So funktioniert Mandantentrennung in der Cloud

Bei Public Cloud Computing teilt man sich IT-Infrastrukturen mit anderen Unternehmen. Das müssen Verantwortliche bei den Maßnahmen für den Datenschutz berücksichtigen.

Nicht nur bösartige Beschäftigte beim Cloud-Provider könnten versuchen, an die personenbezogenen Daten oder an Geschäftsgeheimnisse in der Public Cloud zu gelangen.

Auch Nutzer der Cloud, die bei anderen Unternehmen beschäftigt sind, könnten Interesse an den Daten haben, von externen Angreifern und Innentätern aus den eigenen Reihen des Unternehmens einmal ganz abgesehen.

BSI-Mindeststandard zur Mitnutzung einer Cloud

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Juli 2018 einen Mindeststandard zur Mitnutzung externer Cloud-Dienste in der Bundesverwaltung veröffentlicht, der auch für Unternehmen von Interesse ist.

Unter Mitnutzung versteht das BSI hierbei, dass IT-Anwender in Projekten oder Arbeitsgruppen auf externe Clouds zugreifen, die z.B. Partnerorganisationen betreiben oder von ihnen eingekauft werden.

Es besteht dann im Gegensatz zur direkten Nutzung externer Cloud-Dienste kein Vertragsverhältnis zum Diensteanbieter, sondern die Cloud wird mitgenutzt.

Zu finden sind die beiden Mindeststandards des BSI, die auch Unternehmen Anregungen geben, hier:

• http://ogy.de/bsi-externe-dienste
• http://ogy.de/bsi-mitnutzung-externe-dienste

Von den Aufsichtsbehörden für den Datenschutz gibt es zudem eine Orientierungshilfe Mandantenfähigkeit aus dem Jahr 2012, zu finden unter http://ogy.de/oh-mandantenfaehigkeit.

Mandantentrennung ist entscheidend

Immer dann, wenn…