Compliance und Sicherheit für deine Daten in der Cloud
Wie lange hat das Smartphone gebraucht, um das klassische Tastenhandy zum Relikt zu machen? Wie lange hat es gedauert, bis Messenger an die Stelle von E-Mails und SMS getreten sind oder bis das Streaming die DVD und erst recht das traditionelle Fernsehen auf die Plätze verwiesen hat? Die Zeiträume, auf die wir hier zurückblicken, sind nicht allzu groß. Ein ums andere Mal beobachten wir, wie disruptive Lösungen innerhalb weniger Jahre ganze Märkte umkrempeln.
Ähnlich markante Verschiebungen sind natürlich auch innerhalb der Unternehmen zu beobachten. Eine dieser Veränderungen betrifft die infrastrukturelle Basis der Software, die Organisationen nutzen.
Contents
Die Modernisierung der Software-Infrastruktur
Vor einem Jahrzehnt lagen die Dinge relativ klar. Die Verantwortung für den Betrieb der internen Software-Systeme lag vollständig in den Händen deines Unternehmens. Für alle Fragen von der technischen Infrastruktur über Betrieb und Wartung der Anwendungen bis zu Sicherheit und Compliance waren deine IT-Teams zuständig.
Doch die Welt hat sich weitergedreht. Mittlerweile ist On-Premises-Software ein Auslaufmodell; unsere Zeit der digitalen Zusammenarbeit ist von moderner Cloud-Software geprägt. Die hohe, standortunabhängige Verfügbarkeit, die reibungsarme Skalierbarkeit, die schlanke Administration, die verringerten Betriebskosten und natürlich die Unterstützung verteilter Teams sind schwergewichtige Argumente für einen Umstieg von der traditionellen Legacy-Software in die Cloud. Wären da nicht die Informationssicherheit und der Datenschutz…
Diese Themen sind für alle Unternehmen relevant, die in die Atlassian Cloud wechseln, denn schließlich ist jede Organisation in der Pflicht, die Vorschriften der DSGVO einzuhalten. Für Organisationen aus stark regulierten Branchen wie dem Versicherungswesen, deren Daten besonders sensibel sind, liegt die Messlatte allerdings noch ein gutes Stück höher.
Wie sich die Verantwortlichkeiten verschoben haben
Wenn dein Unternehmen Cloud-Software nutzt, verschieben sich die administrativen Verantwortlichkeiten. Während früher die internen Teams deiner Organisation sämtliche Aspekte abdecken mussten, die mit dem Betrieb von Enterprise-Software einhergehen, delegieren sie nun zentrale Aufgaben an den Anbieter der Software.
Dazu gehören nicht nur die Bereitstellung der Infrastruktur und das eigentliche Hosting der Anwendungen, sondern auch wichtige administrative Faktoren und Sicherheitsmaßnahmen. Da drängt sich freilich die Frage auf, was Atlassian konkret unternimmt, um den Schutz der sensiblen Daten deiner Organisation zu gewährleisten?
Zero Trust
Atlassian folgt in Sicherheitsfragen dem Zero-Trust-Framework, dessen zentrales Credo lautet: Vertraue niemandem, niemals! Das hört sich schroff an, ist aber wirksam, denn Gefahren können nicht nur außerhalb, sondern auch innerhalb eines Netzwerks lauern.
Zero Trust bedeutet, die Zugangsinformationen und die verwendeten Endgeräte kontinuierlich zu authentifizieren und den Datenzugang grundsätzlich zu beschränken. Der Zugriff wird nur gewährt, wenn die Identität der User klar verifiziert ist. Dabei können Kontrollen jederzeit stattfinden: Gemäß Zero-Trust-Ansatz ist die bloße Lokalisierung kein Freifahrtschein; für sämtliche User finden dynamische Überprüfungen statt.
In der Praxis bedingt dies ein zentralisiertes Zugangsmanagement und die Durchsetzung wirksamer Authentisierungsrichtlinien. Dafür stellt die Atlassian-Plattform mächtige Features bereit.
SSO
Single-Sign-on minimiert die Sicherheitsrisiken, die mit einer wachsenden Anzahl von Cloud-Anwendungen und Logins in deiner Organisation einhergehen. SSO hat den entscheidenden Vorteil, dass die User beim Login die bestehenden, zentralen Zugangsdaten des Unternehmens verwenden können. Andernfalls müssten sie für die Cloud-Produkte ihre eigenen Passwörter erstellen – ein riesiges Sicherheitsproblem wäre die Folge. SSO versetzt deine Admin-Teams außerdem in die Lage, ihre bewährten Richtlinien für Passwörter oder die Zwei-Faktor-Authentisierung auch in der Cloud durchzusetzen.
Damit etabliert SSO eine Zugriffskontrollebene zwischen den Usern und den Systemen, die eine automatische Provisionierung, die zentrale Verwaltung und Durchsetzung von Verifizierungs- und Passwortvorschriften sowie automatische Sperren ermöglicht, wenn ein User im SSO-System deaktiviert wird. Kurz: Mit Single-Sign-on automatisiert du einen grundlegenden Teil des Sicherheits-Setups.
Zugriffs- und Nutzungs-Tracking
Atlassian erlaubt dir eine umfassende Nachverfolgung des Zugangs und der Systemnutzung. Als Admin auf Organisationsebene kannst du die Unternehmens-Domain verifizieren, sämtliche Atlassian-Accounts und -Produkte verwalten und die oben angesprochenen Sicherheitskontrollen (SSO etc.) für alle User der Organisation durchsetzen.
User-Provisionierung
Statt Accounts per Hand zu erstellen und sie regelmäßig zu überprüfen, gewährleistet die automatische Provisionierung eine engmaschige Kontrolle durch die Synchronisierung zwischen dem Identitätsmanagement-Tool deines Unternehmens und den Cloud-Produkten. Besonders wichtig: Die automatische Deprovisionierung senkt Gefahren, indem Zugänge ohne manuelles Zutun zurückgesetzt und eingeschränkt werden, sobald User die Organisation oder eine Gruppe verlassen.
Auditierung
Audit-Logs eröffnen dir eine vollständige Übersicht aller Aktivitäten, die in den Atlassian-Tools stattfinden. Du siehst im Zeitverlauf, wer wann welches Ereignis initiiert hat, und hast beispielsweise die Möglichkeit, systematisch verdächtige Aktionen zu ermitteln. Ein regelmäßiges Monitoring ist ein nicht zu unterschätzender Baustein einer umfassenden Sicherheitsstrategie.
Eine zusätzliche Sicherheitsebene
Atlassian investiert kontinuierlich umfangreiche Ressourcen in die Themen Sicherheit und Datenschutz. Das jüngste Ergebnis dieser Investitionen ist Atlassian Guard. Diese erst vor wenigen Monaten ausgelieferte Lösung stellt eine weitere Ebene der IT-Sicherheit in der Cloud-Plattform bereit.
Das Produkt löst die bekannte Identity- und Zugangs-Management-Lösung Atlassian Access ab und fügt unter dem geänderten Namen zusätzliche Funktionen zur effektiven Erkennung und Bekämpfung von Bedrohungen und zum Schutz vor Datenverlusten hinzu.
Dazu gehören neben ausgereiften Funktionalitäten, mit denen du deine Daten mittels Sensibilitätsklassifizierung proaktiv schützen kannst, auch Möglichkeiten, um verdächtiges Verhalten automatisch zu erkennen und zu untersuchen. Außerdem gibt es ein Feature-Set zur unmittelbaren Gefahrenabwehr, um zu verhindern, dass Bedrohungen zu Vorfällen werden. Damit hat Atlassian den nächsten Schritt auf dem Weg zu einem umfassenden Security-Bollwerk in der Cloud zurückgelegt.
Die erweiterten Anforderungen an Software-Anbieter
Das alles hat Hand und Fuß, nicht wahr? Doch wie schon angesprochen, sind für manche Organisation die Hürden höher als für andere. Wenn deine Organisation im Finanzsektor aktiv ist, ist die Nutzung von Jira und Confluence in der Cloud an zusätzliche Bedingungen gebunden, die durch externe Regulierungen und Vorgaben entstehen.
Eine Frage der (Daten-)Haltung
Wohin werden die Informationen deines Unternehmens übertragen und wo sind sie gespeichert? Diese Fragen sind für Finanz- und Versicherungsdienstleister von zentraler Bedeutung – und die Anforderungen klar: Die Daten dürfen die EU, noch besser: Deutschland, nicht verlassen.
Atlassian gewährleistet das für sämtliche Anwendungsdaten in deinen Systemen. Schon seit 2021 bietet der Hersteller das Feature Data Residency an, mit dem Kunden festlegen können, dass die Haltung ihrer Anwendungsdaten innerhalb der EU erfolgt. Die Einführung dieser Option hatte bereits wesentliche Datenschutz-Einwände beseitigt.
Mittlerweile ist der Data-Residency-Ansatz noch granularer: Dein Unternehmen kann definieren, dass seine Daten explizit in deutschen Rechenzentren gespeichert werden. Die Datenhaltung erfolgt dann also ausschließlich in Deutschland. (Das Data-Residency-Feature ist in den Enterprise-Tarifen von Jira und Confluence enthalten.)
Die BaFin- und EBA-Anforderungen
Daten von Finanzdienstleistungsunternehmen verlangen ein besonders hohes Schutzniveau. Dementsprechend streng und detailliert sind die Compliance-Anforderungen, die die Europäische Bankenaufsicht (EBA) und die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) an Organisationen stellen. Im Fall der Nutzung von Confluence und Jira sind insbesondere die Leitlinien zur Auslagerung an Cloud-Anbieter relevant und verbindlich.
Atlassian sichert deinem Unternehmen zu, dass die regulatorischen Anforderungen der EBA und BaFin erfüllt werden. Die Grundlage hierfür bildet das EU Financial Services Addendum (EU FSA), das Atlassian europäischen Finanzdienstleistungskunden bereitstellt. Zudem hat Atlassian die Anforderungslisten der EBA und der BaFin mit ausführlichen Kommentaren und Erläuterungen versehen. Diese spezifischen Zuordnungen zu jeder Anforderung zeigen detailliert auf, wie Atlassian dein Unternehmen bei der Erfüllung seiner Verpflichtungen unterstützt.
Die Compliance-konforme Nutzung von Jira und Confluence
Der Trend zur Cloud ist kein Strohfeuer, sondern nachhaltig und persistent. Mittelfristig wird kein Weg daran vorbeiführen, in die Cloud zu wechseln – es sei denn, Organisationen sind bereit, dauerhaft signifikante Nachteile in Kauf zu nehmen.
Wenn dein Unternehmen jedoch Software-seitig mit dem Wettbewerb Schritt halten, in den Genuss von Innovationen wie Automatisierung und integrierter KI kommen und native Voraussetzungen für hybride Arbeitsmodelle schaffen will, ist der Weg in die Cloud keine fakultative Alternative, sondern quasi obligatorisch.
Auch für Versicherungsunternehmen und andere Finanzdienstleister ist der Schritt in die Cloud-Nutzung von Jira und Confluence nicht nur aus funktionellen und Kostengründen sinnvoll, sondern praktisch und unter Datenschutz-Aspekten möglich. Es handelt sich um eine Compliance-konforme Option: Versicherer und Finanzinstitute können moderne Cloud-Software datenschutzgemäß nutzen.
Möchtest du mehr erfahren? Wir haben – unter anderem in Zusammenarbeit mit dem erfahrenen Datenschutz-Experten Thomas Rosin – umfangreiche Inhalte zusammengestellt, die dir tiefe Einblicke in den Themenkomplex eröffnen. Hier ist eine Auswahl zum Einstieg:
- Atlassian Cloud Compliance: Schutz deiner Daten
- Datenschutzkonform in die Cloud: Wann ist eine Risikobewertung Pflicht?
- Die Cloud und der Datenschutz – eine Bestandsaufnahme und was Atlassian-Kunden beachten sollten
- Mehr Datensicherheit in EMEA: Atlassian-Cloud-Produkte erfüllen aktuelle Compliance-Standards der EBA und BaFin
- Atlassian Cloud und Compliance-Anforderungen von Finanzdienstleistern