung in der Cloud eine ganz neue Bedeutung bekommt. Unternehmen, die die Zugänge zu diesen Daten nicht unter Kontrolle haben, gehen hohe Risiken ein. Alle betroffenen Prozesse müssen identifiziert und dann in Hinblick auf die DSGVO qualifiziert werden.

Das betrifft nicht nur die Speicherung, sondern auch das Löschen oder Ändern von Daten. Datenzugriffe müssen kontrolliert werden, die Nachvollziehbarkeit von Manipulationen muss gewährleistet sein. Denn auch das unberechtigte Ändern oder Löschen von personenbezogenen Daten kann einen Verstoß gegen die Verordnung darstellen. Es gilt, einerseits Dokumentations-, Archiv- und Aufbewahrungspflichten sowie -fristen zu beachten, andererseits die Art der Daten: wirtschaftliche Daten, Fiskaldaten und personenbezogene Daten.

Zweites Problem: Vielfalt der Cloud

Die Cloud birgt eine enorme Vielfalt an Anwendungen – reine Cloud-Anwendungen genauso wie hybride Lösungen. Die Komplexität nimmt zu und bringt unterschiedliche Herausforderungen mit sich. Vor allem weniger IT-affine Mitarbeiter haben Schwierigkeiten, die zunehmende Anzahl an Internetadressen und Login-Daten sicher zu verwalten und im Arbeitsalltag schnell nutzen zu können. Damit erhöht sich der Druck auf die IT, einen einfachen Einstieg für möglichst alle Anwendungen anzubieten und sich um die Informationssicherheit und den Datenschutz zu kümmern. Auch die Kosten muss die IT im Auge behalten und natürlich auch dafür sorgen, dass keine Lizenzverletzungen passieren, indem personenbezogene Zugänge von ganzen Abteilungen verwendet werden.

Aufgaben der IT

Die IT muss also dafür sorgen, dass eine zentrale Steuerung auf Applikationen und Ressourcen vorhanden ist. Das ist beispielsweise beim On- und Offboarding von Mitarbeitern sehr wichtig. Im Idealfall ist dies ein automatisierter Prozess. Auch die Gefahr der Überlizenzierung muss die IT vermeiden, indem sie Prozesse schafft, mit denen Lizenzen bedarfsgerecht vergeben werden können.

Darum fällt es der IT-Abteilung zu :

  • Prozessstandards für Cloud-Anwendungen etablieren und Schatten-IT vermeiden.
  • Daten und Prozesse in die bestehende Infrastruktur integrieren.
  • Den Vorgang ausscheidender Mitarbeiter verlässlich automatisieren.
  • Rollenbasierte Zugriffe auf Applikationen sicherstellen.
  • Latente Gefahr der Überlizenzierung adressieren.

Bereits bei der Einführung einer Software – egal ob on premises oder aus der Cloud – muss überlegt werden, wo was in welcher Ausprägung gespeichert wird und wie Daten gelöscht werden können. Modernes Cloud Software Asset Management unterstützt dabei, diese Fragen zu beantworten und zu helfen, dass DSGVO-konform gearbeitet wird.

Last-Minute-Maßnahmen zur DSGVO

Tipps für Unternehmen

Last-Minute-Maßnahmen zur DSGVO

02.05.18 - Der 25. Mai 2018, der Stichtag für die DSGVO, rückt immer näher. Unternehmen haben entweder die Weichen bereits gestellt und können sich beruhigt zurücklehnen – oder aber, die massiven Änderungen im Datenschutz wurden bisher mehr oder weniger bewusst ignoriert. Wie sich Unternehmen mit kleinen Maßnahmen noch auf die DSGVO vorbereiten können weiß der Security-Spezialist DataLocker. lesen

Interne Unternehmenskommunikation muss DSGVO-konform sein

Knackpunkte Google Drive, Dropbox, WhatsApp und Mitarbeiter

Interne Unternehmenskommunikation muss DSGVO-konform sein

25.04.18 - Bis zum Stichtag der EU-Datenschutz-Grundverordnung (DSGVO) müssen nicht nur Kundendaten entsprechend behandelt, sondern auch die interne Kommunikation nach den neuen Richtlinien ausgerichtet sein. lesen

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45288319 / Recht)