Seit dem Jahr 2018 zählt die Jamestown US-Immobilien GmbH zu unseren Kunden. Im Interview haben wir mit Jamestown IT-Leiter, Frank Mördel über die Einführung von Cloud-Service O365 und den damit verbundenen Anforderungen an den Datenschutz, die EU-DSGVO und BaFin gesprochen. Erfahren Sie, wie Jamestown US-Immobilien den Anforderungen gerecht wird und zu jedem Zeitpunkt die Kontrolle über seine Daten und deren Verschlüsselungsprozess hat.
Bitte stellen Sie sich kurz vor.
Mein Name ist Frank Mördel. Ich leite die IT-Abteilung der Jamestown US-Immobilien GmbH. In diesem Rahmen verantworte ich sowohl die komplette IT-Infrastruktur sowie -Organisation als auch die Schnittstelle zu unserer Partnergesellschaft mit Sitz in Atlanta (USA). Bei der Jamestown bin ich bereits seit 17 Jahren beschäftigt. Davor arbeitete ich für Banken und Finanzdienstleister wie auch für ein Systemhaus. Als Wirtschaftsinformatiker arbeite ich seit 1992 in der IT-Branche. Persönlich habe ich ein großes Interesse an dem Thema IT-Sicherheit und bilde mich in diesem Bereich regelmäßig weiter. Vor allem die Bereiche „Vulnerability Scans“ und „Ehtical Hacking“ begeistern mich.
Vor welche Herausforderungen hat Sie der Einsatz von O365 und der damit verbundene Einsatz von Cloud Services gestellt? Welche Bedenken gab es in Hinblick auf die Datensicherheit? Gab es z.B. regulatorische Anforderungen, die erfüllt werden mussten?
Die Umstellung auf O365 war für uns sowohl eine Herausforderung als auch eine Notwendigkeit. Bisher arbeiteten wir auf einer über 15 Jahre bewährten Lotus Notes Domäne. Diese sollte an die von Jamestown USA genutzte Exchange Plattform angepasst werden ohne eigene Exchange Ressourcen aufzubauen. Mit dieser Entscheidung lenkten wir die strategische Ausrichtung auf Exchange Online, Richtung O365 und damit in die Cloud. Herausfordernd waren für uns gleich mehrere Bereiche in diesem Zusammenhang:
1) Der Datenschutz: Uns war es wichtig zu jeder Zeit zu wissen, wer Zugriff auf die Jamestown Daten hat.
2) Die DSGVO: Bedenken in Bezug auf die Speicherung personenbezogener Daten in der Cloud kamen aus der DSGVO sowie dem Bundesdatenschutzgesetz – neu (BDSG-neu). Die zentrale Frage für uns war, wie sicher die Daten bei einem Cloudhoster aufbewahrt werden und wer Zugriff auf die in der Cloud gespeicherten Informationen hat.
3) Die BaFin: Seit Oktober 2019 reguliert die BaFin die Grenzen in Bezug auf Datenschutz und Datensicherheit im Bereich der Finanzdienstleister. Die KAIT (Anforderungen an die IT von Kapitalverwaltungsgesellschaften) findet seitdem ebenfalls Anwendung für Jamestown. Diese regulatorischen Vorgaben wurden zwar erst nach unserer Umstellung auf O365 aktiv, bereits im Vorfeld war jedoch bekannt, dass es eine entsprechende Regulierung geben wird.
Wie konnten Sie diese Bedenken mit Hilfe des eperi Gateways beseitigen?
Nach einer Phase der grundlegenden Informationssammlung zu Möglichkeiten und Anbietern im Bereich der Datenverschlüsselung fiel die Entscheidung für eperi. Ausschlaggebend für diese Entscheidung war unsere wichtigste Anforderung: Die Lösung soll Inhouse (on-premises) laufen und selbst verwaltet werden. Sie muss sicherstellen, dass die Daten zu jedem Zeitpunkt (auf dem Weg in die Cloud, in der Cloud und auf dem Rückweg) verschlüsselt sind. Eine Entschlüsselung soll nur mit dem Jamestown-eigenen Schlüssel möglich sein. Keinesfalls darf die Verschlüsselung in die Cloud verlagert werden, sie muss lokal bleiben. Entsprechend muss die Kontrolle über die Schlüsselverwaltung und über den gesamten Verschlüsselungsprozess zu jedem Zeitpunkt bei uns - der Jamestown - liegen.
Zwar bietet Microsoft Online an, Daten zu verschlüsseln und die verschlüsselten Daten auf mehrere Festplatten zu verteilen. Mit dieser Technologie waren wir jedoch nicht gänzlich zufrieden. Der Grund dafür ist einfach: Aus Kundensicht gibt es bei den Bring Your Own Key- Lösungen eine große Unsicherheit: Wer die Daten verschlüsselt, muss zu mindestens einem Zeitpunkt auch die lesbaren Daten bekommen. Theoretisch - und hier unterstellen wir keinen böswilligen Hintergedanken – ist es technisch möglich, dass z.B. Servicemitarbeiter bei Microsoft oder Administratoren des Cloudrechenzentrums Zugriff auf die Daten erhalten. Diese theoretische Zugriffsmöglichkeit schließen wir durch den Einsatz des eperi Gateway aus. Wir sichern zu jedem Zeitpunkt unsere Datenhoheit.
.jpg?width=468&name=_DSC0445%20(002).jpg)
Welche Erfolge konnten Sie durch den Einsatz des eperi Gateways erzielen?
Der ganz klare Erfolg durch den Einsatz des eperi Gateways ist, dass wir nun sicherstellen, dass unsere E-Mails und Kalendereinträge bevor sie das Haus verlassen auf jeden Fall verschlüsselt werden und sowohl „in transit“ als auch „at rest“ verschlüsselt bleiben.
Wäre der Einsatz von O365 ohne die Einführung des eperi Gateways möglich gewesen?
Technisch wäre der Einsatz von O365 auch ohne das eperi Gateway möglich gewesen. Allerdings werden durch die BaFin jährliche Audits im IT-Bereich durchgeführt. Dort ist der Einsatz unserer eperi Lösung bereits aufgefallen, wurde geprüft und für gut befunden. Ohne Einsatz des eperi Gateways hätten wir das Audit nur mit erheblichem Mehraufwand bestanden. Da die Lösung technisch und regulatorisch perfekt zu uns passt, wäre aus meiner Sicht ein Einsatz von O365 ohne das eperi Gateway für uns nicht möglich.
Was war für Jamestown der Hauptgrund, sich für das eperi Gateway zu entscheiden?
Da gibt es gleich mehrere Gründe. Die regulatorischen Anforderungen sowie die Bedenken in den Bereichen Datenschutz und die Einhaltung der DSGVO habe ich ja bereits genannt. Diese haben sicherlich den Ausschlag für die Entscheidung gegeben. Ein weiterer wichtiger Aspekt war unser Anliegen zu jedem Zeitpunkt die Kontrolle über unsere Daten sowie die Verschlüsselung zu erhalten. Und schlussendlich hat uns das innovative Produkt eines wachsenden, mittelständischen Unternehmens aus Deutschland überzeugt.
Was ist für Sie persönlich der größte Vorteil / Nutzen des eperi Gateways?
Als IT-Leiter die Gewissheit zu haben, dass Daten auf jeden Fall durch einen eigenen Schlüssel verschlüsselt werden, dass die Datensicherheit in den eigenen Händen liegt und Auditierungen nicht gefährdet sind. Das lässt mich ruhiger schlafen.
Für welche Zwecke setzen sie das eperi Gateway aktuell ein?
Aktuell haben wir zwei Einsatzbereiche:
1) Im Bereich O365 setzen wir das eperi Gateway zur Verschlüsselung von E-Mails und Kalendereinträgen im Rahmen der Nutzung von Exchange Online ein.
2) Jamestown bietet Interessenten die Möglichkeit, sich für einen Online-Zeichnungsschein zu entscheiden. Im Rahmen dieser datenbankgestützten Webanwendung eingegebene persönliche Daten werden mit Hilfe des eperi Gateways verschlüsselt bzw. tokenisiert.
Können Sie sich vorstellen das eperi Gateway in weiteren Bereichen bei Jamestown einzusetzen? Welche Bereiche könnten das sein?
Ja, das kann ich mir absolut vorstellen. Es liegen sogar bereits konkrete Planungen vor. Das Thema OneDrive beschäftigt uns bereits seit einiger Zeit. Hier gibt es konkrete Planungen. Durch die aktuelle COVID-19 Situation und die damit verbundene Verlagerung von Arbeitsplätzen ins Home-Office hat sich Microsoft Teams neu in den Fokus gedrängt. Hier werden wir sicherlich in der nächsten Zeit einen Schwerpunkt setzen. Sicherlich werden noch weitere Microsoft Anwendungen folgen. Weiterhin können wir uns vorstellen, in Zukunft eine Feldverschlüsselung unseres CRM-Systems einzuführen.
Wie ist Ihre Erfahrung in der Zusammenarbeit mit eperi?
Ich bin mit der Zusammenarbeit sehr zufrieden. Zugegebenermaßen, wir hatten einen etwas holprigen Start. Das kenne ich aber auch aus anderen Projekten. Ich habe vollstes Vertrauen in das Produkt sowie die Mitarbeiter. Das Verhältnis zu allen Mitarbeitern – von der Geschäftsführung bis hin zum Support – ist sehr gut, fast schon freundschaftlich. Die Kundenbetreuung hat sich seit Projektbeginn von einer durchschnittlichen zu einer hervorragenden Leistung gesteigert. Der Support ist außerordentlich gut.
Sind Sie rückblickend zufrieden mit der Entscheidung für das eperi Gateway?
Aber selbstredend. Ich bin sehr zufrieden. Persönlich ist es mein Anliegen das Thema Datensicherheit mit Weitblick zu betrachten. Und gerade in Hinblick auf die Regulierung von Finanzdienstleistern habe ich hier den richtigen Riecher bewiesen. Ich bin überzeugt davon, die richtige Entscheidung getroffen zu haben.
Stehen Sie vor einem ähnlichen Projekt wie Jamestown und benötigen Unterstützung? Oder haben Sie ein anderes Anliegen rund um die Themen Datensicherheit und -schutz?
Bildquellen: Jamestown US Immobilien GmbH
