benedetti68 - Fotolia

Compliance: Auch Cloud-Storage braucht eine räumliche Abschirmung

Compliance-Forderungen an Storage betreffen nicht nur Verschlüsselung oder rechtzeitiges Löschen. Sie beginnen bereits bei der Zutrittskontrolle.

Dieser Artikel kann auch im Premium Editorial Download gefunden werden: Storage-Magazin: Compliance und Datenschutz: Darauf sollten Unternehmen achten

Eigentlich ist es eine Selbstverständlichkeit oder sollte es zumindest sein: Wenn ein Unternehmen den Einsatz von Storage-Systemen plant, müssen immer auch die Compliance-Anforderungen berücksichtigt werden. Was allerdings genau zu den Compliance-Forderungen zählt, hängt von der Branche, von dem jeweiligen Verfahren der Datenspeicherung und von der Kategorie und dem Schutzbedarf der jeweiligen Daten ab. Es gibt aber auch grundlegende Compliance-Vorgaben, die immer anzutreffen sind. Dazu gehören der physische Schutz für Storage-Systeme, insbesondere die Kontrolle der Zutritte zu den Bereichen, in denen die Storage-Systeme betrieben werden sollen, und der Schutz des physischen Zugangs zu den Storage-Systemen.

Zutrittskontrolle und Zugangskontrolle klingen für die meisten sehr vertraut, trotzdem gibt es dort deutliche Defizite. Ein Trend sorgt dafür, dass Zutritt und Zugang zu Storage-Systemen für manche nach Themen klingen, die in der Vergangenheit relevant waren, aber zunehmend unwichtig werden: die steigende Verbreitung von Cloud-Storage. Schließlich meint man, dass man als Nutzer von Cloud-Storage mit dem physischen Schutz des Storage nichts mehr zu tun hat. Die Compliance-Vorgaben sehen dies anders, doch nicht nur das: Der wahre Trend lautet Hybride Cloud und bedeutet, dass zumindest ein Teil des Storage nicht in der Cloud liegt, sondern auf internen Storage-Systemen sowie auf Endgeräten, die über eine zunehmend große lokale Storage-Kapazität verfügen.

Physischer Schutz als Compliance-Forderung

Sowohl das Bundesdatenschutzgesetz (BDSG) als auch die neue Datenschutz-Grundverordnung (DSGVO) kennen die Forderung nach einer Zutrittskontrolle. So findet man im BDSG, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren ist. Dabei ist „Verarbeiten“ das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten und betrifft somit Storage-Systeme.

Die DSGVO verlangt für die Sicherheit der Verarbeitung die „Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte“. Diese Forderung gilt sowohl für den Fall, dass ein Unternehmen selbst die Daten verarbeitet, als auch für die Beauftragung eines Auftragsverarbeiters und somit bei Cloud-Storage.

Auch Compliance-Vorgaben wie Payment Card Industry Data Security Standard (PCI DSS) sehen eine Kontrolle der Zutritte vor. So besagt zum Beispiel das Dokument zum Sicherheitsüberprüfungsverfahren: „Versuchen Sie, sich Zutritt zum Datenzentrum zu verschaffen, um zu überprüfen, ob es mit einem Besucherausweis möglich ist, ohne Begleitung physische Bereiche zu betreten, in denen Karteninhaberdaten gespeichert werden“. Das Telekommunikationsgesetz (TKG) fordert „die Beschränkung des Zutritts zu den Datenverarbeitungsanlagen auf Personen, die durch den Verpflichteten besonders ermächtigt sind“. Ein weiteres Compliance-Beispiel: Die Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis fordern unter anderem: „Die IT-Infrastruktur sollte in der Arztpraxis nicht frei zugänglich für die Patienten sein“.

Hinweise zur Umsetzung des Physischen Schutzes

Der physische Schutz für Storage-Systeme, der zu den grundlegenden Compliance-Forderungen zählt, umfasst eine Reihe von Maßnahmen, die auf Basis einer Risikoanalyse und Schutzbedarfsfeststellung auszuwählen und umzusetzen sind. Dazu gehören Maßnahmen zur Gebäude- und Raumsicherung wie die Videoüberwachung, Sicherheitsschlösser, Chipkartenleser und Alarmanlagen.

Werden die Storage-Systeme räumlich gekapselt wie bei einem Datentresor, können verschiedene Maßnahmen der Zutrittskontrolle durch den direkten physischen Schutz der Storage-Systeme ergänzt oder sogar ersetzt werden. Die Idee dahinter ist es, die räumliche Abschirmung für die Speichersysteme so klein wie möglich zu machen, ohne aber den Schutzfaktor zu verringern.

Zur Cloud-Compliance gehört immer auch der physische Schutz

Was bedeutet dies nun für Cloud-Storage? Im Bereich Cloud Computing sorgt sich immer noch die Mehrheit der Nutzer um die Einhaltung der Compliance-Vorgaben, der Datenschutz gilt weiterhin als größtes Hemmnis für die Cloud, wie zum Beispiel der Cloud-Monitor 2016 zeigte. Um diese Sorgen und Hemmnisse aus dem Weg zu räumen, müssen Storage-Anbieter und Storage-Nutzer grundsätzlich an den physischen Schutz der Storage-Systeme denken.

Schließlich ist Cloud-Storage nichts anderes, als eine Online-Verbindung zu physischen Storage-Systemen, die vor unerlaubtem Zugang geschützt werden müssen. Im Fall von Cloud-Storage ist dies eine Forderung, die man an den Storage-Anbieter stellen muss und deren Einhaltung nachzuweisen ist. Bei lokalem Storage oder bei der Hybriden Cloud muss man zudem als Unternehmen selbst Hand anlegen, damit keine Unbefugten „Hand anlegen können“ an die Storage-Systeme.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juli 2016 aktualisiert

Erfahren Sie mehr über Public Cloud

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close