Auftragsstudie der Experton Group zum Thema Datenschutz in der Cloud Anforderungen an eine datenschutzgerechte Cloud-Überwachung

Autor Florian Karlstetter

Bei vielen Cloud-Services sind zusätzliche Maßnahmen notwendig, um die Datenschutzanforderungen an Cloud-Logging und die Kontrolle des Cloud-Administrators zu erfüllen. Dies geht aus einer von der Experton Group veröffentlichten Studie im Auftrag von Balabit hervor.

Firmen zum Thema

Datenschutz stellt hohe Ansprüche an Cloud-Logging. Hier sind Cloud-Provider wie Cloud-Nutzer gleichermaßen gefordert.
Datenschutz stellt hohe Ansprüche an Cloud-Logging. Hier sind Cloud-Provider wie Cloud-Nutzer gleichermaßen gefordert.
( © Natalia Merzlyakova - Fotolia.com)

Bei der Überwachung von Cloud Services besteht sowohl auf Seiten der Cloud-Nutzer wie auch der Provider Handlungsbedarf. Das hat die Experten Group im Rahmen der von Balabit beauftragten Studie herausgefunden. Untersucht wurde auch, welche Anforderungen sich aus dem Datenschutz ergeben und wie diese umgesetzt werden können.

Wesentliche Hemmnisse sehen die Analysten in den Befürchtungen möglicher Cloud-Anwender, die Kontrolle über ihre Daten zu verlieren, wenn diese in eine Cloud ausgelagert werden. Zudem fühlen sich potenzielle Nutzer den hohen Anforderungen an den Datenschutz nicht gewachsen, die mit Cloud Computing verbunden sind: Die Verantwortung für den Schutz personenbezogener Daten verbleibt bei dem Auftraggeber und wird nicht etwa von dem Cloud-Provider übernommen.

Die deutschen Aufsichtsbehörden für den Datenschutz erwarten auf Basis des Bundesdatenschutzgesetzes (BDSG), dass sich der Cloud-Nutzer als Auftraggeber von den Sicherheitsmaßnahmen des Cloud-Anbieters überzeugt. Viele Cloud-Provider versäumen es, den Cloud-Nutzer als ihren Kunden die erforderlichen Informationen und Werkzeuge dafür zur Verfügung zu stellen oder ihnen zumindest entsprechende Lösungen zu empfehlen.

Im Rahmen ihrer Analysen für den Cloud- und Security-Markt hat sich die Experton Group eine Vielzahl von Lösungen angesehen, die Cloud-Nutzer dabei unterstützen sollen, den Cloud-Provider und insbesondere den Cloud-Administrator in zuverlässiger, nachvollziehbarer Weise zu überwachen.

Das aktuelle White Paper „Cloud-Protokollierung und Privileged Access Management (PAM) als Grundbestandteil der Cloud-Sicherheit“ stellt Ergebnisse aus diesen Untersuchungen dar. So sind viele Überwachungsdienste von Cloud-Providern nicht anbieterunabhängig. Die Kontrolle eines Cloud-Providers macht aber nur dann Sinn, wenn diese providerunabhängig erfolgt. Viele Cloud-Anwender nutzen zudem mehrere Cloud-Services parallel. Die Überwachungsdienste der Cloud-Provider sind jedoch in aller Regel nur für den jeweiligen Cloud-Service nutzbar.

Manipulationssichere Cloud-Protokollierung

Der deutsche Datenschutz verlangt eine regelmäßige Überwachung der technischen und organisatorischen Maßnahmen des Cloud-Providers durch den Cloud-Nutzer. Benötigt werden deshalb eine manipulationssichere Cloud-Protokollierung und eine vom Anbieter unabhängige Kontrolle des Cloud-Administrators (Privileged Access Management (PAM). Für jede Verarbeitung personenbezogener Daten sieht das deutsche BDSG die sogenannte Eingabekontrolle vor, auch bei Cloud Computing. Ziel der Eingabekontrolle ist, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind. Die Cloud-Protokolle und andere Systemprotokolle müssen vor einem missbräuchlichen Zugriff geschützt werden. Dies verlangt die sogenannte „Besondere Zweckbindung“ (§ 31 BDSG).

Das White Paper zeigt, wie sich die umfangreichen Anforderungen aus dem Datenschutz mit den Lösungen „Shell Control Box“ und „syslog-ng Store Box“ von BalaBit umsetzen lassen. BalaBit Shell Control Box dient der Kontrolle und dem Monitoring privilegierter Aktivitäten, wie sie ein Cloud-Administrator ausübt. BalaBit syslog-ng Store Box ermöglicht ein Log-Management, die Sammlung, Verarbeitung von Speicherung von Log-Dateien von IT-Infrastrukturen, darunter auch Cloud-Services.

„Cloud-Nutzer können durch die Verwendung der BalaBit-Lösungen Shell Control Box (SCB) und syslog-ng Store Box die für den deutschen Markt zentralen Datenschutzforderungen nach Auftragskontrolle, Eingabekontrolle und besondere Zweckbindung von Protokolldaten deutlich besser nachkommen, denn sie erhalten die Möglichkeit, die Aktivitäten von eigenen Mitarbeitern, aber auch von Administratoren des Cloud-Anbieters manipulationssicher nachzuvollziehen. Die Protokolldaten sind vor unbefugten Zugriffen zudem besonders geschützt“, so Oliver Schonschek, Research Fellow bei der Experton Group.

Aber auch Cloud-Provider erhalten Untersützung, so Oliver Schonschek: „Cloud-Anbieter können ihren Kunden mit den BalaBit-Lösungen Shell Control Box (SCB) und syslog-ng Store Box spezielle Überwachungsdienste anbieten oder empfehlen, die dabei helfen, die Sorgen um einen Kontrollverlust bei Cloud Computing zu minimieren. Damit fällt ein wesentlicher Hemmschuh für den weiteren Einsatz von Cloud-Services und es steht ein deutlicher Mehrwert für die Marktpositionierung des Cloud-Providers zur Verfügung.“

Das White Paper „Cloud-Protokollierung und Privileged Access Management (PAM) als Grundbestandteil der Cloud-Sicherheit“ kann bei Experton Group unter clientservice@experton-group.com kostenfrei angefordert werden.

(ID:42988871)