- Information SECURITY
Sicherheit versus Datenabflussrisiko.
Wie sicher sind Ihre Daten in der Cloud?
Für Unternehmen wird die Frage nach der Sicherheit und dem Datenschutz in der Cloud zunehmend komplexer. Ein entscheidender Aspekt, der oft unterschätzt wird, ist das Risiko des Datenabflusses durch Drittstaaten wie die USA – bedingt durch deren nationale Sicherheitsgesetze. Besonders betroffen sind Organisationen, die auf die Dienste grosser Cloud-Anbieter (Hyperscaler) angewiesen sind.
Rechtsgrundlagen, die Sie kennen sollten:
- Executive Order 12333 (EO 12333): Mandat für US-Behörden wie NSA und CIA zur Auslandnachrichtengewinnung. Entscheidungen erfolgen ohne gerichtliche Überprüfung.
- FISA Sec. 702: Erlaubt gezielte Überwachung „non-US-persons“ und bindet Cloud-Anbieter per „compelled assistance“ zur Mitwirkung – oft geheim und ohne Benachrichtigung der Kunden.
Disclaimer: Die genannten Rechtsgrundlagen (EO 12333 & FISA Sec. 702) sind im Verwaltungs- bzw. nationalen Sicherheitsrecht verankert und stehen somit über dem Zivilrecht, auf dessen Basis die meisten Outsourcing-Verträge mit Hyperscalern von Schweizer Unternehmen geschlossen werden.
Wir bieten keine juristische Beratung, sondern Sicherheitsberatung.
Was bedeutet das für Ihr Unternehmen?
- Schrems II und die Realität der Datenschutzanforderungen: Trotz Standardvertragsklauseln (SCCs) und zusätzlicher Sicherheitsmassnahmen bleiben Lücken in der Datenkontrolle bestehen.
- Transparenzdefizite und geopolitische Risiken: Die Intransparenz bei Überwachungsanfragen und mögliche Sanktionen könnten unerwartete Auswirkungen auf die Datenverfügbarkeit haben.
Die Meinung des European Data Protection Board (EDPB) ist, dass es derzeit keine rechtlichen, organisatorischen oder technischen Massnahmen gibt, die das Risiko der Auslandnachrichtenbeschaffung durch Drittstaaten in der Cloud vollständig eliminieren können.
Fazit: Sicherheitspositionierung ist entscheidend
Unternehmen in der Schweiz und Europa müssen eine umfassende Sicherheitsstrategie entwickeln, um Risiken durch Drittstaateneinwirkungen zu minimieren. Dazu gehören:
- Auswahl von Cloud-Anbietern, die höchste Verschlüsselungsstandards bieten und idealerweise nicht der „compelled assistance“ (erzwungene Hilfeleistung) im Rahmen der EO 12333, FISA-Pflichten oder ähnlichen verwaltungsrechtlichen Verpflichtungen unterliegen.
- Einsatz von Technologien wie Client-Side Agents (CSA) und Highly Secure Models (HSM), um das Risiko zu mitigieren.
- Stärkung des internen Sicherheitsdispositivs auf logischer, technischer, physischer und personeller Ebene, um auf mögliche Vorfälle vorbereitet zu sein.
Die Gefahr von Datenabflüssen in der Cloud ist nicht nur ein Datenschutzproblem – es ist ein Sicherheitsrisiko mit globalen Auswirkungen.
Sind Ihre Cloud-Daten wirklich sicher?
Mit unserer langjährigen Expertise im Prozessdesign entwickeln wir massgeschneiderte Lösungen, die statutarische und regulatorische Vorgaben mit den gängigen Security Best Practices harmonisieren. Dabei identifizieren wir schnell die für Ihr Unternehmen relevanten Anforderungen und integrieren diese nahtlos in bestehende Vertrags- und Risikomanagementprozesse. Unser Fokus liegt auf der Einbindung aller relevanten Stakeholder und der Optimierung kritischer Schnittstellen, um eine effiziente und sichere Zusammenarbeit mit Drittparteien zu gewährleisten.
Wir unterstützen Sie gerne mit folgenden Leistungen:
- Durchführung einer umfassenden Risikoanalyse der Outsourcing-Verträge aus der Perspektive des Third-Party Security Risk Management
- Sicherheitsbasierte Data Transfer Impact Analysis (DTIA) zur Bewertung von Datenübertragungsrisiken
- Überprüfung zusätzlicher organisatorischer und technischer Sicherheitsmassnahmen
- Identifikation und Ausweisung von Sicherheitsrisiken bei Outsourcing an Cloud-Provider in Drittstaaten
- Erstellung eines priorisierten Plans zur Risikominderung (Risk Treatment Plan)
- Auswahl von Cloud-Anbietern, die höchste Verschlüsselungsstandards bieten und idealerweise nicht der „compelled assistance“ (erzwungene Hilfeleistung) im Rahmen der EO 12333, FISA-Pflichten oder ähnlichen verwaltungsrechtlichen Verpflichtungen unterliegen.
Sie haben Fragen?
Gerne begleiten wir Sie und Ihr Unternehmen auf dem Weg zur Sicherheit!
