Der Europäische Datenschutz sieht vor, dass Daten von Bürgern der Europäischen Union nur dann im Ausland gespeichert werden dürfen, wenn diese dort das gleiche Schutzniveau genießen wie in Europa. Nach dem so genannten „Schrems II“-Urteil durch den Europäischen Gerichtshof aus dem Jahr 2020 ist bekannt, dass das Privacy Shield Abkommen zwischen den USA und der EU dafür nicht ausreicht. Dies ist vor allem in Bezug auf die USA immer wieder problematisch, da dort der Patriot Act und der damit verbundene Cloud Act die Unternehmen in den USA dazu verpflichten alle Daten auf Anfrage der Bundesbehörden offenzulegen.

Dies hat für uns ganz reale Auswirkungen, denn selbst wenn wir in Europa unsere M365 Daten hosten, ist Microsoft USA der Eigentümer der Serverinfrastruktur. Somit fällt auch diese in die Hoheit der Behörden der Vereinigten Staaten von Amerika.

Nun gibt es noch eine weitere Entwicklung, die diese Rechtssicht untermauert. In einem Urteil vom 21. August 2021 stimmte der Belgische Staatsrat, der Ansicht der EU zu. Doch es gibt auch einen Hoffnungsschimmer. So kann eine Verschlüsselung mit separater Schlüsselverwaltung neben dem Abschluss von Standardvertragsklauseln demnach als ausreichende ergänzende Maßnahme gelten.

Dies wird nun auch durch einen deutschen Datenschutzexperten Michael Will, Präsident des bayrischen Landesamtes für Datenschutzaufsicht bestätigt.

Sie bestätigt, dass auch Datenübermittlungen in die USA durch den Einsatz wirksamer Verschlüsselungsmaßnahmen und die Übertragung des Schlüssels allein an den in der EU ansässigen Verantwortlichen datenschutzgerecht abgesichert werden können.

Michael Will, Präsident des bayrischen Landesamtes für Datenschutzaufsicht

Wichtig ist hierbei allerdings, dass dieser Key getrennt von der Microsoft Cloud aufbewahrt wird. Denn hat Microsoft den Schlüssel in der eigenen Cloud gespeichert, kann nicht von einem solchen Schutzmechanismus ausgegangen werden.

Bring your Own Key

Welche Optionen haben wir nun also für die Microsoft Cloud? Microsoft bietet in seinem Dienst Azure Information Protection die Funktionalität „Bring your Own Key“ mit. Diese integriert sich dann auch nahtlos in alle anderen Dienste von Microsoft 365 und Azure.

Obwohl Microsoft natürlich auf für diese Funktion wieder eigene Dienste wie den Azure Key Vault anbietet, wodurch wir wieder in der Hoheit von Microsoft sind, gibt es auch die Möglichkeit den Schlüssel auf der eigenen Infrastruktur abzulegen. Dafür benötigen wir die so genannte Double Key Encryption, bei der ein Teil des Schlüssels nach wie vor in der Azure Cloud abgelegt wird. Der zweite Teil wird jedoch lokal gehalten und ermöglicht somit nicht, dass Microsoft ohne den zweiten Teil des Schlüssels auf die Daten zugreifen kann.

Diese Art der Verschlüsselung ist natürlich sehr aufwändig in der initialen Erstellung, und benötigt auch immer einen gewissen Aufwand zum Abruf der Daten. Dafür haben wir hier aktuell eine Variante, wie auch hochsichere Daten in der Cloud von Microsoft geschützt abgelegt werden können, ohne, dass der Zugriff durch die USA ermöglicht wird. Mit dieser Methode ermöglichen wir es sensiblen Daten die Einhaltung des DSGVO nach geltenden richterlichen Urteilen umzusetzen.

Alternative Hybrid

Neben diesem Hochsicherheitsansatz gibt es natürlich noch den klassischen Weg der Hybridbereitstellung. Dabei werden alle vertraulichen und sensiblen Daten auf eigenen Servern verschlüsselt abgelegt und können ebenfalls nur über einen entsprechenden Key entschlüsselt werden. Dieser Key liegt in der eigenen Key Vault und ist dadurch unabhängig von der Cloud.

Der Nachteil einer solchen Lösung ist der besondere Schutzbedarf. Dadurch, dass wir hier auf klassische Serverinfrastrukturen setzen, liegt das Patch- und Releasemanagement vollständig in den Händen der lokalen IT. Hier handelt es sich erfahrungsgemäß um die schwächste Stelle in einem Sicherheitskonzept. Denn über 99% aller Angriffe auf Firmennetzwerke nutzen bereits bekannte Lücken aus, die bisher noch nicht oder nicht rechtzeitig gefixt wurden.

Fazit

Wenn Du oder Deine Firma aktuell dabei seid eine cloudbasierte Sicherheitslösung bei Euch einzuführen oder zu evaluieren, sprich uns gerne darauf an. Wir unterstützen Dich bei der Einführung mit kompetenten Analysen deiner Umgebung, Ermittlung des Schutzbedarfes für deine Daten und die Implementierung dieser Hochsicherheitslösung.

Gerne können wir Dir natürlich auch eine Abschätzung machen, welche Lösung für Dich und Deine Bedürfnisse am Besten geeignet ist. Auch die Hybrid Cloud ist mit einem entsprechenden Evergreen- und Sicherheitskonzept ein sicherer Hafen, der insgesamt leichter Einzurichten ist und weniger stark den Änderungen der Microsoft Cloud unterliegt. Gemeinsam mit unseren Dienstleistungen und Experten können wir Dir auch diese Lösung aktuell und sicher gestalten, sodass die Gefahr des Datenverlustes minimiert wird.

Wir freuen uns auf Deine Anfrage.

Kategorien: Security

0 Kommentare

Schreibe einen Kommentar

Avatar-Platzhalter

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert