Bring Your Own Key sorgt für einen sorgenfreien Datenschutz
Stakeholder - einschließlich Regierungen - haben zunehmend hohe Erwartungen an die Datensicherheit. Die Beibehaltung der vollen Kontrolle über die Root-Verschlüsselungsschlüssel kann Vertrauen schaffen und gleichzeitig die Einhaltung von Vorschriften erleichtern.
Cloud Computing hat die Art und Weise verändert, wie Unternehmen Geschäfte machen - und wie sie über Sicherheit denken. Die Zeiten, in denen eine IT-Sicherheitsstrategie auf lokalen Servern und Datenbanken aufbaute, sind längst vorbei. Der Übergang zu einer Cloud-basierten Betriebsumgebung und der wachsende strategische Wert von Daten für Unternehmen machen einen datenorientierten Sicherheitsansatz erforderlich.
Für viele Unternehmen ist es jedoch schwierig, das richtige Gleichgewicht zwischen Cloud-basierter Agilität und Datensicherheit zu finden. Dies gilt insbesondere für Unternehmen in stark regulierten Branchen wie Finanzdienstleistungen, Versorgungsunternehmen, Gesundheitswesen und Unternehmen, die sich um die Einhaltung strengerer Datenvorschriften wie der DSGVO bemühen. Schließlich bedeutet die Zusammenarbeit mit einem Cloud Service Provider (CSP) in der Regel, dass Sie diesem Partner Verschlüsselungsdienste zum Schutz der Benutzerdaten anvertrauen. Das bedeutet, egal wie sicher die Cloud-Umgebung ist, eine andere Organisation hält die Verschlüsselungsschlüssel.
Für besonders risikoscheue Unternehmen, die das Vertrauen ihrer Kunden stärken und Compliance-Bedenken ausräumen wollen, ist in den letzten Jahren eine neue Lösung entstanden: Bring your own key (BYOK).
Der grundsätzliche Wert von BYOK ist einfach - es ermöglicht einer Organisation, ihre Daten in der Cloud mit ihrem eigenen Root-Schlüssel zu verschlüsseln. Dann können sie den Zugriff auf die zugrunde liegenden Daten erlauben oder verweigern, indem sie ihren Root-Schlüssel mit einem SaaS-Anbieter teilen (oder widerrufen). Das ist ein einziger Kontrollpunkt für den Datenzugriff.
"Mit BYOK haben Sie wirklich die Kontrolle über alle Daten Ihres Unternehmens", sagt Tammo Buss, Workday Technical Lead bei EWE, einem deutschen Energieversorger, der Energie-, Telekommunikations- und IT-Dienstleistungen anbietet. "Es ist mehr als nur ein Verschlüsselungsdienst - es ist wirklich ein Verschlüsselungsmanagementdienst."
EWE hatte einen ganz bestimmten Grund für die Implementierung von Workday BYOK: die Sicherstellung der GDPR-Compliance. Der Datenschutzbeauftragte und das Legal Team des Unternehmens entschieden, dass EWE die volle Kontrolle über seine eigenen Daten in einer Cloud-Umgebung benötigt. Ein besonderer Vorteil von BYOK in dem stark regulierten Sektor von EWE, so Buss, liegt in der Auditierung von Kundendaten.
Abgesehen von Compliance-Audits liegt der große Vorteil von BYOK in der vollständigen Kontrolle über den Zugriff auf Ihre Daten.
"Es ist großartig, dass wir ein Produkt haben, bei dem alles sehr transparent ist, so dass wir die Sicherheitsprüfung und die Einhaltung der Vorschriften optimieren können", sagte Buss. Im Dezember 2023 hat EWE eine Reihe von Workday-Lösungen in Betrieb genommen, darunter Workday BYOK.
Abgesehen von den Compliance-Audits liegt der große Vorteil von BYOK in der vollständigen Kontrolle über den Zugriff auf Ihre Daten.
Im Allgemeinen kann BYOK auf mehr als eine Weise implementiert werden. Wie ein Unternehmen seine Root-Verschlüsselungsschlüssel verwaltet, hängt nicht nur von seiner Risikobereitschaft und seiner Fähigkeit ab, die Schlüssel im eigenen Haus zu verwalten, sondern auch von dem zugrunde liegenden Schlüsselverwaltungsdienst des CSP.
"Mit BYOK haben Sie wirklich die Kontrolle über alle Daten Ihres Unternehmens. Es ist mehr als nur ein Verschlüsselungsdienst - es ist wirklich ein Verschlüsselungsmanagementdienst."
Tammo Buss
Workday Technical Lead, EWE
Ein Beispiel: Ein CSP kann einen Root-Verschlüsselungsschlüssel verwenden, der außerhalb seines Systems erzeugt wurde, aber der Kunde muss die Schlüssel auf die Server des CSP hochladen. Dieser Ansatz könnte es einem CSP ermöglichen, einige Aufgaben der Verschlüsselungsverwaltung, wie z. B. die Rotation des Root-Schlüssels, im Namen des Kunden zu übernehmen und damit die Kontrolle über die Root-Verschlüsselung wieder an den Service Provider und nicht an den Kunden abzugeben.
EWE war jedoch in der Lage, die vollständige Kontrolle über alle Aspekte des Root-Verschlüsselungsschlüssels zu behalten, da Workday BYOK es dem Kunden ermöglicht, diesen Schlüssel außerhalb von Workday vollständig zu besitzen und zu verwalten. EWE richtete einen vom Kunden verwalteten Schlüsselverwaltungsdienst in AWS ein, mit dem das Workday-Konto von EWE dann verbunden wurde.
"Durch diesen kundenverwalteten Schlüsselansatz waren wir in der Lage, alle unsere Workday-Daten und alle unsere Mandanten mit unserem eigenen Schlüssel zu verschlüsseln und die volle Kontrolle darüber zu haben", so Buss.
AWS hat zertifiziert, dass es zu keinem Zeitpunkt auf einen vom Kunden generierten Schlüssel zugreifen kann, weder in seinem Schlüsselverwaltungssystem noch in einem hybriden Sicherheitsmodul - dem kryptografischen Verarbeitungssystem, das digitale Schlüssel schützt. Das ist wichtig für den Nachweis der Konformität bei SOC-Audits (System and Organisation Control), betonte Buss. "Unser Rechtsbeistand war sehr zufrieden mit der bereitgestellten Dokumentation.
Workday BYOK kann einen klaren Mehrwert in Bezug auf die Datensicherheit und die Einhaltung von Vorschriften bieten. Unternehmen, die die Einführung von BYOK in Erwägung ziehen, sollten jedoch sorgfältig über mögliche Herausforderungen nachdenken.
Am offensichtlichsten ist, dass BYOK eine größere Verantwortung mit sich bringt, die mit zusätzlichen Kosten verbunden sein kann. Das interne IT-Team des Unternehmens muss möglicherweise die Verwaltung eines AWS-Kontos übernehmen, und wenn ein externer Partner auf den Root-Schlüssel zugreifen muss, müsste das Team diesen Prozess übernehmen. Ein IT-Anbieter könnte einige BYOK-Aufgaben übernehmen, aber eine solche Delegation steht im Widerspruch zum Hauptzweck von BYOK.
Und wenn das Unternehmen den Hauptschlüssel verliert? Das ist ein echtes Problem.
"Es gibt keine Hintertür", sagt Gautam Roy, Principal Product Manager bei Workday, der das Workday-Konto von EWE betreut hat. "Wenn der Kunde den Zugriff auf den Stammschlüssel widerruft, verliert Workday den Zugriff auf die Daten. Das ist die ganze Prämisse von BYOK. Wir machen keine Schlüsselbackups. Wir brauchen Echtzeit-Zugriff über die Root-Schlüssel, um auf die Daten zugreifen zu können."
"Die Kosten für die Implementierung und Wartung waren aus unserer Sicht recht gering. Es ist einfach zu benutzen und zu warten, und wir haben die Datensicherheitsrisiken deutlich reduziert."
Tammo Buss
Workday Technical Lead, EWE
Für EWE hat sich die zusätzliche Arbeit und Verantwortung im Zusammenhang mit BYOK gelohnt. Das Unternehmen hat sich dafür entschieden, das Risiko der Einhaltung der GDPR durch eine technische Lösung zu beseitigen, anstatt es nur durch eine vertragliche Vereinbarung zum Datenschutz zu reduzieren. Alle europäischen Unternehmen, insbesondere diejenigen in stark regulierten Branchen, müssen sich sorgfältig mit den Risiken des Datenschutzes auseinandersetzen, so Buss, wobei sie sich darüber im Klaren sein müssen, dass sich die rechtlichen Rahmenbedingungen ständig weiterentwickeln werden. Angesichts der neuen KI-Vorschriften der EU sollten sich Unternehmen darauf vorbereiten, in Sachen Datensicherheit agil zu sein.
Und Workday BYOK kann in dieser Hinsicht helfen. "Wir sind froh, BYOK im Einsatz zu haben, denn wenn sich die Compliance-Anforderungen ändern, wissen wir, dass wir die technische Kontrolle über unsere Daten haben", so Buss. Das sollte die Notwendigkeit reduzieren, Rechtsteams zusammenzubringen, um Datenschutzvereinbarungen mit neuen Vertragsbestandteilen zu aktualisieren, betonte er.
BYOK verursacht zwar Kosten, kann aber die Kosten für künftige Aktivitäten im Zusammenhang mit der Einhaltung von Vorschriften senken und gleichzeitig dazu beitragen, teure Datenschutzverletzungen zu verhindern.
"Die Kosten für die Implementierung und Wartung waren aus unserer Sicht recht gering", sagte Buss. "Es ist einfach zu benutzen und zu pflegen, und wir haben die Risiken für die Datensicherheit erheblich reduziert.
"Die Kosten für die Implementierung und Wartung waren aus unserer Sicht recht gering. Es ist einfach zu benutzen und zu warten, und wir haben die Datensicherheitsrisiken deutlich reduziert."
Tammo Buss
Workday Technical Lead, EWE
Für EWE hat sich die zusätzliche Arbeit und Verantwortung im Zusammenhang mit BYOK gelohnt. Das Unternehmen musste das Risiko der Einhaltung der GDPR durch eine technische Lösung beseitigen, anstatt es nur durch eine vertragliche Vereinbarung zum Datenschutz zu verringern. Alle europäischen Unternehmen, insbesondere diejenigen in stark regulierten Branchen, müssen sich sorgfältig mit den Datenschutzrisiken auseinandersetzen, so Buss, und dabei im Hinterkopf behalten, dass sich die rechtlichen Rahmenbedingungen ständig weiterentwickeln werden. Angesichts der neuen EU-Verordnung über künstliche Intelligenz sollten sich Unternehmen darauf vorbereiten, bei der Datensicherheit flexibel zu sein.
Und BYOK kann dabei helfen. "Wir sind froh, BYOK im Einsatz zu haben, denn wenn sich die Compliance-Anforderungen ändern, wissen wir, dass wir die technische Kontrolle über unsere Daten haben", so Buss. Das sollte die Notwendigkeit reduzieren, Rechtsteams zusammenzubringen, um Datenschutzvereinbarungen mit neuen Vertragsbestandteilen zu aktualisieren, betonte er.
BYOK verursacht zwar Kosten, kann aber die Kosten für künftige Compliance-Aktivitäten senken und gleichzeitig dazu beitragen, teure Datenschutzverletzungen zu verhindern.
"Die Kosten für die Implementierung und Wartung waren aus unserer Sicht recht gering", sagte Buss. "Es ist einfach zu benutzen und zu pflegen, und wir haben die Risiken für die Datensicherheit erheblich reduziert.
Weiteres Lesematerial
Die Gleichung des Vertrauens: Verantwortungsvolle KI
Diese Ausgabe befasst sich mit der Bedeutung von Vertrauen bei der Implementierung von KI und beinhaltet Einblicke von IT-Führungskräften in EMEA, Expertenanalysen zu Herausforderungen im Bereich Vertrauen und Strategien für einen verantwortungsvollen KI-Einsatz. Erfahren Sie, wie Sie die Vertrauenslücke schließen und eine erfolgreiche digitale Transformation sicherstellen können.
Im Zeitalter der KI müssen Leader Vertrauen aufbauen... aber wie?
Angesichts der großen Ungewissheit in Bezug auf KI, Sicherheit und Governance bewegen sich Teams in einem Meer von Veränderungen. Aber eines ist sicher: Vertrauen war noch nie so wichtig wie heute.
von Martin Veitch, Branchenkommentator
Podcast: KI-(R)evolution – Jenseits des Hypes zur nachhaltigen Wertschöpfung
In unserer neuesten Folge des Workday Podcast DACH sprechen wir über die transformative Kraft der Künstlichen Intelligenz (KI) in der Unternehmenswelt.