Warum Unternehmen jetzt ihre Data-Residency-Strategie überdenken sollten

Das Urteil im „Schrems II“-Rechtsstreit im letzten Jahr ist eines der bedeutendsten seit dem Inkrafttreten der DSGVO vor vier Jahren. Damit ist die Diskussion um den Speicherort, also dort, wo etwa bei Cloud-Lösungen die Daten wirklich liegen, aktueller denn je. Für Unternehmen ist es nämlich nicht immer leicht, aber immer wichtig, dies zu dokumentieren, wie Julian Totzek-Hallhuber, Senior Principal Solution Architect von Veracode, erläutert.

Seit der Entscheidung des EuGH in der Rechtssache „Schrems II“ ist das Thema Data Residency für deutsche bzw. europäische Unternehmen aktueller denn je. Wo werden (personenbezogene) Daten verarbeitet und gespeichert? Diese Frage stellt sich auch im Rahmen der Anwendungssicherheit, wenn für Scans und Testing Cloud-native SaaS-Lösungen zum Einsatz kommen – auch hier müssen DSGVO-Richtlinien und gesetzliche Compliance-Vorgaben eingehalten werden. Im folgenden möchte ich über die Bedeutung von Data Residency und die damit verbundenen Herausforderungen für Application Security Testing berichten.

Im Juli letzten Jahres befand der Europäische Gerichtshof die Verarbeitung und Speicherung personenbezogener Daten von EU-Bürgern in den USA als nicht angemessen. Das Urteil im „Schrems II“-Rechtsstreit ist eines der bedeutendsten seit dem Inkrafttreten der DSGVO vor vier Jahren, denn es befeuerte erneut die Diskussion um die Data Residency – also die Orte, an denen Daten gesammelt, gespeichert und verarbeitet werden. Laut DSGVO dürfen personenbezogene Daten von EU-Bürgern lediglich auf Servern innerhalb der EU-Grenzen bzw. in Ländern, deren Datenschutzniveau als angemessen eingestuft wird, transferiert werden. Dies gilt für jede Form personenbezogener Daten – zu den besonders streng regulierten Branchen zählen vor allem der Finanz- und Finanzdienstleistungssektor, Verwaltungen und Behörden sowie das Gesundheitswesen.

DSGVO und Data Residency: Eine Sache des Aufenthaltsortes

Dieses Urteil wirkt sich massiv auf den Datentransfer von Unternehmen auf der ganzen Welt aus: Außerhalb der EU befindliche Unternehmen wie eCommerce-Plattformen, die EU-Bürger zu ihren Kunden zählen, dürfen deren Daten nur unter den oben genannten Voraussetzungen speichern und verarbeiten. Gleiches gilt für EU-Unternehmen, die ihre Daten auf Servern außerhalb des Wirkungsbereichs der DSGVO lagern. Der Zugriff auf in der EU befindliche Netzwerke und Daten von außerhalb unterliegt ebenso diesen Anforderungen. Wenn sich der Betreiber eines EU-Unternehmens dazu entscheidet, den Standort seines Kundenservice außerhalb der Grenzen zu errichten, muss er sicherstellen, dass das vorgesehene Land dem geforderten Datenschutzniveau entspricht. Erst dann darf der Kundenservice mit personenbezogene Daten von EU-Bürgern arbeiten.

Softwareentwickler sind ebenfalls von diesen Regulierungsmaßnahmen betroffen: Sobald EU-Bürger zu ihrer Userschaft zählen, müssen auch ihre personenbezogenen Daten innerhalb der EU-Grenzen bleiben oder auf Servern in einem vertrauenswürdigen Land mit entsprechendem Sicherheitsniveau untergebracht werden. Doch inwiefern betrifft Data Residency die Gewährleistung der Anwendungssicherheit, wie eingangs angedeutet?

AppSec-Testing: Essentieller Bestandteil der Anwendungssicherheit und Datenschutzrisiko

Schwachstellen in der Anwendung können dazu führen, dass User-Daten ungewollt abfließen oder einem bösartigen Angriff Dritter zum Opfer fallen. Daher ist es unerlässlich, dass Entwicklerteams ihre Codes noch während der Entwicklungsphase oft und in regelmäßigen, kurzen Abständen testen, um Fehler früh genug erkennen und beheben zu können. Aus der aktuellen State of Software Security Studie von Veracode, für die innerhalb von zwölf Monaten mehr als 130.000 Applikationen auf Fehler hin gescannt wurden, geht jedoch hervor, dass die Mehrheit aller getesteten Programme (76 Prozent) mindestens eine Sicherheitsschwachstelle aufweisen. Die Hälfte dieser bleiben selbst sechs Monate nach Entdeckung noch offene Lücken. Unbehobene Schwachstellen häufen sich immer schneller an und produzieren mehr fehlerhafte Codes – eine nachträgliche Behebung über Patches ist nicht nur kostspielig, sondern beansprucht viel Zeit und die Nerven des – in vielen Fällen ohnehin schon unterbesetzten – Teams.

Entwicklerteams greifen im Rahmen von Analytics und Application Security Testings daher immer häufiger auf Cloud-native SaaS-Lösungen zurück, die einerseits skalierbarer als On-Prem-Lösungen und zudem kostengünstiger sind. Andererseits sind diese in der Lage die Scans automatisiert durchzuführen. Hier ist zu beachten, dass Cloud-Anwendungen zum Testen und Scannen von Anwendungen auch außerhalb der EU gehostet werden können und somit potentiell die Compliance gefährden.

Es ist Zeit, die Data-Residency-Strategie zu überdenken

Die Einführung der DSGVO und das „Schrems II“ Urteil machen deutlich, wie wichtig es für Unternehmen heute ist, ihre Data-Residency-Strategie zu überprüfen und an die Comliance-Anforderungen der EU anzupassen. Dafür muss zuerst einmal ermittelt werden, wie der derzeitige Status Quo in Sachen Data Residency ist: Wo werden meine Daten gehostet? Wohin sende ich sie zum Testen? Im nächsten Schritt geht es an die Wahl (bzw. Anpassung) der Data Residency: Der sicherste Weg ist es, dass sämtliche Instanzen der Anwendung, die personenbezogene Daten von EU-Bürgern enthalten, in Rechenzentren gehostet werden, die sich physisch in der EU befinden. Dies betrifft ebenfalls Kopien, die von Dritten zum Scannen und Testen verwendet werden. So verfügt Veracode beispielsweise über eine EU-Instanz in Deutschland, um sicherzustellen, dass Software auf Servern innerhalb der EU getestet und geliefert werden kann. AppSec-Tools sollten daher sämtliche Aspekte der Anwendungssicherheit abdecken – einschließlich einer Integration in die CI/CD-Pipeline – und gleichzeitig die DSGVO-Konformität vor Release überprüfen und sicherstellen können. Cloud-native Data Residency-as-a-Service-Lösungen sind für das Hosting von Daten auf länderspezifischen Servern spezialisiert.

Sollte ein Transfer auf internationale Server vorerst unumgänglich sein, sind die Empfehlungen des European Data Protection Boards (EDPB) zu beachten.

Fazit

Die Softwareentwicklung ist wie andere Branchen auch zur Einhaltung der DSGVO-Richtlinien und der Gewährleistung des Schutzes von Daten und Privatsphäre von EU-Bürgern verpflichtet. Das Testen der Anwendungssicherheit mithilfe Cloud-nativer AppSec-Lösungen kann demnach nur dann stattfinden, wenn sich die entsprechenden Compliance-Anforderungen einhalten lassen – vor allem dann, wenn die zu testenden Komponenten personenbezogene Daten beinhalten. DSGVO-konforme Anwendungssicherheit schützt nicht nur vor Bußgeldern. Kunden und Anwender können darauf vertrauen, dass ihre Daten in der Anwendung der Gesetzeslage entsprechend sicher sind.

Weitere Informationen unter:
https://www.veracode.com/