Cybersecurity beim Cloud Computing
Je nach Anwendungsfeld und Einsatzszenario unterliegt die IT-Sicherheit von Cloud-Computing den unterschiedlichsten rechtlichen Compliance-Vorgaben. Im Interview mit dem Informationssicherheitsexperten Dennis-Kenji Kipker erfahren Sie mehr!
Unser Experte: Prof. Dr. jur. Dennis-Kenji Kipker
Dennis-Kenji Kipker ist Geschäftsführer der Certavo GmbH. Durch seine Tätigkeit als Wissenschaftlicher Geschäftsführer an der Universität Bremen verfügt er über umfassende Forschungs- und Projekterfahrung. Darüber hinaus ist er auch als Legal Advisor des VDE sowie als Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) tätig und hat eine Professur für das IT-Sicherheitsrecht an der Hochschule Bremen.
Wie unterscheiden sich die Anwendungsfelder und das Einsatzszenario von Cloud-Computing in Unternehmen?
"Gemeinhin versteht man unter „Cloud-Computing“ nur das Zurverfügungstellen von Speicherplatz. Tatsächlich ist der Begriff technisch viel weiter gefasst und kann nahezu beliebig skaliert und in unterschiedlich granularen Stufen umgesetzt werden. Angefangen bei den grundlegenden IT-Ressourcen bei „Infrastructure as a Service“ (IaaS), über Entwicklungsumgebungen bei „Platform as a Service“ (PaaS) bis hin zur Verfügungstellung von fertigen Nutzeranwendungen bei „Software as a Service“ (SaaS)."
Welche unterschiedlichen Compliance-Vorgaben sind in den Unternehmen aktuell zu finden?
"Cloud Compliance ist ein vielschichtiges Thema, da es Datenschutz, Verfügbarkeit, Vertraulichkeit, Sicherheit und Benutzerkomfort umfasst. Dementsprechend anspruchsvoll ist Cloud Compliance für die Unternehmen auch, denn es spielen nicht nur technisch-organisatorische, sondern auch rechtliche und betriebswirtschaftliche Gesichtspunkte eine Rolle."
Welche juristischen Rahmenwerke werden für ein sicheres Cloud-Computing angewendet?
"Es existiert eine Vielzahl juristischer Rahmenwerke für sicheres Cloud-Computing, so beispielsweise die Netz- und Informationssicherheitsrichtlinie (NIS-RL) der EU, soweit personenbezogene Daten verarbeitet werden, die EU DS-GVO, die EU Cybersecurity-Verordnung (EU CSA), das deutsche IT-Sicherheitsgesetz (IT-SiG 1.0 und 2.0), das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) und auch die Digitale-Inhalte-Richtlinie der EU."
Welche Stolpersteine sollten Unternehmen für eine optimale Cybersecurity beim Cloud-Computing vermeiden?
"Pauschal lässt sich diese Frage für solch ein komplexes Thema nicht beantworten, gleichwohl kann ein zentraler Tipp gegeben werden: Von Anfang an auf den Standort der Cloud achten! Vielleicht mag ein ausländischer Cloud-Anbieter von außerhalb der EU günstiger sein, spätestens bei der Übermittlung von personenbezogenen Daten in das Nicht-EU-Ausland können sich jedoch kostspielige und rechtlich unsichere Herausforderungen für Unternehmen stellen."
Ihre Ansprechpartnerin
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42
Fax: +49 201 31955-70
mbraunschweig@tuev-nord.de