Zuverlässgier Datenschutz mit eperi Gateway

Wenn Cloud-Anwendungsdaten zentral verschlüsselt werden sollen

Die DSGVO und anderen gesetzlichen Regularien bringen Anwender von Salesforce, Office 365 und anderen SaaS-Cloud-Anwendungen immer öfter dazu, sich diverse Fragens stellen:

„Wie kann ich mir sicher sein, dass meine Daten ohne Einfluss auf meine Cloud-Anwendung verschlüsselt werden?“

„Wie stelle ich sicher, dass meine Daten nicht in die falschen Hände geraten, weil zum Beispiel der Cloud-Anbieter darauf zugreifen kann?“.

„Gibt es eine probate Verschlüsselungslösung für meine Multi-Cloud-Strategie?

Unumgänglich: datenschutzkonforme Verschlüsselung

Die DSGVO und andere gesetzliche Bestimmungen führen immer öfter dazu, dass Anwender so vorsichtig wie möglich mit sensiblen und personenbezogenen Daten umgehen müssen. Dies bezieht sich auch auf Cloud-Datenspeicher und ihre Applikationen à la Salesforce, Office 365 und Co.

Denn auch hier müssen Firmen sicherstellen und nachweisen können, dass sie vor allem personenbezogene und unternehmenskritische Daten permanent und nachweisbar kontrollieren können. Ein wichtiger Aspekt hierbei ist eine Verschlüsselungstechnik, bei der ausschließlich der Cloud-Anwender auf sämtliche Schlüssel zugreifen kann, also nicht einmal der Cloud-Anbieter selbst.

Darüber hinaus sollte die Verschlüsselung der Daten keinerlei Einfluss auf die Arbeitsweise der Benutzer mit der Cloud-Anwendung haben. Doch genau das ist in einigen Fällen ein Hindernis, das viele Unternehmen und Cloud-Anbieter nur schwer überwinden können.

Zusätzliche Aufgabe: Multi-Cloud-Umgebungen

Daneben sehen sich Anbieter wie SAP, Salesforce, Microsoft und andere Cloud-Service-Provider in letzter Zeit immer häufiger mit einer großen Herausforderung konfrontiert: die Zentralisierung von IT-Sicherheitslösungen in Hybrid- und Multi-Cloud-Umgebungen. Denn mehr und mehr Firmen wollen bestehende IT-Security-Silos abbauen und eine zentrale Plattform schaffen, um auf diesem Weg den aktuellen Cyber-Risiken besser Herr werden zu können.

Dabei entpuppen sich die unterschiedlichen Verschlüsselungstechniken der Cloud-Anbieter zu einem echten Dilemma, denn wenn jeder seine Daten mithilfe seiner eigenen Technik unleserlich macht, wie soll dann ein zentraler Cloud-Datenschutz für eine Multi-Cloud-Umgebung zuverlässig funktionieren?

An dieser Stelle kommt die eperi Gateway-Plattform ins Spiel, die genau das besonders gut kann: Daten verschlüsseln und pseudonymisieren, und das über mehrere Cloud-Anwendungen hinweg, auf Basis einer zentralen Verschlüsselungsplattform.

Stopp: Verschlüsseln Salesforce & Co. ihre Daten nicht selbst?

Ja, das stimmt natürlich. Einerseits. Andererseits weisen die Verschlüsselungslösungen der jeweiligen Cloud-Anbieter oft eine kleine, aber feine Schwachstelle auf, zumindest dann, wenn man Datenschutzbeauftragter ist. Denn die Verschlüsselungslösung selbst und die notwendigen Schlüssel befinden sich nicht exklusiv unter der Kontrolle des Cloud-Anwenders. Und das ist unter dem Aspekt bestimmter Compliance-Anforderungen ein absolutes No-Go!

Der Ausweg: Daten plattformübergreifend mit eperi verschlüsseln

Fakt ist also, dass die Verschlüsselungslösungen von Salesforce oder Microsoft in einigen Fällen den Datenschutz ernst nehmen und die Usability der Cloud-Anwendung(en) nicht beeinträchtigen. Und doch hält die Verschlüsselungslösung der Cloud-Anbieter den zahlreichen internen und externen Compliance-Anforderungen nicht stand.

Das ist zum Beispiel dann der Fall, wenn global operierende Unternehmen die Datenschutzprozesse vollständig autark kontrollieren müssen und der Cloud-Anbieter unter keinen Umständen auf unverschlüsselte Daten zugreifen darf. Aber auch das Thema Data Residency stellt eine mögliche Herausforderung dar, wenn sensible Daten ein bestimmtes Hoheitsgebiet nicht verlassen dürfen.

Darüber hinaus spricht auch das Etablieren einer zentralen IT-Sicherheitsarchitektur für eine zentrale Verschlüsselungslösung wie das eperi Gateway. Denn auch hier können sämtliche Datenschutzprozesse über einen zentralen Kontrollpunkt gesteuert werden.

Umgesetzt: Cloud-Anwendungen mittels Templates eperi Gateway-tauglich machen

Wie man anhand des Beitrags eperi Gateway: So geht wirksamer Cloud-Datenschutz gut erkennen kann, weisen die eperi Cloud-Verschlüsselungslösungen ein Template-Konzept auf, das die komfortable Anbindung des eperi Gateways an nahezu beliebige Cloud-Anwendungen erlaubt. Dank dieses Konstrukts lässt sich beispielsweise festlegen, welche Verschlüsselungsmethode zum Einsatz kommt, ob bestimmte Datentypen bei der Eingabe erwartet werden, und so fort.

Bei den Templates handelt es sich herkömmliche XML-Dateien, die ausführbaren Java-Code enthalten können. Für die häufig zum Einsatz kommenden Cloud- und SaaS-Anwendungen wie Salesforce, Office 365, etc. existieren vorgefertigte Templates von eperi. Diese lassen sich mühelos anpassen bzw. neu erstellen.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Sergej Schlotthauer, Matrix42, über aktuelle Sicherheitssthemen

[Videoblog] Sergej Schlotthauer über Matrix42, EgoSecure und aktuelle Sicherheitsthemen

Während einer IDC-Veranstaltung zum Thema IT-Sicherheit habe ich dieses Interview mit Sergej Schlotthauer von Matrix42 geführt. Darin spricht er über das „Center of Excellence for Security“, über Endpoint Management und die wichtigsten, aktuellen Security-Themen.

Sergej Schlotthauer verantwortet „Center of Excellence for Security“

Mit dem Zusammenschluss der beiden Firmen Matrix42 und EgoSecure entstanden für Matrix42 ganz neue Möglichkeiten, die im „Center of Excellence for Security“ mündeten. Dieser neuen Einrichtung steht Sergej Schlotthauer vor, in der unter anderem die Themen Endpoint Security und Software Management im Vordergrund stehen. Und genau mit diesen Schwerpunkten wollen und werden Matrix42 und EgoSecure künftig den Markt mit neuen Lösungen versorgen.

So gibt es beispielsweise gemeinsame Aktivitäten im Kontext der DSGVO, denn hierfür müssen Daten verschlüsselt und Zugriffe darauf verhindert werden. Und genau darum kümmert sich künftig Matrix42 mit der Expertise von EgoSecure.

Endpoint Management wird immer wichtiger

In Zeiten, in den Daten eine wahre Goldgrube darstellen, wird der Schutz derselben immer wichtiger. Daher müssen künftig vor allem die möglichen Einfalltore noch besser geschützt werden. Neben den klassischen Desktop- und Notebook-Rechnern sind das verstärkt Smartphones, Tablets und andere Geräte, auf denen Daten liegen oder die ihre Daten auf dem Firmenserver speichern wollen. Hierfür sind erprobte Managementlösungen und sichere Verschlüsselungsverfahren erforderlich.

Aktuelle Sicherheitsthemen: externe Angriffe und Datenschutz

Sieht man sich die aktuellen Sicherheitsrisiken an, mit denen IT-Beauftragte konfrontiert werden, lassen sich vor allem zwei Themen nennen: Angriffe von außen und der Datenschutz im Geiste der DSGVO.

Im Falle der externen Bedrohungen ist es zwingend erforderlich, mehr und mehr über die Automatisierung von Sicherheitsmaßnahmen nachzudenken. Denn die Bedrohungen von außen werden immer intelligenter und zielgerichteter, sodass es nicht mehr reicht, einen IT-Adminstrator vor eine Konsole zu setzen in der Hoffnung, dass er die Angriffe abwehren kann. Daher sind intelligente Systeme erforderlich, die vollautomatisch Angriffe erkennen und diese eliminieren können.

Beim zweiten Thema Datenschutz fällt auf, dass die Akzeptanz der hierfür notwendigen Maßnahmen verbessert werden sollte. Denn immer noch herrscht bei vielen Anwendern der Eindruck vor, dass Datenschutzmaßnahmen ihre Effizienz negativ beeinträchtigen – was zwar eine sehr subjektive, aber durchaus ernstzunehmende Wahrnehmung ist. Um dem vorzubeugen, sind die richtigen Mittel und Wege erforderlich, um den Anwendern das Gefühl zu geben, dass ihr Arbeitsplatz einerseits sicher und andererseits genauso produktiv wie vorher ist. Oder vielleicht sogar noch sicherer und noch produktiver als vorher.

Das vollständige Interview mit Sergej Schlotthauer

luckycloud bietet eine sichere und komfortable Cloud-Umgebung

Nützliche Tipps für die richtige Auswahl von sicheren Cloud-Speichern

Bei der Wahl des richtigen Cloud-Service-Providers sind vor allem die Bereiche Sicherheit und Funktionalität zu beachten. Mit diesem Beitrag sollen die wichtigsten Merkmale vorgestellt und gezeigt werden, worin sich die aktuellen Cloud-Angebote unterscheiden.

Zunächst einmal sei darauf hingewiesen, dass sich Begriffe wie „sicherer Cloud-Speicher“ und „kostenloses Cloud-Angebot“ quasi gegenseitig ausschließen. Denn auch die Anbieter von vermeintlich kostenfreien Cloud-Plattformen wollen Geld verdienen. Und das tun sie beispielsweise mit dem Verkauf von Kundendaten oder dem Schalten von Werbung.

Diese und weitere Maßnahmen sind wenig vertrauensbildend, speziell im professionellen Geschäftsumfeld, und sind daher für den sicheren Umgang mit sensiblen Daten ungeeignet. Zudem verstößt das ein oder andere Geschäftsgebaren dieser Cloud-Anbieter gegen geltendes Recht wie der DSGVO.

Sicherheit first: Verschlüsselung, Zwei-Faktor-Authentifizierung und mehr

Das Thema Sicherheit von Cloud-Daten ist ein äußerst umfassendes, was dieser Blogbeitrag nicht umfassend abbilden kann. Allerdings hilft es vor allem weniger erfahrenen Cloud-Anwendern, die wichtigsten Begriffe zu kennen, um diese besser einordnen zu können.

Ende-zu-Ende-Verschlüsselung: Damit ist eine „echte“ Verschlüsselung gemeint, also während des kompletten Datenaustauschs bzw. Speichervorgangs. Es werden also sowohl die Daten auf dem Cloud-Speicher als auch der Transportweg via Internet gegen unliebsame Zugriffe von außen gesichert. Hierbei kommt meist der AES-Algorithmus zum Einsatz. Für dessen Sicherheitsstufe gilt: Je größer die zugehörige Bit-Zahl ist, desto sicherer wird verschlüsselt.

Zwei-Faktor-Authentifizierung: Das Einwählen auf dem Cloud-Speicher wird immer per Kennwort abgesichert, was aber passiert, wenn dieses in die falschen Hände gerät?! Aus diesem Grund sollte am besten eine sogenannte Zwei-Faktor-Authentifizierung eingesetzt werden, bei der neben dem Kennwort eine zweite Sicherheitsstufe eingebaut ist. Das kann das Bestätigen des Login-Versuchs per E-Mail sein, oder am Smartphone wird ein Sicherheitscode darstellt, der in ein entsprechendes Feld eingetragen werden muss.

IT-Infrastruktur in Deutschland: Alleine schon wegen der Einhaltung gesetzlicher Vorschriften sollte der Cloud-Anbieter sein Rechenzentrum entweder in Deutschland oder in einem anderen europäischen Land betreiben.

Open-Source-Software: Was für Experten selbstverständlich ist, löst bei weniger versierten Anwendern möglicherweise ein Stirnrunzeln aus: Der Einsatz von Open-Source-Software, deren Quellcode also öffentlich zugänglich ist. Die Idee dahinter ist jedoch ganz simpel: Nur, wenn ich weiß, wie ein Software-Programm funktioniert, kann ich mir auch sicher sein, dass dort alles mit rechten Dingen zugeht. Daher bauen seriöse Cloud-Anbieter auf Open-Source-Programme wie zum Beispiel Seafile, das Daten auf dem lokalen Computer mit der Cloud-Umgebung synchronisiert.

Datenschutzkonforme Datenverarbeitung: In Zeiten von DSGVO und Co. ist sie fast schon eine Selbstverständlichkeit, die datenschutzkonforme Datenverarbeitung. Denn nur dann kann man sich auch sicher sein, dass die eigenen personenbezogenen Daten und die seiner Kunden auf dem Cloud-Speicher wirklich geschützt sind.

Funktionale Aspekte wie Backups und Snapshots sind ebenfalls wichtig

Neben diesen primären, sicherheitsrelevanten Merkmalen sollte der Cloud-Anbieter der Wahl auch funktionale Aspekte wie regelmäßige Backups, Blockversionierung und Snapshots berücksichtigen. Auf Basis dieser Sicherheitsvorkehrungen kann gewährleistet werden, dass die eigenen Daten in den allerbesten Händen sind und selbst eine technische Störung auf Anwenderseite nicht sämtliche Daten im Nirvana verschwinden lässt.

luckycloud History- und Snapshot-Funktionen

Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von luckycloud erstellt und veröffentlicht.

Zuverlässgier Datenschutz mit eperi Gateway

Cloud-Daten mit eperi Gateway vollumfänglich und wirksam schützen

Sensible Daten lassen sich innerhalb einer Cloud schützen, indem man sie verschlüsselt und pseudonymisiert. Hierfür gibt es verschiedene Ansätze: Cloud Access Security Broker (CASB), Bring Your Own Key-Dienste oder andere vergleichbare Dienste. Doch worin unterschieden sich deren Arbeitsweisen und schützen sie Cloud-Daten vollumfänglich?

Nun, CASB-Services bzw. -Anwendungen befinden sich zwischen Anwender und Cloud-Plattform und steuern, überwachen und protokollieren den gesamten Datenstrom. Im Gegensatz dazu verschlüsseln BYOK-Anbieter die Daten mithilfe von kryptografischen Schlüsseln, die sie ihren Cloud-Kunden zur Verfügung stellen.

Die Zuverlässigkeit und Machbarkeit dieser Ansätze lassen sich mithilfe dreier Aspekte und ihrer wesentlichen Fragen bewerten: Datenkontrolle, Benutzbarkeit (Usability) und Datenschutz.

Datenkontrolle: Wer kann auf die für die Verschlüsselung erforderlichen Schlüssel zugreifen und hat damit Zugriff auf die verschlüsselten Daten?

Benutzbarkeit: Können die Cloud-Anwendungen trotz der Verschlüsselung wie gewohnt genutzt werden?

Datenschutz: Sind Datensicherheit und -schutz eingeschränkt, um somit die Benutzbarkeit der Cloud-Anwendung oder einzelner Funktionen weiterhin gewährleisten zu können?

Nun muss man sich als Datenschutz-Verantwortlicher gut überlegen, welche dieser drei Merkmale von besonderer Bedeutung sind. Denn leider decken die am Markt existierenden Ansätze und Lösungen nicht alle Anforderungen gleichermaßen gut ab.

CASB-Services ermöglichen grundsätzlich einen hohen Datenschutz und die volle Datenkontrolle, dafür ist die Usability meist nicht optimal, da der Service an die verschiedenen Cloud-Applikationen  angepasst werden muss. Im schlimmsten Fall wird die Nutzung von Cloud-Services komplett verhindert, wenn sensible Daten im Spiel sind.

BYOK-Dienste: Hier stehen die Themen  „Benutzbarkeit“ und „Datenschutz“ im Vordergrund, allerdings rückt die Datenkontrolle ein wenig in den Hintergrund, da die erforderlichen kryptografischen Schlüssel zwar vom Anwender zur Verfügung gestellt werden, der Cloud-Anbieter kann allerdings auf die Schlüssel zugreifen.

eperi hilft aus dem CASB-/BYOK-Dilemma!

Jetzt kommen wir zu der Stelle, an der Sie sich vielleicht fragen: Gibt es denn eine Cloud-Verschlüsselungslösung, die alle drei Disziplinen gleichermaßen gut beherrscht? Ja, doch, die gibt es, und sie nennt sich eperi Cloud Data Protection (CDP). Damit können Sie sicher sein, bei allen drei Aspekten keine Abstriche machen zu müssen.

So erlangt keiner der Cloud-Anbieter und Datenverarbeiter Zugriff auf die Schlüssel, die Cloud-Anwendung wird durch die Verschlüsselung nicht wesentlich beeinträchtigt, und beim Datenschutz werden ebenfalls keine Kompromisse eingegangen.

Die Funktionsweise des eperi-Gateway

Die wesentliche Eigenschaft des eperi-Gateway ist seine „Vermittlerrolle“. Hierzu befindet es sich außerhalb der Cloud-Umgebung, deren Daten verschlüsselt werden sollen, entkoppelt also Cloud-Anwendungen von den Cloud-Daten. Zum anderen fungiert es als Reverse-, Forward- und API-Proxy, je nach Anwendung und Zugriffsszenario.

Außerdem ist das eperi-Gateway „Hüter“ sämtlicher Schlüssel, die für das Pseudonymisieren und Verschlüsseln der Daten erforderlich sind. Das erlaubt allen Anwendern einen transparenten, sicheren Zugriff auf die Cloud-Daten. Transparent heißt, dass die Verschlüsselung im Hintergrund für die Anwender keine spürbaren Auswirkungen hat und dass keine Installationen an Benutzer- oder Zielsystemen notwendig sind.

So funktioniert das eperi-Gateway

So fungiert das eperi-Gateway als Proxy

Ein Proxy-Server ist ganz allgemein gesprochen ein Vermittler, der die Netzwerkkommunikation zwischen zwei Endpunkten übernimmt und dabei unterschiedliche Aufgaben übernimmt. Im Falle des eperi-Gateway ist dies beispielsweise das Verschlüsseln und Entschlüsseln der Daten, die zwischen den Endpunkten ausgetauscht werden sollen.

Das eperi-Gateway fungiert im Wesentlichen als Forward- und Reverse-Proxy. Im Foward-Fall nimmt der Anwender aus seinem Netzwerk zuerst Kontakt mit dem eperi-Gateway auf, übergibt diesem seine Daten, die es verschlüsselt, und anschließend an die zugehörige Cloud-Anwendung übergibt.

In entgegengesetzter, also Reverse-Richtung, nimmt das eperi-Gateway als Proxy stellvertretend den Datenstrom entgegen, der von einer Cloud-Anwendung zurückkommt und entschlüsselt die darin verschlüsselten Daten, bevor diese an die Anwender in Klartext weitergeleitet werden.

Darüber hinaus kann das eperi-Gateway über verschiedene API-Schnittstellen in bestehende Anwendungen eingebunden werden. Das ist beispielsweise dann erforderlich, wenn die Ver- und Entschlüsselung lediglich vor- oder nachgeschaltet zum Einsatz kommt oder proprietäre Protokolle unterstützt werden müssen.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Cyber-Security

Data Residency: eperi-Techniken helfen bei der Umsetzung

Am 1. Juni 2017 hat die Regierung der Volksrepublik China das sogenannte Cybersecurity-Gesetz (CSG) aktiviert, das immer noch viele Datenschutzbeauftragte verunsichert.  Für ein besseres Verständnis, wie sich die darin verankerten Regelungen auf in China operierenden Firmen auswirken können, habe ich es mir ein wenig genauer angesehen.

Das CSG wurde vor allem wegen möglichst hoher Datenschutz-Sicherheitsstandard  verabschiedet. Und es geht ein gutes Stück weiter als die Datenschutzgrundverordnung. Denn im Gegensatz zur DSGVO, die das Verarbeiten von Daten auch außerhalb des europäischen Hoheitsgebietes vorsieht, schreibt das Cybersecurity-Gesetz eindeutig vor, dass die in China erhobenen und verarbeiteten Daten um jeden Preis in der Volksrepublik bleiben müssen.

An das Cybersecurity-Gesetz sollte man sich penibel halten!

Mit dem CSG sollen Hackerangriffe und Cyber-Terrorismus bekämpft und unterbunden werden. Daher sieht das Gesetz bei Verstößen drakonischen Strafen wie den Entzug der sogenannten Bei’an-Lizenz vor, was faktisch einem unternehmerischen Aus in China gleichkommt, da ohne diese Lizenz in der Volksrepublik keinerlei Geschäftsaktivitäten möglich sind.

Daraus ergeben zahlreiche Fragen wie zum Beispiel: Wer ist vom CSG tatsächlich betroffen? Auch an dieser Stelle hilft eine Blick in den Gesetzestext: Das Gesetz kommt für alle Firmen zur Anwendung, die im elektronischen Geschäftsverkehr in China aktiv sind. Die Rede ist also von Onlineshop-Betreibern und Anbietern von Netzwerk- und Critical Information-Infrastrukturen. Das sind zum Beispiel das Rechenzentrum einer Bank, eine medizinische Einrichtung, etc. Es geht also stets um sensible und unternehmenskritische Daten und deren Erfassung, Verarbeitung und Speicherung. 

Cloud-Services in China unterliegen höchsten Anforderungen

Ein weitere Rolle in diesem Szenario spielt die große Entfernung Chinas zu Europa und den damit verbundenen hohen Latenzzeiten. Außerdem sorgt die „Große Firewall“ der chinesischen Regierung oft dafür, dass Daten die Volksrepublik gar nicht verlassen oder erreichen können. In beiden Fällen behelfen sich viele Firmen mit „gespiegelten“ Inhalten, die sich innerhalb der chinesischen Grenzen befinden. Oft handelt es sich dabei um cloud-basierte Datenserver, die akzeptable Ladezeiten und das Umgehen der chinesischen Firewall ermöglichen.

Und genau daraus ergibt sich ein nicht zu unterschätzendes Dilemma: Wie kombiniert man in geeigneter Art und Weise die technischen und datenschutzrelevanten Herausforderungen, die sich aus dem CSG ergeben? 

Das „Schweizer Bundesgesetz über den Datenschutz“ im CSG-Kontext

Neben der Volksrepublik China verschärft auch die Schweiz seinen Datenschutz in erheblichem Maße. So wird gerade das „Bundesgesetz über den Datenschutz“ (DSG) an die aktuellen Veränderungen angepasst. Dies ist unter anderem der europäischen Datenschutzgrundverordnung geschuldet, an welche die Schweiz ja nicht gebunden ist. So wird der Schweizer Gesetzgeber das DSG an die DSGVO anpassen, ohne die speziellen Anforderungen der Schweiz zu vernachlässigen. Namentlich sind das die Forderungen nach einem Datenschutzverantwortlichen mit Hauptsitz in der Schweiz und eine bevorzugte Datenerhebung und -verarbeitung in der Schweiz.

Verschlüsseln von Cloud-Daten = CSG- und DSG-konform

Will man also als Unternehmer sicher stellen, die Daten CSG- und DSG-konform zu verarbeiten und zu speichern, kommt man um das Verschlüsseln seiner Cloud-Daten nicht herum. Denn die VR China und die Schweiz fordern einen sachgemäßen Umgang mit personenbezogenen und unternehmenskritischen Daten, die sich vor allem auf Cloud-Infrastrukturen befinden.

Damit ist eine Verschlüsselung vonnöten, die Cloud-Daten auf spezielle Art und Weise unleserlich macht. Dazu gehört ein Verschlüsselungsverfahren, das die Daten VOR dem Speichern auf dem Cloud-Server bestmöglich verschlüsselt. Und das außerdem sicherstellt, dass ausschließlich der Eigentümer der Daten über die notwendigen Schlüssel verfügt, da nur er dann Zugriff auf personenbezogene oder geschäftskritische Daten hat.

Cyber-Security 2

Das eperi Gateway erfüllt Data Residency-Auflagen

Damit sollte man als Sicherheitsbeauftragter auf ein Verschlüsselungsverfahren setzen, das die Daten verschlüsselt, bevor sie auf dem Cloud-Server landen. Und das obendrein sicherstellt, dass die originären Daten die IT-Landschaft nicht verlassen, um geltendes Recht einzuhalten, wie es das Cybersecurity-Gesetz der chinesischen Regierung vorsieht.

Das eperi Gateway und die damit in Verbindungen stehenden eperi Cloud Data Protection Lösungen stellen genau diese Forderungen sicher. Damit lassen sich Data Residency-Anforderungen  erfüllen, da sensible Daten verschlüsselt werden, sodass diese nachweislich innerhalb eines vorgesehenen Rechtsraumes verbleiben und nur als verschlüsselte, unlesbare Daten diesen Raum verlassen.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Funktionsweise des eperi Gateway

DSGVO mithilfe von eperi-Tools effektiv umsetzen

Stellen Sie sich vor, Sie haben Ihre IT-Infrastruktur in eine Cloud-Umgebung transferiert. Weil Sie einfach keine teuren Rechenmaschinen mehr kaufen und verwalten wollten, weil der Zugriff auf Anwendungen und Daten seitens externer Mitarbeiter und Geschäftspartner einfacher werden sollte, und vielem mehr.

Spätestens an dieser Stelle könnte Ihnen auffallen, dass es trotz der vielen schönen Vorzüge von Cloud-basierten IT-Infrastrukturen eine erhebliche Schwachstelle gibt: die Datensicherheit. Damit ist vor allem die Datensicherheit und der Datenschutz im Sinne der DSGVO gemeint, die am 25. Mai 2018 endgültig in Kraft tritt. Ab diesem Tag wird auf die elektronische Datenverarbeitung personenbezogener Daten ganz besondere Herausforderungen zukommen. Dazu zählt unter anderem die sogenannte Datenschutz-Folgenabschätzung sowie weitere Prüf- und Dokumentationspflichten. Das ist vor allem dann der Fall, wenn Unternehmen Auftragsdatenverarbeiter und Cloud-Dienste in Anspruch nehmen.

Das hat auch damit zu tun, dass die DSGVO eine explizite Datenverarbeitung personenbezogener Daten auch außerhalb der EU vorsieht, unabhängig davon, ob der Auftragsverarbeiter (also ein Cloud Service Provider zum Beispiel) innerhalb oder außerhalb der EU sitzt. Daraus lassen sich diverse Konsequenzen ableiten: So können Cloud-Anbieter beispielsweise selbst zu Datenverantwortlichen werden, wenn sie den Zweck der Datenverarbeitung selbstständig bestimmen.

Liegt die Datenverantwortung beim Unternehmen oder Cloud-Provider?

Laut DSGVO wird künftig nicht mehr der Auftraggeber der externen Datenverarbeitung allein bei möglichen Verstößen haftbar gemacht, sondern auch der externe Auftragsverarbeiter, da Datenverarbeiter und Auftragsverarbeiter künftig gemeinsam haften.

DSGVO = besondere Pflichten für Datenverantwortliche

Ab 25. Mai 2018 müssen die Datenschutzverantwortlichen der Unternehmen sicherstellen und nachweisen können, dass die Verarbeitung von personenbezogenen Daten jederzeit im besten Sinne der DSGVO erfolgt. Dazu gehören diverse Prinzipien wie Pseudonymisierung und Verschlüsselung von Daten, die Datenminimierung, die Einhaltung des Verarbeitungszwecks, etc. Daraus ergibt sich unter anderem, welche Daten in welchem Umfang und wie lange verarbeitet und gespeichert werden dürfen.

DSGVO = großer Aufwand für größere Unternehmen

Gerade in größeren Unternehmen werden teils äußerst sensible Daten verarbeitete und gespeichert. Ob das Personaldaten sind oder die E-Mail-Adresse und Anschrift eines Kunden – über all diese Daten muss akribisch Buch im Sinne der DSGVO geführt werden. Dieser Aufwand verschärft sich zusätzlich, wenn personenbezogen Daten innerhalb einer Cloud-Umgebung gespeichert und verarbeitet werden.

Um dieses große Dilemma elegant zu umgehen, sollten sensible Daten am besten vor der Speicherung beim Cloud-Anbieter verschlüsselt werden. Denn damit werden sie automatisch pseudonymisiert, so wie es die DSGVO explizit fordert. Damit sind Datenschutzrechtsverletzung auf Seiten des Cloud-Anbieters gar nicht möglich, was sich auf die Umsetzung der DSGVO enorm positiv auswirkt.

Mit eperi Cloud Data Protection (CDP) entspannt ins DSGVO-Zeitalter

Damit wären wir beim eigentlichen Kern dieses Beitrags. Denn mithilfe des eperi-Gateways lassen sich die Forderungen der DSGVO zum Schutz personenbezogener Daten relativ unaufwendig umsetzen. So können Unternehmen auf Basis der eperi-Lösung ihre Datenschutz-Prozesse kontrollieren. Damit garantieren sie auch, die DSGVO-Vorgaben peinlich genau einzuhalten, wenn Cloud-Services im Unternehmen genutzt werden. Damit reduzieren sich der Prüfaufwand und die damit verbundene Nachweispflicht auf die Vorkehrungen und Datenschutzmaßnahmen, die im eigenen Unternehmen umgesetzt werden müssen.

Funktionsweise des eperi Gateway

„Erst verschlüsseln, dann speichern“ – so lautet die eperi-Devise

Die eperi-Devise in Sachen DSGVO-konforme Cloud-Daten lautet: „Erst verschlüsseln, dann speichern!“. Damit lassen sich nämlich sämtliche sensible Daten für Unbefugte unleserlich machen, bevor personenbezogene Daten überhaupt in der Cloud landen. Folge: Die Unternehmen behalten die volle Kontrolle über ihre personenbezogene Daten und erfüllen damit die strengen Auflagen in Sachen Datenschutz-Konformität „on the fly“.

Doch dieser eperi-Ansatz bietet einen weiteren Vorzug: Dank der transparenten Verschlüsselung der Cloud-Daten können sehr elegant zahlreiche Risiken „ad acta“ gelegt werden, die bei der Auswahl des geeigneten Cloud-Konzepts respektive des dazu passenden Cloud Service Providers entstehen können. Denn wer kann schon genau sagen, ob der infrage kommende Cloud-Anbieter die strengen Auflagen der DSGVO so ernst nimmt, wie er das eigentlich tun sollte.

Office 365, Salesforce & Co: eperi Gateway als zentraler Kontrollpunkt

Mithilfe des eperi Gateway für Cloud-Anwendungen wie Office 365 oder Salesforce stellen Unternehmen ebenfalls sicher, dass besonders sensible personenbezogene Daten jederzeit und vollumfänglich vor fremden Zugriffen geschützt sind. Denn weder der Cloud-Provider noch ein externer Auftragsverarbeiter erhält Zugriff auf die Daten, da die Schlüssel im alleinigen Besitz des Cloud-Anwenders, also des Unternehmens bleiben. Damit wird ein zentraler Kontrollpunkt für das Datenschutz- und Verschlüsselungsmanagement festgelegt, das dem Datenverantwortlichen die alleinige Kontrolle über die Verschlüsselungs- und Tokenisierungsprozesse garantiert.

eperi Cloud Data Protection bedeutet darüber hinaus, dass sich die Verschlüsselung der Daten in keiner Weise auf die Cloud-Plattform und deren Techniken auswirkt und darüber hinaus alle wichtigen Anwendungsfunktionalitäten bei komfortabler Bedienerfreundlichkeit erhalten werden.

Fazit: eperi sorgt für DSGVO-konforme Cloud-Daten

Zusammenfassend kann man also sagen: Unternehmen, die sich für eine Verschlüsselung auf Basis der eperi Cloud Data Protection-Lösung entscheiden, gehen einen großen Schritt in Sachen DSGVO-Konformität. Denn ihr Datenschutz wird ohne größeren Aufwand auf einen Level gehievt, um den sie so mancher Datenschutzbeauftragte beneidet.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Yasser Eissa, IBM, über IBM-Cloud, Datenschutz und DSGVO

[Videochat] Yasser Eissa über IBM-Cloud, DSGVO und Datensicherheit

Ich durfte wieder einmal in den heiligen Hallen des von mir hoch geschätzten IBM Watson IoT Tower sein. Gefolgt bin ich dabei dem Ruf der Presseabteilung von IBM München, die eingeladen hatte zu einem Pressegespräch. Thema desselben: „Sicher und flexibel – die IBM-Cloud ist fit für 2018“.

Anwesend waren neben einigen Kollegen von der Presse Yasser Eissa von IBM und Patrick Palacin vom Startup-Unternehmen TeleClinic auf München. Mit beiden durfte ich im Anschluss an die sehr lebendige Diskussionsrunde ein Videointerview führen, das mir die Gelegenheit bot, jeweils drei Fragen zu stellen.

httpss://twitter.com/mhuelskoetter/status/956104942611202049

Das Gespräch mit Yasser Eissa war geprägt vom Thema „Sicherheit & Cloud“. Genauer gesagt drehte sich unser Videochat um die Fragen, …

… was der EU Cloud Code of Conduct für Europa bedeutet- und damit auch für IBM

Da gerade in Europa das Thema Datenschutz und Datensicherheit personenbezogener Daten von enormer Wichtigkeit ist, hat es sich die IBM nicht nehmen lassen, den EU Cloud Code of Conduct (EU-CCoC) über einen Zeitraum von etwa vier Jahren aktiv mitzugestalten. Seit Februar 2017 ist diese vornehmlich für Cloud Service Provider gültige Vereinbarung in Kraft getreten. Sie regelt vor allem, wie Datensicherheit und Datenschutz innerhalb der Cloud-Umgebung des jeweiligen Anbieters sichergestellt werden soll – speziell im Hinblick auf die ab 25. Mai 2018 geltenden DSGVO.

Da mit dem EU-CCoC eine Zertifizierung einher geht (die IBM bereits vorweisen kann), können Cloud-Kunden künftig sicherstellen, dass der von ihnen infrage kommende bzw. gewählte Anbieter sämtliche Maßnahmen ergreift, die die notwendigen Sicherheitsstandards im Sinne der EU-Richtlinien gewährleisten kann.

… wie IBM die Cloud-Daten ihrer Kunden vor Zugriffen von außen schützt

Hierbei stellte Herr Eissa erst einmal klar: Die Daten der IBM-Kunden gehören den Kunden selbst, und sonst niemandem! Darüber hinaus gewährleistet IBM, dass die Daten ihrer Kunden IBM Cloud-Rechenzentren in Europa ohne deren Zustimmung nicht verlassen. Zudem hat IBM im Dezember 2017 angekündigt, dass auf das IBM Cloud-Rechenzentren in Frankfurt künftig von außerhalb der EU nicht mehr zugegriffen werden kann. Damit ist der Datenzugriff auf IBM-Mitarbeiter beschränkt, die Daten sind außerdem komplett verschlüsselt.

… wie IBM seine Kunden bei der Umsetzung der zahlreichen DSGVO-Aufgaben unterstützt

Selbstverständlich wird die IBM-Cloud „DSGVO-ready“ sein – alleine schon wegen der Zertifizierung gemäß des EU Cloud Code of Conduct. Darüber hinaus können sich IBM-Kunden in Sachen DSGVO von IBM und den zuständigen Beratungsteams komplett unterstützen lassen. Aber auch erweiternde Sicherheitsmaßnahmen können mithilfe von IBM beim Kunden implementiert und installiert werden. Und diese Angebote werden laut Herrn Eissa bereits von zahlreichen Kunden in Anspruch genommen.

Die Antworten dieser drei Fragen befinden sich auch im nachfolgenden Video. Na dann: Film ab!

CAST Analysetool Enlighten

DSGVO: Software-Hersteller sollten wissen, wie ihre Applikationen mit Daten umgehen

Ende Mai 2018 beginnt in Sachen Datenschutz eine neue Zeitrechnung. Dann tritt die europaweite, einheitliche Regelung namens DSGVO endgültig in Kraft. Diese bestimmt sehr genau, wie personenbezogene Daten verarbeitet, gespeichert und gelöscht werden müssen. Damit kommen auch auf die Anbieter von Anwendungssoftware zahlreiche Aufgaben zu, die sie bis spätestens 25. Mai 2018 erledigt haben müssen. Doch welche Regelungen umfasst die DSGVO eigentlich, wenn es um den Schutz personenbezogener Daten geht? Nun, in diesem Kontext werden fünf wesentliche Aspekte genannt:

  1. Datenübertragung
  2. Datenlöschung
  3. Meldepflicht
  4. angepasster Datenschutz
  5. technik-bezogener Datenschutz

Diese fünf DSGVO-Prinzipien haben für Anbieter von Software-Anwendungen weitreichende Konsequenzen, die sie bei der Bewertung ihrer Applikationen unbedingt berücksichtigen müssen.

So bedeutet Prinzip #1 („Datenübertragung“), dass personenbezogene Daten sehr einfach und komfortabel von einem Anbieter auf einen anderen übertragen werden können. Dies hat zur Folge, dass stets klar sein muss, an welchen Stellen eine Applikation Daten speichert und wie man diese mit einfachen Methoden zusammenfassen und speichern kann.

Software-Bewertung: An welchen Stellen werden Daten gespeichert? Wie lassen sich Daten transferieren? Wie lassen sich mehrere Datensätze eines Anwenders zu einem einzigen Datensatz zusammenfassen?  

Prinzip #2 („Datenlöschung“) wiederum besagt, dass Anwender jederzeit das Löschen ihrer Daten verlangen können, sobald die Legitimierung für das Speichern ihrer Daten entfällt. Daraus ergibt sich die Konsequenz, dass sämtliche Daten eines bestimmten Nutzers innerhalb der Anwendung gelöscht werden müssen. Das betrifft alle zentral und dezentral gespeicherte Daten.

Software-Bewertung: An welchen Stellen werden Daten gespeichert? Wie lassen sich diese rückstandsfrei löschen? Wie kann das am besten mit wenigen Handgriffen geschehen?

Das dritte Prinzip („Meldepflicht“) hat weitreichende Folgen für sämtliche Unternehmen, die in den Geltungsbereich der DSGVO fallen (und das sind so ziemlich alle). Es besagt nämlich, dass eine Firma, die Opfer eines Hackerangriffs wurde, (in dessen Zuge personengezogene Daten entwendet wurden) diesen Datenklau sofort der nationalen Aufsichtsbehörde melden müssen.

Software-Bewertung: Wie lässt sich feststellen, ob Daten abhanden gekommen sind? Welche Daten sind besonders schützenswürdig? Wie anfällig ist die Software-Applikation gegenüber möglichen Hackerangriffen? An welchen Stellen der Anwendung ist das Risiko eines Datenklaus besonders hoch?

Prinzip Nummer 4 („angepasster Datenschutz“) besagt, dass Datenschutz nicht mehr generell betrachtet werden kann, sondern den jeweiligen Risiken angepasst werden muss, denen ein Unternehmen ausgesetzt ist. Das soll sicherstellen, dass Firmen beispielsweise eine Risikobewertung ihrer gesamten IT-Infrastruktur vornehmen, um klarzustellen, dass ihnen diese Risiken bewusst sind und wie sie diese zu minimieren bzw. auszuschließen gedenken.

Software-Bewertung: Wie sicher sind die Daten innerhalb einer Anwendung? Wie hoch ist das Risiko eines Datenstörfalls? Wie lassen sich vorhandene Risiken reduzieren? An welchen Schnittstellen bestehen besondere Risiken?

Das Prinzip #5 („technik-bezogener Datenschutz“) schließlich wendet sich direkt an Software-Anbieter und -Hersteller, indem es die Einhaltung bestimmter Grundsätze fordert. So sollen Anwendungsprogramme künftig personenbezogene Daten bestmöglich schützen und diese von Anfang an nur dann verarbeiten bzw. speichern, wenn sich das überhaupt nicht vermeiden lässt. Diese zwei Ansätze sind unter den Begriffen „Privacy by Design“ und „Privacy by Default“ bekannt.

Software-Bewertung: Wie lässt sich sicherstellen, dass Software von Anfang den hohen Datenschutzanforderungen der DSGVO entspricht? Welche default-mäßigen Einstellungen sorgen für einen bestmöglichen Datenschutz? 

CAST-Analysesoftware hilft beim Bewerten der eigenen Anwendungssoftware

Bei der Beantwortung all dieser und weiterer Fragen rund um die DSGVO helfen die Analysetools von CAST, indem die Anwendungssoftware einmal vollständig auf Schwachstellen und mögliche Risiken untersucht wird. Anhand dieser Bewertung kann der Anbieter seiner Anwendungssoftware einen exakten Maßnahmenkatalog erstellen, wie er die identifizieren Sollbruchstellen eliminieren kann. Denn nur dann können Software-Hersteller sicher sein, dass ihre Produkte den Anforderungen der DSGVO entsprechen.

So lässt sich beispielsweise mithilfe des Analysetools CAST Enlighten identifizieren, wo und wie Daten verarbeitet werden. Und das mittels einer durchgängigen Visualisierung aller Transaktionen einer Anwendungen. Aber auch das Anlegen eines Registers bzw. einer Matrix aller schützenswerter Daten ist mit den CAST mühelos möglich.

CAST Analysetool Enlighten

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

 

DSGVO-Studie: Lehrreiches IDC-Event zum Thema Datenschutz

Eigentlich wollte ich Freitag Morgen mit dem werten Karl Fröhlich von speicherguide.de via Skype ein Treffen vereinbaren. Am Ende des kurzen Chats stand die Einsicht, dass ich mich spontan ins Münchner Hotel „Le Meridien“ begeben sollte. Dort fand nämlich eine IDC-Veranstaltung zum Thema EU-DSGVO statt. Ein sehr spannendes Thema, in dessen Kontext IDC eine aktuelle Studie vorstellen wollte.

httpss://twitter.com/mhuelskoetter/status/918752209373925376

Und ich habe es nicht bereut, alleine schon wegen des sehr informativen und interaktiven Charakters der Veranstaltung. So wurden zunächst die Ergebnisse der Auguststudie von IDC zum Thema EU-DSGVO vorgestellt, anschließend nahmen drei Vertreter namhafter Firmen auf Hockern Platz, um sich den Fragen der IDC-Moderatorin und der anwesenden KollegInnen zu stellen.

Erkenntnis: Viele Firmen sind in Sachen DSGVO deutlich in Verzug

Das Gute an solch einer aktuellen Studie (Erhebungszeitraum: August 2017) ist deren Relevanz, denn man weiß sofort: Wenn im Rahmen der Umfrage 44 Prozent aller Probanden angaben, auf die EU-DSGVO noch nicht vorbereitet zu sein, dann wirft das ein eher erschütterndes Bild auf den aktuellen Status Quo der befragten Firmen. Und das waren genau 251 Unternehmen mit mehr als 20 Mitarbeitern, über alle Branchen hinweg.

httpss://twitter.com/mhuelskoetter/status/918753041150631936

Damit befinden sich 110 Unternehmen rund neun Monate im Verzug, was das Ergreifen der notwendigen Maßnahmen in Sachen Datenschutz betrifft. Dabei wird bereits seit Mai 2016 eine zweijährige Übergangsfrist gewährt, und trotzdem sind gerade einmal 15 Prozent (oder 38 von 251 der befragten Unternehmen) zu 100 Prozent auf die neue Datenschutzgrundverordnung vorbereitet.

Doch was ist für das hundertprozentige Erfüllen aller DSGVO-Kriterien überhaupt erforderlich? Nun, das betrifft vor allem vier Bereiche:

Organisation: Bestellung eines Datenschutzbeauftragten

Prozesse: Benachrichtigung bei Datenschutzverletzungen innerhalb von 72 Stunden

Technik: Berücksichtigung von „Privacy by Design“ und „Privacy by Default“

Recht: Gesonderte Einwilligung pro Verwendungszweck

Sieht man sich dazu die Ergebnisse der Studie an, fallen vor allem folgende Dinge auf:

„Datenschutzbeauftragter?! Damit warten wir noch ein bisschen…“

Gerade einmal 17 Prozent aller befragten Unternehmen beschäftigen (Stand heute) einen externen bzw. internen Datenschutzbeauftragten. Und das, obwohl sie allesamt zu der Bestellung eines Verantwortlichen verpflichtet wären, was sich aus der Größe der Studienteilnehmer ergibt.

httpss://twitter.com/mhuelskoetter/status/918755221865730048

„Stand der Technik?! Nun, wo sollen wir denn da anfangen?!“

Die Vielzahl an technischen Voraussetzungen in Sachen DSGVO ist derart unüberschaubar, dass wohl alleine wegen dieser enormen Komplexität zahlreiche Unternehmen wie das Kaninchen vor der Schlange stehen und mit weit geöffneten Augen starr vor Schreck ob dieser Herausforderungen im Nichtstun verharren.

httpss://twitter.com/mhuelskoetter/status/918760285170749440

„Wie sollen wir all diese notwendigen Maßnahmen umsetzen können?!“

Und sieht man sich die folgende Folie an, bekommt man eine leise Ahnung davon, warum so viele Unternehmen im DSGVO-Zeitplan ein Dreiviertel Jahr und mehr hinterher hinken. So gaben die Befragten an, vor allem hinsichtlich des Umbaus der IT-Systeme, hinsichtlich der Klassifizierung von Daten und bei der Schulung von Mitarbeitern an ihre Grenzen zu stoßen.

httpss://twitter.com/mhuelskoetter/status/918762493253750784

„Verschlüsselung?! Ja, da sind wir gerade dran…“

Doch die Studie offenbart noch weitere Schwächen in der aktuellen Umsetzung vieler Unternehmen in Sachen DSGVO. So sind zahlreiche Firmen beim Thema „Privacy by Design“ und „Privacy by Default“ deutlich hinter dem Zeitplan zurück. Es gaben mehr als 30 Prozent an, ihre Daten erst in den nächsten 12 Monaten DSGVO-konform verschlüsseln zu können, und das sowohl auf Datenbank- als auch auf Speicherebene. Zudem stellt die zweckgebundene Datenverarbeitung viele Unternehmen vor Probleme: Hier sind es fast die Hälfte, die noch keine entsprechenden Maßnahmen ergriffen haben.

Zahlreiche Rückstände in Sachen DSGVO

Exkurs: „Privacy by Design“ und „Privacy by Default“

Zwei Schlagworte, eine Forderung: Im Rahmen des europäischen Datenschutzes, der in der DSGVO geregelt ist, müssen alle betroffenen Firmen dafür sorgen, dass die zum Einsatz kommende Hard- und Software den hohen datenschutzrechtlichen Anforderungen genügt. Das bedeutet konkret, das die Unternehmenstechnik zum einen die Grundsätze der DSGVO vollständig unterstützen muss („by Design“) und zum anderen datenschutzkonforme Grundeinstellungen aufweist („by Default“).

Teil zwei der IDC-Veranstaltung: Fragen und Antworten

Im Anschluss an die Vorstellung der Studie wurden fünf Hocker aufgestellt, auf denen drei Vertreter namhafter Unternehmen Platz nahmen, die allesamt eine Menge zum Thema (Daten)Sicherheit zu sagen haben. Namentlich waren das Hans-Peter Bauer von McAfee, Tommy Grosche von Fortinet und Milad Aslaner von Microsoft. Ergänzt wurde die Runde von Matthias Zacher als IDC-Vertreter und Lynn-Kristin Thorenz, ebenfalls IDC, die für die Moderation zuständig war.

httpss://twitter.com/mhuelskoetter/status/918765799317307392

httpss://twitter.com/mhuelskoetter/status/918773663494737920

CeBIT 2017: Yasser Eissa (IBM) über kognitive Cloud-Services in Frankfurt

Während der CeBIT durfte ich dieses Videointerview mit Yasser Eissa von IBM Deutschland führen. Darin spricht er über die IBM Cloud-Highlights während der IT-Messe in Hannover, über das neue kognitive Angebot im IBM Cloud Center zu Frankfurt und was das alles mit dem deutschen und europäischen Datenschutz zu tun hat.

Ganz im Zentrum des Cloud-Auftritts von IBM stand die Cloud-Plattform IBM Bluemix, mit der sich kognitive Cloud-Anwendungen realisieren lassen. Zu den Bluemix-Partner gehörten bekannte Namen wie VMware, Materna und Bacardi, die gemeinsam Anwendungsbeispiele mit IBM Bluemix auf der CeBIT 2017 demonstrierten.

IBM Bluemix ist im IBM Cloud-Center in Frankfurt verfügbar

Aber auch über eine Neuheit konnte Yasser Eissa berichten: So sind ab sofort aus dem IBM Cloud-Center in Frankfurt am Main heraus IBM Bluemix-basierte Public Cloud-Services verfügbar. Damit folgt IBM zahlreichen Anfragen seitens deutscher Kunden, die sich IBM Bluemix auch auf deutschem Boden gewünscht haben.

Das hat natürlich vor allem mit den strikten Datenschutzregeln zu tun, mit denen vor allem deutsche Unternehmen konfrontiert werden, wenn sie Cloud-Dienste à la IBM Bluemix nutzen wollen. Dazu zählen unter anderem IBM-Kunden aus dem Banken-, Versicherungs- und dem öffentlichen Bereich.

In diesem Zusammenhang wies Yasser auch drauf hin, dass IBM erst kürzlich den EU Cloud Code of Conduct unterzeichnet hat, und das im ersten Schritt für die Bluemix Infrastructure Services. Weitere Dienste sollen folgen. Das ist vor allem für die bevorstehende EU-Datenschutzgrundverordnung ein wichtiger Schritt, die Mai 2018 in Kraft treten wird.