Data Residency: Warum der Standort von Daten so wichtig ist

Von   Julian Trotzek-Hallhuber   |  Principal Solutions Architect   |  Veracode
19. Oktober 2021

Seit dem letzten Jahr ist die Speicherung und Verarbeitung personenbezogener Daten von EU-Bürgern in den USA nicht mehr möglich. Viele Unternehmen müssen daher zunehmend hinterfragen, wo sich diese Prozesse bei ihnen derzeit abspielen, und ob sie ihre Data-Residency-Strategie an gesetzliche Vorgaben anpassen müssen. Dies gilt auch für den Bereich der Anwendungssicherheit, sobald diese auf Cloud-native Lösungen für Application Security Testing angewiesen sind. Julian Totzek-Hallhuber, Principal Solution Architect bei Veracode, erklärt, inwieweit AppSec-Tests von der Data Residency abhängig sind.
Die Speicherung und Verarbeitung personenbezogener Daten von EU-Bürgen in den Vereinigten Staaten gilt aus datenschutzrechtlicher Sicht nicht mehr als sicher – so befand der Europäische Gerichtshof im letzten Jahr. Seit der Einführung der DSGVO vor mehr als drei Jahren war das „Schrems II“-Urteil von 2020 ein wichtiger Schritt in Sachen Datensicherheit, denn es verlieh der Frage nach der Data Residency erneut mehr Nachdruck.

Unter Data Residency versteht man den Standort, an dem Daten gesammelt, gespeichert und verarbeitet werden. Die Europäische Kommission entschied, dass private Daten von EU-Bürgern innerhalb der Grenzen der Europäischen Union verbleiben und nicht mehr über den Atlantik reisen sollten, um in den USA gespeichert zu werden. Dies betrifft im Besonderen Unternehmen aus streng regulierten Branchen wie dem Gesundheitswesen, Verwaltungen und Behörden und dem Finanzsektor.

Der Aufbewahrungsort von Daten spielt eine zentrale Rolle

„Schrems II“ hatte globale Konsequenzen: Internationale Unternehmen, die sich nicht innerhalb der EU-Grenzen befinden, jedoch mit Kundschaft aus der EU arbeiten, sind gezwungen, die Daten auf entsprechenden Servern zu verarbeiten und zu speichern, welche sich innerhalb der EU-Grenzen oder in Ländern mit einem angemessenen Datenschutzniveau befinden. Dazu zählen unter anderem zum Beispiel Online-Handelsplattformen. EU-Unternehmen müssen die gleichen Anforderungen erfüllen, wenn sie die Daten ins Ausland transferieren. Gleichzeitig regeln diese datenschutzrechtlichen Vorgaben den Zugriff auf Daten, die sich innerhalb der EU befinden, von internationalen Standorten aus. Plant ein EU-Unternehmen nun zum Beispiel, seinen Kundenservice auf internationalem Boden auszulagern, muss das ausgewählte Land dem vorgeschriebenen Datenschutzniveau entsprechen. Ist dies nicht gegeben, darf der Standort keinen Zugriff auf personenbezogene EU-Daten erhalten.

Doch nicht nur streng regulierte Branchen und der E-Commerce sind von diesen datenschutzrechtlichen Vorgaben betroffen, sondern auch Softwareentwickler und die personenbezogenen Daten ihrer User, die womöglich in der EU leben. Darüber hinaus kann die Frage nach der Data Residency kritische Prozesse der Anwendungssicherheit stark beeinflussen.

Wenn es um Anwendungssicherheit geht, dürfen regelmäßige AppSec-Tests nicht fehlen

Während der Anwendungsentwicklung können sich Schwachstellen in den Code schleichen, welche die Software anfällig für Angriffe machen. Um diese so früh wie möglich zu identifizieren, sind Entwicklerteams daher dazu angehalten, Anwendungscodes regelmäßig zu testen. Die Ergebnisse der aktuellen State of Software Security Untersuchung zeigen jedoch, dass 76 Prozent der über 130.000 gescannten Anwendungen mindestens eine Sicherheitslücke aufweisen. Die Hälfte dieser Schwachstellen bleibt selbst nach sechs Monaten noch bestehen. Werden Lücken nicht erkannt und behoben, steigt das Risiko, dass sich weitere Fehler anhäufen. Die Folge: Die verantwortlichen Teams sind gezwungen, nachträglich geld- und zeitintensive Patches bereitzustellen – ein Prozess, den man mit häufigen Tests während der Entwicklungsphase umgehen kann.

Um Ressourcen zu sparen und Testabläufe zu beschleunigen, setzen Teams für Analytics und Application Security Testing auf Cloud-native SaaS-Lösungen. Ein zusätzlicher Vorteil neben der Kosten- und Zeiteinsparungen ist die verbesserte Skalierbarkeit gegenüber On-Prem-Alternativen. Außerdem lassen sich Testprozesse automatisiert durchführen. Dabei ergibt sich jedoch eine Schwierigkeit hinsichtlich der Data Residency: SaaS-Lösungen für AppSec-Tests können ebenfalls außerhalb der EU-Grenzen gehostet werden. Dies bringt potenzielle Risiken für die Einhaltung der Vorschriften bei der Datenverarbeitung und -speicherung mit sich.

Eine neue Data-Residency-Strategie muss her

Durch die „Schrems II“-Entscheidung stieg die Bedeutung der Frage nach der Data Residency. Für viele Softwareunternehmen ist dies auch der Anlass, ihre eigene Datenschutz- und Data-Residency-Strategie zu hinterfragen. Die wichtigsten Fragen, die es hierfür zu beantworten gilt, betreffen einerseits den aktuellen Standort, an dem die Daten gehostet, andererseits wohin Daten für AppSec-Tests transferiert werden. Die Verwendung von Cloud-nativen AppSec-Tools, die im Rahmen eines SaaS-Modells mit Option für den Speichertort in der EU bereitgestellt werden, ist grundsätzlich eine sichere Lösung. Unternehmen müssen sich darauf verlassen können, dass alle App-Daten, einschließlich aller Instanzen ihrer Software sowie der Kopien, die von Dritten zum Scannen und Testen verwendet werden, innerhalb der EU in einer Einrichtung gespeichert werden, die sich mit allen Anforderungen an die Einhaltung von Datenschutzbestimmungen auskennt. Dies schließt ebenfalls Kopien ein, die für Tests und Scans an Drittanbieter gesendet werden.

Fazit

Wie in allen anderen Branchen auch, müssen Unternehmen im Tech-Sektor sicherstellen, dass sie den Vorschriften zur Aufbewahrung von Daten nachkommen. Die Einhaltung der gesetzlichen Anforderungen an die Datenspeicherung ist ein wichtiges Unterfangen. Durch die Einführung eines SaaS-Angebots kann hierbei sichergestellt werden, dass das Hosting von Anwendungen später keine Probleme mit der Einhaltung von Vorschriften verursacht. Dies schützt Unternehmen nicht nur vor potenziellen Bußgeldern, sondern stärkt auch das Vertrauen der Kunden in den gesetzeskonformen Schutz ihrer Daten.

 

ist Principal Solution Architect bei Veracode. Als Spezialist für Anwendungssicherheit mit mehr als 15 Jahren Erfahrung im IT-Sicherheitsumfeld, verfügt er über Expertise in den Bereichen Anwendungsentwicklung, Penetrationstests sowie Sicherheit von Webanwendungen.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

21900

share

Artikel teilen

Top Artikel

Ähnliche Artikel