Ratgeber

IT-Sicherheit beim Cloud-Computing

Das Thema Cloud Computing ist omnipräsent. Dennoch bleiben viele Fragen zur richtigen Anwendung offen - gerade in Bezug auf die Datensicherheit, den Datenschutz und die rechtliche Situation. Unser Ratgeber klärt auf.

IT-Sicherheit: Cloud-Computing

© Mikko Lemola - shutterstock.de

IT-Sicherheit: Cloud-Computing

Während Privatanwender fu?r den täglichen Gebrauch mittlerweile völlig selbstverständlich die Cloud-Dienste verschiedener Anbieter als virtuellen Datenspeicher verwenden, haben viele Unternehmen bei der Nutzung der "Wolke" noch Bedenken. Ist diese Art des Datentransfers und -speicherns auch wirklich sicher? Welche rechtlichen Grundlagen mu?ssen gerade Unternehmen beachten?

Vor- und Nachteile der Cloud

Um mit der rasanten Entwicklung innerhalb der Informationstechnologie und den damit verbundenen immer komplexer werdenden Strukturen Schritt halten zu können, sollte sich jedes Unternehmen u?ber kurz oder lang mit dem Thema "Cloud Computing" beschäftigen. Zumal man in den Medien und der Werbung nahezu täglich auf die zahlreichen Vorteile dieser vielversprechenden Technologie aufmerksam gemacht wird. Schauspieler wie

Autor: Christoph Maier - Thomas-Krenn. AG

© Hersteller / Archiv

Autor: Christoph Maier - Vorstand der Thomas-Krenn.AG aus Freyung

Alexandra Maria Lara suggerieren beispielsweise fu?r einen großen Telekommunikations-Anbieter, wie einfach der Umgang doch ist und wie mu?helos sich Daten virtuell von A nach B transportieren lassen.

Zwei Aspekte, die im allgemeinen Bewusstsein häufig zu kurz kommen und auch von den meisten Nutzern stiefmu?tterlich behandelt werden, sind Datensicherheit und Datenschutz. Gerade diese beiden Bereiche spielen fu?r Unternehmen, die auf strenge Vertraulichkeit ihrer Daten angewiesen sind, eine entscheidende Rolle.

Daher sollte sich die Geschäftsleitung genau u?berlegen, wofu?r konkret ein Dienst genutzt werden soll und welcher Anbieter hierfu?r die richtige Wahl ist. Obgleich die Vorteile der Cloud wie Globalität, Mobilität, Flexibilisierung und eventuelle Kostensenkung nicht von der Hand zu weisen sind, mu?ssen sich Unternehmen auch mit dem möglichen Ernstfall "Datenverlust" und den daraus resultierenden Konsequenzen vorab auseinandersetzen.

Vergleichstest: Cloud-Anbieter

Begriffliche Unklarheiten

Zunächst gilt es, auf Unternehmensseite den Unterschied zwischen Cloud Computing und Hosting einerseits und zwischen Datenschutz und Datensicherheit andererseits zu erkennen.

  • Datenschutz bedeutet den Schutz der Daten durch die Verschwiegenheit aller Beteiligten, also den Schutz der personenbezogenen Daten von Mitarbeitern, Kunden oder Lieferanten.
  • Bei der Datensicherheit handelt es sich um die Gewährleistung des Datenschutzes durch die Sicherung aller technologischen Gegebenheiten und das fehlerfreie Erfassen, Verarbeiten sowie Speichern - also der Schutz vor Viren und Trojanern und die Absicherung der Hardware sowie des Rechenzentrums selbst. Das bedeutet, es muss eine entsprechende Sicherheitskontrolle gewährleistet sein, die alle wichtigen Parameter beru?cksichtigt und vor allem jeden einzelnen Nutzer klar voneinander trennt.

Der Unterschied zwischen Cloud Computing und Hosting ist hingegen nicht sehr groß, denn in beiden Fällen werden Kapazitäten wie Rechenleistung, Speicherplatz, Datenbanken oder Software durch einen Anbieter an den Nutzer "vermietet". So kann der Kunde seine eigene IT-Infrastruktur virtuell erweitern, ohne dabei selbst entsprechenden Raum oder Technologie bereitstellen zu mu?ssen.

Allerdings können die Services im Hosting-Bereich sehr viel individueller und stärker vertraglich abgesichert auf den einzelnen Kunden zugeschnitten werden. Die Cloud ist in der Regel standardisiert, dafu?r aber auch kostengu?nstiger und flexibler nutzbar. Vereinfacht könnte man das Hosting als spezialisierten Teilbereich des Cloud Computing betrachten.

Datenschutzrecht in Deutschland

Datenschutztechnisch gelten jedoch in beiden Bereichen dieselben Regeln und diese richten sich hierzulande eindeutig nach dem Bundesdatenschutzgesetz (BDSG). Davon ausgenommen sind lediglich Daten, die keinen Personenbezug aufweisen.

Sobald in den zu speichernden Unterlagen jedoch Kundendaten, Namen oder Gehaltsabrechnungen auftauchen, fallen die Daten unter das BDSG und im Falle einer externen Datenspeicherung u?ber einen Provider unter § 11. Demnach ist Cloud Computing der klassischen Auftragsdatenverarbeitung zuzuordnen - Verantwortung und Verfu?gungsgewalt verbleiben beim Nutzer. Dieser ist verpflichtet, den Anbieter vorab genau zu u?berpru?fen und sorgfältig auszuwählen und sich vor allem während der Datenverarbeitung regelmäßig selbst von der Sicherheit zu u?berzeugen.

Wenn Nutzer zu leichtfertig mit der externen Datenspeicherung umgehen und der ausgewählte Anbieter nicht entsprechend zuverlässig die vereinbarten Maßnahmen einhält, kann ein fahrlässiger Verstoß des Datenschutzes eine Geldbuße von bis zu 50000 Euro nach sich ziehen. Um diese Einhaltung zu u?berwachen, sollte man die Ergebnisse regelmäßig schriftlich durch den Anbieter dokumentieren lassen.

Wichtig ist daru?ber hinaus der Standort des Anbieters, an den die Daten ausgelagert werden. Wenn ein deutsches Unternehmen deutsche Daten beispielsweise bei einem in den USA angesiedelten Cloud-Dienst speichert, muss es sicherstellen, dass auch alle deutschen Gesetze eingehalten werden, sonst darf der US-Dienst nicht genutzt werden.

Ratgeber: Cloud-Dienste vs. Freeware

Sonderfall USA

Einer der Gru?nde fu?r diese strenge Reglementierung ist der US PATRIOT Act: Selbst wenn das Rechenzentrum des amerikanischen Anbieters in der EU sitzt, ist dieser dennoch verpflichtet, die Daten auf Anfrage an die US-Regierung weiterzugeben. Und das gilt fu?r jedes Rechenzentrum weltweit, sodass ein deutsches Unternehmen laut BDSG streng genommen gar keinen US-Dienstleister nutzen darf.

Umgangen werden kann dies jedoch, indem nur verschlu?sselte Daten gespeichert werden, was ohnehin zu empfehlen ist. Eine solche Sicherheit bietet die Endto-End-Verschlu?sselung der Daten vor der Übertragung, wobei nur die Krypto-Datei in die Cloud geladen wird.

Obwohl es beispielsweise Abkommen mit besonderen Auflagen wie Safe Harbor zwischen der EU und den USA gibt, ist der Unterschied in den rechtlichen Regelungen immens. Um die Kontrollen zu gewährleisten, mu?ssten diese auf US-Seite auch durchgefu?hrt werden. Dass dies häufig nicht der Fall ist, zeigen die in der Vergangenheit wiederholt aufgetretenen Datenpannen bei bekannten Großkonzernen.

Mehr lesen

Prozesse in die Wolke

Somit wird die Bundesrepublik voraussichtlich auch in naher Zukunft nicht dazu u?bergehen, das Datenschutzrecht in Deutschland an internationale Regelungen wie das EU-Recht anzugleichen. Das wu?rde zum Beispiel bedeuten, dass die Daten nach europäischem Reglement gesammelt, fu?r sechs Monate gespeichert und europaweit bereitgestellt wu?rden.

Dieses vielschichtige Modell macht das weitreichende Problem der Nutzung von ausländischen Cloud-Diensten deutlich. Kritiker geben seit Langem zu bedenken, dass vor allem die Datenspeicherung im Ausland - speziell in den USA - viel stärker dem Risiko der Betriebsspionage ausgesetzt ist als die Lagerung in deutschen Rechenzentren.

Mit dem BDSG hat Deutschland das schärfste Datenschutzgesetz innerhalb der EU und ist damit der "sicherste Hafen" zur Auslagerung von Daten. Daru?ber hinaus haben wir hierzulande noch immer eine hervorragende IT-Infrastruktur, die Unternehmen gute Rahmenbedingungen bietet.

Sorgfalt bei der Anbieterwahl

Es ist fu?r Unternehmen ohnehin nicht sinnvoll, die komplette IT in die Cloud zu u?berfu?hren, da nicht jede Arbeitslast dafu?r geeignet ist. Eine vorher mit dem Provider zusammen ausgearbeitete Strategie kann viel Ärger und Kosten ersparen. Welche rechtliche Handhabe der Nutzer letztlich im Ernstfall bei einem Datenverlust hat, ist schwer abzusehen. Das hängt davon ab, was mit dem Anbieter vertraglich vereinbart wurde.

Bei Problemen muss man sich jedoch auf einen Rechtsstreit nach Landesrecht des Anbieters mit entsprechendem Gerichtsstand einstellen. Das kann sich bei ausländischen Anbietern zum einen u?ber eine längere Zeit hinziehen, zum anderen gibt es meist wenig Aussicht auf Erfolg.

Um diese Probleme erst gar nicht entstehen zu lassen, sollte man sich vorab eingehend mit der Materie beschäftigen und den Anbieter sorgfältig auswählen. Mit entsprechender professioneller Beratung eines seriösen Dienstleisters kann die Nutzung von Cloud Computing oder Hosting einem Unternehmen klare Vorteile verschaffen und die Unternehmensstruktur ganz elementar verbessern.

Fazit

Auch wenn der Markt fu?r viele Nutzer derzeit noch recht unu?bersichtlich ist und viele Cloud-Services dem Angebotsversprechen leider nicht gerecht werden, lassen sich die Unsicherheit durch gezielte Aufklärung verringern und das immense Potenzial solcher Dienste deutlich machen.

Datensicherheit und rechtliche Handhabe in der Cloud sollten noch weiter konkretisiert und abgesichert werden. Eine staatliche Regulierung im Sinne von Verpflichtungen ist hingegen nicht förderlich. Dafu?r ist dieses Thema viel zu komplex und zu individuell. Eine derartige Regulierung mit festen Vorgaben könnte viele interessante Produkte zunichtemachen und gegebenenfalls neue Technologien verhindern.

Hier finden Sie das Hacking mit Kali Handbuch.

Mehr zum Thema

Unsere Reihe Best Practice stellt den Einsatz von Amazon Web Services beim Softwarehersteller Sage vor.
Best Practice

Unsere Reihe Best Practice stellt den Einsatz von Amazon Web Services beim Softwarehersteller Sage vor.
Der Weg zur eigenen Cloud
IT-Strategien

Immer mehr Unternehmen entdecken die Vorzüge des Cloud-Computing-Konzeptes auch für ihre internen IT-Systeme.
cloud, speicher, online, internet
Business Analytics

Kombiniert man die Cloud-Technologie mit einer integrierten ERP-Suite, lassen sich enorme betriebswirtschaftliche Potenziale ausschöpfen.
Die Zehn Gebote in der Kommunikation
IT-Strategien

"Bring Your Own Device" und "Consumerization" sind zwei aktuelle Trends, die vielen IT-Verantwortlichen Albträume bereiten.
Die Zehn Gebote in der Kommunikation
IT-Strategien

Viele IT-Abteilungen wissen nicht genau, wie sie mit dem Trend zum "Bring Your Own Device" (BYOD) umgehen sollen.