Data Governance in der Cloud – wie gelingt der richtige Umgang mit Daten?
(Dieser Beitrag wurde im Mai 2022 veröffentlicht und im Juli 2022 aktualisiert.)
In Zeiten von Homeoffice und hybriden Arbeitsplätzen ist Data Governance in der Cloud unverzichtbar. Sie regelt, wer wann und wie lange Zugriff auf welche Daten haben darf, wie Informationen im Unternehmen zu verwalten sind und wie sich deren Sicherheit und Qualität gewährleisten lässt.
Denn ohne klare Definition drohen nicht nur Datenchaos, sondern auch negative Folgen für das Unternehmen. Allein bei Verstößen gegen Datenschutzgesetze gibt es empfindliche Strafen, die sich teilweise im mehrstelligen Millionenbereich bewegen – man denke nur an die versehentliche Offenlegung sensibler Informationen wie Projekt-, Kunden- oder gar Gesundheits- und Finanzdaten. Hier wird einmal mehr klar, dass es ein immenses Risiko darstellt, auf Data Governance im Unternehmen und insbesondere in Verbindung mit Cloud-Services zu verzichten. Einen klaren Vorteil bieten hier Cloud-Services, bei denen nicht einmal der Anbieter Zugriff auf die Daten erhält.
Was ist Data Governance? Definition und Abgrenzung.
Zwar gibt es augenblicklich noch keine eindeutige Definition von Data Governance, dennoch lässt sich der Begriff grob herunterbrechen auf „Richtlinien für den Umgang mit bestimmten Daten“. Insbesondere regelt sie die Zugriffsrechte auf Daten und stellt entsprechende Tools bereit, die dem Unternehmen das Datenmanagement erleichtern und zu jeder Zeit den gesicherten Zugang zu den Informationen gestatten.
Ebenso gewährleistet eine gut umgesetzte Data Governance in der Cloud, dass alle rechtlichen Bestimmungen – etwa solche, die den Datenschutz betreffen – eingehalten werden. Dabei sind je nach Unternehmensgröße entweder bestimmte Personen oder sogar ganze Abteilungen dafür verantwortlich, Data Governance und die dazugehörigen Prozesse einzuführen, zu überwachen und stetig zu verbessern.
Warum braucht es Data Governance in der Cloud?
Das Augenmerk der Data Governance in der Cloud liegt insbesondere darauf, Methoden, Verantwortlichkeiten und Prozesse zu etablieren, in denen festgelegt wird, wie Unternehmensdaten zu standardisieren, zu integrieren, zu schützen und zu speichern sind. Es geht in erster Linie um die Einhaltung wichtiger Standards bezüglich der Qualität, Sicherheit und Verarbeitung von Daten.
Dabei definiert Data Governance jedoch nicht nur die Regeln für den Umgang mit Daten, sondern bietet dem Unternehmen zudem einen Mehrwert. Denn dieses strukturierte Konzept dafür sorgt zum einen dafür, dass die Angestellten des Unternehmens exakt und ausschließlich auf die Daten zugreifen können, die sie benötigen (Need-to-know-Prinzip), zum anderen für eine Optimierung der Kosten für das Managen und das Speichern der Informationen.
Dadurch, dass mit einer gut umgesetzten Data Governance auch in der Cloud gesetzliche Richtlinien eingehalten werden, lässt sich zudem das Risiko rechtlicher Verstöße für den Betrieb reduzieren – die Gefahr von empfindlichen Strafen wird so auf ein Minimum gesenkt. Wichtig ist dabei allerdings, dass hier sowohl die strategische als auch die taktische und operative Ebene des Unternehmens involviert sind und sie nicht als einmaliger, sondern als kontinuierlicher und iterativer Prozess betrachtet wird.
Was sind die Kernaufgaben der Data Governance in der Cloud?
- Sicherung der Datenqualität (Data Quality)
Hierbei gilt es, Informationen vollständig zu erfassen, aktuell zu halten und sie so aufzubereiten, dass sie sich weiterverarbeiten lassen. Auch der Zugang zu den Daten wird gewährleistet und vor allem geregelt. - Datenpflege (Data Maintenance)
Zu den Aufgaben, die der Data Governance hierbei zukommen, gehören die Anreicherung und Korrektur von Informationen sowie die Pflege der Stammdaten. - Datenschutz (Data Privacy)
Data Governance regelt hier die Einhaltung aller relevanten von der DSGVO oder anderen Rechtsvorschriften geforderten Standards und Maßnahmen hinsichtlich Sicherheit und Vertraulichkeit. - Datenkonformität (Data Compliance)
Hier sorgt Data Governance dafür, dass gesetzliche Standards ebenso eingehalten werden wie ethische und moralische Richtlinien und unternehmenseigene Vorschriften und Normen. - Datensicherheit (Data Security)
Data Governance reguliert und überwacht den virtuellen Zugang zu sensiblen Daten und verhindert somit unbefugte Zugriffe und unbefugtes Lesen von Informationen. Auch kann sie somit die Verletzung der Datensicherheit und andere Bedrohungen der Cyber-Sicherheit vermeiden. - Data-Governance-Tools
Eine weitere nicht zu vernachlässigende Aufgabe von Data Governance ist es, wie bereits erwähnt, die richtigen Tools für den sicheren Zugriff auf die Daten bereitzustellen.
Die Vorteile von Data-Governance-Tools
Während die Informationen die unterschiedlichen Datenbanken und Prozesse im Unternehmen durchlaufen, sind sie ständigen Änderungen unterzogen. In manchen Fällen werden sie dupliziert, in manchen wiederum zerstückelt, so dass fundierte Entscheidungen nur unter erschwerten Bedingungen möglich sind. Die richtige Data-Governance-Strategie sorgt hierbei für eine optimierte Stammdatenverwaltung und somit saubere Datensätze. Data-Governance-Tools sorgen hier unter anderem für:
- Erleichterte Entscheidungsfindung
Durch den einfacheren Zugriff auf die zudem gut organisierten Daten ist es möglich, bessere Schlüsse aus den Informationen zu ziehen – fundierte Entscheidungen sind somit leichter zu treffen. - Effizientere Betriebsabläufe
Unternehmen sind auf Daten angewiesen, um Prozesse optimieren zu können. Data-Governance-Tools vereinfachen den Zugriff auf und die Analyse von Daten, wodurch ein Unternehmen wertvolle Einsichten erhält und entsprechend reagieren kann. - Bessere Nachvollziehbarkeit
Data-Governance-Tools gestatten es, nachzuvollziehen, woher die Daten kommen, wo sie liegen und wie sie genutzt werden. Ebenso erlauben sie es zu bestimmen, wie und wann die Informationen verwendet werden. - Deutliche Umsatzsteigerung
Ob effizientere Betriebsabläufe, bequeme Handhabung und Analyse der Daten und damit auch höhere Kundenzufriedenheit – Data-Governance-Tools fördern das Umsatzwachstum im Unternehmen auf vielerlei Weise.
Welche Tools gibt es?
Tools für Data Governance in der Cloud mit herkömmlichen Verwaltungsfunktionen gibt es zuhauf. Einige sind jedoch auf bestimmte Aufgaben wie Qualitätssicherung der Daten und Compliance spezialisiert. Welche Lösung sich für das jeweilige Unternehmen am besten eignet, hängt letztlich davon ab, welchen Zweck sie erfüllen sollen.
Liegt das Hauptaugenmerk etwa auf dem Schutz der Unternehmensdaten, sollten nicht nur Lösungen zur Zugriffsberechtigung evaluiert werden, sondern auch solche für das Compliance-, Datenbank- und Risikomanagement. Auch gilt es zu überlegen, welches System die höchste Sicherheit für den datenschutzkonformen Austausch von Daten zwischen den Mitarbeitern eines Unternehmens oder sogar über Betriebsgrenzen hinweg bietet. Ein Tool, das hier immer mehr Beachtung findet, ist der virtuelle Datenraum.
Data-Governance-Tool: Der virtuelle Datenraum
Bei einem virtuellen Datenraum handelt es sich sozusagen um die digitale Nachbildung eines physischen Datenraums. Eine solche internetbasierte Plattform ermöglicht einen sicheren Onlinezugriff auf Dokumente und Unterlagen. Denn genau wie bei seinem analogen Pendant wird hierbei genauestens dokumentiert, wer zu welcher Zeit im Datenraum anwesend war. Unbefugte erhalten keinen Zugang, auch das unautorisierte Entwenden und Kopieren von Dokumenten ist nicht möglich.
Mehr noch: Bei virtuellen Datenräumen mit höchster Sicherheit erfolgt eine lückenlose und revisionssichere Dokumentation aller darin stattfindenden Tätigkeiten. Das ist besonders hinsichtlich Compliance relevant. Noch besser, wenn der nicht autorisierte Zugriff auch noch dank Security und Privacy by Design technisch absolut ausgeschlossen ist, wie es etwa bei idgard der Fall ist.
Das heißt: Solch sichere virtuelle Datenräume eignen sich ideal für Due-Diligence-Prüfungen, in der Verfahrensdokumentation, in der Vorstandskommunikation oder für Berufsgeheimnisträger.
Data Governance in der Cloud – made in Germany
Während Datenräume den sicheren Austausch zwischen Parteien ermöglichen, darf man jedoch auch die Speicherung der Daten nicht außer Acht lassen. Denn auch der Standort des Cloud-Providers und des Rechenzentrums sind ausschlaggebend für die Sicherheit der Unternehmensdaten. Hier sollte darauf geachtet werden, dass die Datenspeicherung und -verarbeitung DSGVO-konform erfolgt und nicht in Drittländer ausgelagert wird, die diesbezüglich kein ausreichendes Schutzniveau bieten.
Data Governance dank Sealed Cloud – wie funktioniert das?
Versiegelte Clouds bieten dem Nutzer ein Höchstmaß an Sicherheit für die Daten, denn eine Reihe innovativer und ineinandergreifender technischer Maßnahmen sorgt dafür, dass nicht einmal der Cloud-Anbieter selbst Zugang zu den darin gespeicherten Daten erhält.
Im Gegenteil: Die Sealed Cloud schützt sowohl die Anwendungs- als auch Metadaten über die gesamte Verarbeitungskette hinweg – sei es während ihrer Übertragung, bei der Verarbeitung oder der Speicherung. Durch diese hermetische Versiegelung der Infrastruktur kommen Unberechtigte – egal, ob Mitarbeiter oder Externe – nicht an unverschlüsselte Daten. Die Sicherheitslücke „Mensch“ wird also schon allein technisch ausgeschaltet.
Und so funktioniert’s
- Während Public-Cloud-Systeme eine Infrastruktur für viele bereitstellen, sichert eine versiegelte Lösung jeden einzelnen Anwendungsserver, auf dem sich die Software sowie die Daten befinden.
- Diese liegen so lange verschlüsselt vor, bis der Anwender darauf zugreift; dann wandern sie in den flüchtigen Speicher (RAM), wo sie entschlüsselt und vom Anwender bearbeitet werden.
- Die Verschlüsselung erfolgt auf Daten-Ebene; der Schlüssel wird über die Zugangsdaten (Name & Passwort) des Anwenders und für jeden Datensatz separat erzeugt. Die Zugangsdaten sind nur dem Anwender bekannt, außerdem verfügt jeder Datensatz über einen eigenen Schlüssel.
- Der Server selbst wiederum liegt in einem Schrank (Rack), der sowohl technisch als auch organisatorisch versiegelt ist.
- Bei Manipulationsversuchen (Tamper-Versuchen) oder Wartungsarbeiten wird der flüchtige Speicher gelöscht und der Server vom Strom getrennt. So wird jeder unbefugte Zugriffsversuch auf die unverschlüsselten Daten während der Verarbeitung erfolgreich vereitelt.
Vorteile der Sealed Cloud
Der Zugriff auf die Daten ist strikt geregelt, selbst der Cloud-Betreiber und IT-Administratoren sind im wahrsten Sinne ausgeschlossen. Hinzu kommt, dass die Sealed-Cloud-Technologie nicht nur die Daten selbst schützt, sondern auch die Metadaten der Kommunikation – Informationen darüber, wer mit wem und wann kommuniziert. Und: Der Zugang zu den Daten ist sowohl während ihrer Speicherung als auch zum Zeitraum ihrer Verarbeitung technisch ausgeschlossen.
Ebenso gestaltet sich die Zuordnung der Daten zu einer bestimmten Person in der Sealed Cloud nahezu unmöglich. Das wiederum heißt, dass selbst eine Entschlüsselung der Informationen auf dem Server unkritisch ist. Da es so auf dem gesamten Datenweg nahezu unmöglich ist, die Inhalte der Kommunikation zu erfahren, ist die Sealed Cloud auch für Berufsgeheimnisträger wie Anwälte, Ärzte oder im Bankwesen bestens geeignet.
Fazit: Data Governance ist keine „Kür“
Unternehmen verfügen heutzutage über enorme Mengen an Daten über ihre Kunden oder Patienten, ihr Personal, über Zulieferer oder Auftraggeber – und das aufgrund von Homeoffice und virtueller Zusammenarbeit zunehmend in Cloud-Umgebungen. Eine gut durchdachte Data Governance erlaubt eine lückenlose Dokumentation darüber, was mit den Informationen geschieht. Insbesondere aber sorgt sie dafür, dass die Informationen leicht auffindbar und zugänglich, aber dennoch geschützt sind.
Spätestens hier wird deutlich, dass Data Governance in der Cloud nicht etwa „Kür“, sondern absolute Pflicht ist, wenn sensible Daten wirklich zu jeder Zeit sicher sein sollen. Setzt das Unternehmen hierbei ein auf seine Bedürfnisse perfekt zugeschnittenes Data-Governance-Tool ein, gelingt auch die reibungslose Umsetzung.
Informationen rund um das Thema Datensicherheit sowie hilfreiche Tipps und nützliche Checklisten finden Sie in unserem kostenlosen Whitepaper Datensicherheit – So schützen Unternehmen ihre sensiblen und geschäftskritischen Daten.
In diesem Whitepaper erfahren Sie:
- was Datensicherheit ist und welche gesetzlichen Grundlagen es dazu gibt,
- welche Risiken sich aus mangelnder Datensicherheit ergeben und
- welche Maßnahmen Unternehmen treffen können, um sich und ihre sensiblen Daten wirksam zu schützen.