Gute Planung ist die halbe Miete

10 Tipps für Datenschutz und Datensicherheit in der Cloud

Seite: 2/2

Firmen zum Thema

5. Zertifizierungen und Gütesiegel prüfen

Wie heißt es so schön, Vertrauen ist gut, Kontrolle ist besser. Um sich von der Qualität, der Sicherheit und den Prozessen des Providers zu überzeugen, sollten Zertifizierungen und Gütesigel herangezogen werden. Sie schaffen Transparenz. Wichtige Zertifizierungen im Bezug auf Sicherheit und Service-Management sind zum Beispiel:

  • ISO27001, definiert Anforderungen an die Bereitstellung und den Betrieb eines Informationssicherheit-Management-Systems.
  • ISO270018, reguliert die Verarbeitung von personenbezogenen Daten in der Cloud.
  • ISO 20000, Gradmesser für die Qualität des IT-Service-Managements
  • SOC 2 Typ 2, Outsourcing-Standard, prüft Kriterien zu Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz.
  • Datenschutzzertifizierung, wird erst mit der EU-Datenschutzgrundverordnung eingeführt.

Allerdings sollte man hier genau hinschauen, auf welche Leistungen sich die jeweilige Zertifizierung bezieht.

6. Vertrag analysieren

Die Verträge der meisten Cloud Provider sind inzwischen standardisiert. Je größer ein Provider ist, desto weniger individuelle Gestaltungsmöglichkeit bieten die Verträge. Umso wichtiger ist es, zu prüfen, ob die Verträge die Anforderungen und Compliance-Richtlinien des Unternehmens entsprechen. Und es lohnt sich immer, über die wichtigen Punkte zu verhandeln:

  • Es muss definiert sein, wer der Eigentümer der Daten ist. Das Recht an den Daten muss beim Auftraggeber bleiben.
  • Idealerweise sollte der Gerichtsstand im eigenen Land liegen.
  • Es muss definiert sein, wo genau die Daten gespeichert und verarbeitet werden.
  • Bei einer Datenverarbeitung in den USA gilt zu beachten, dass die Safe-Harbour-Entscheidung seit Oktober 2015 ungültig ist. Die Regelung des Datenschutzes sollte auf Privacy Shield oder Standardvertragsklauseln basieren. Eine Rechtsberatung ist bei diesen Themen anzuraten.
  • Die Schadensersatzansprüche sollten so definiert sein, dass sie im Schadensfall ausreichend kompensieren.

7. Wichtigkeit des Identity- und Access-Managements (IAM) erkennen

In der Cloud greifen die klassischen Sicherheitsperimeter nicht mehr vollumfänglich, um den Zugriff auf Unternehmensdaten zu abzusichern. Es muss also ein durchgängiges Identity- und Access-Management (IAM) etabliert werden, das Vertraulichkeit, Datenintegrität sowie die Compliance sicherstellt. Durch Authentifizierung wird die Identität eines aus dem Internet kommenden Nutzers, sei es ein Mitarbeiter, Partner oder Kunde, zweifelsfrei festgestellt, um dann gezielt den Zugriff erteilen zu können. Anzuraten ist eine 2-Faktor-Authentifizierung, mindestens für das Cloud Management. Damit für einen Mitarbeiter innerhalb des Firmennetzwerkes und in der Cloud nicht mehrere Identitäten gepflegt werden müssen, empfiehlt sich ein zentralisiertes Identity Management mit Federation-Services. Dafür haben sich die Protokolle SAML, OAuth, Open ID Connect oder so genannte Claim-based Authentifizierungen etabliert, bei denen die Rollen oder Berechtigungen zur Autorisierung in der Authentifizierung mitgegeben werden. Einige Cloud Provider haben Identity as a Service inzwischen auch im Angebot, so lässt sich ein modernes Identity Management realisieren ohne eigene Infrastruktur bereitzustellen.

8. Immer verschlüsseln und anonymisieren, wenn möglich

Neben dem Identity- und Access-Management stellt die Verschlüsselung der Daten den wohl wichtigsten technischen Sicherheitsmechanismus dar. Ein Cloud Provider, der keine Verschlüsselung anbietet, sollte den Auftrag nicht bekommen. Zumindest die Data-at-Rest- für gespeicherte Daten und die Data-in-Motion-Verschlüsselung während der Datenübertragung sollten Standard sein. Auf Basis der vorher erfolgten Betrachtung der Compliance und der Definition der Datenkategorien müssen an dieser Stelle die Entscheidungen zur Verschlüsselung getroffen werden. Wie und zu welchem Zeitpunkt muss die Verschlüsselung vorgenommen werden? Können einzelne Objekte separat verschlüsselt werden? Bei besonders schützenswerten Daten oder dort, wo Compliance-Anforderungen eine Cloud-Verarbeitung nicht zulassen, kann eine lokale, On-Premise-Verschlüsselung Abhilfe schaffen. Aber: dies hat immer auch Einschränkungen der Cloud-basierten Verarbeitung zur Folge, zum Beispiel bei der Suche. Hier sollte gut zwischen Funktionalität und Schutz abgewogen werden. Im Datenschutz-Umfeld kann unter Umständen die Anonymisierung eine bessere Alternative sein. Anonymisierung hilft dabei, die Sensibilität der Daten zu minimieren. Von dieser Möglichkeit sollte man immer dann Gebrauch machen, wenn es möglich ist. Durch Anonymisierung können die Anforderungen des Datenschutzes erheblich minimiert werden und für statistische Auswertungen ist oftmals der Bezug zu einer identifizierbaren Person nicht nötig.

9. Backup, Archive und Verfügbarkeiten nicht vernachlässigen

Eine 99,9-prozentige Verfügbarkeit des Services und der Daten macht eine eigene Backup-Strategie nicht überflüssig. Wichtig ist es auch an dieser Stelle wieder, die eigenen Anforderungen genau zu definieren und dann zu überprüfen, ob die vom Cloud Provider auch umgesetzt werden. Das gilt vor allem für die Punkte Recovery Time Objective (RTO) und Recovery Point Objective (RPO). RTO definiert, wie lange ein System ausfallen darf, und RPO, die Menge an Daten, die höchstens verloren gehen dürfen. Es ist dringend anzuraten, sich nicht einfach blind auf den Cloud-Provider zu verlassen, zumal zum Beispiel Veränderungen, Manipulationen oder versehentliches Löschen der Daten durch den User nicht in der Verantwortung des Providers liegen. Hier stellt sich die Frage nach einer eigenen Kopie. Das kann auch für den Katastrophenfall oder, wenn der Provider insolvent geht, relevant sein. Daran schließen sich aber sofort die Fragen an, wo die Backups gespeichert werden −On-Premise oder in einer anderen Cloud – und wie lange der Restore eines Backups dauert? Auch sollte man auf die Archivierung einige Gedanken verschwenden. Hier müssen die Zugriffe geregelt oder beschränkt werden, denn die Compliance-Anforderungen gelten oftmals auch für das Archiv.

10. Protokollieren, Überwachen und auf Audits vorbereitet sein

Durch die Beauftragung eines Cloud Providers, delegiert ein Unternehmen die meisten der Protokoll- und Monitoring-Aufgaben. Jedoch sollten die wiederum überwacht werden. Schadensersatzansprüche beispielweise können nur geltend gemacht werden, wenn Ausfälle nachgewiesen werden. Zudem sollte ein Unternehmen wissen, wenn sein Dienst nicht zur Verfügung steht. Dazu bedarf es eines zuverlässigen Monitorings. Überwacht man die Systeme in Echtzeit, können gleichzeitig auch Fremdzugriffe und fehlerhafte Authentifizierungsversuche aufgedeckt und Gegenmaßnahmen eingeleitet werden. Für die Audits, die im Zuge einer Zertifizierung stattfinden, kann es nötig sein, bestimmte Faktoren zu protokollieren, zum Beispiel lückenlose Zugriffe, auch durch den Provider. Diese muss man kennen und die Protokollierung beim Provider in Auftrag geben. Die Speicherung der Logs sind auch ein wichtiger Aspekt, gegebenenfalls sollte man diese sogar lokal halten.

Der Autor: Florian van Keulen, Trivadis Sicherheitsbeauftragter mit über 15 Jahren IT-Erfahrung.
Der Autor: Florian van Keulen, Trivadis Sicherheitsbeauftragter mit über 15 Jahren IT-Erfahrung.
(Bild: Trivadis)

Fazit

Gute Planung ist die halbe Miete. Durch grundlegende Vorüberlegungen, genaue Analysen der Ist- und der Sollwerte sowie das Abklopfen der Bedürfnisse können rechtliche Fallstricke gezielt umgangen werden und der richtige Dienstleister ausgewählt werden. Gepaart mit den technischen Vorkehrungen kann ein Unternehmen beruhigt seinen sicheren Weg in die Cloud antreten.

* Florian van Keulen ist Principal Consultant, Business Development & Support, Cloud & Security, Trivadis AG

(ID:44229781)