Mittelstand in der Cloud – mit Sicherheit

Durchgängige Verschlüsselung bei Cloud-Services

| Autor / Redakteur: Detlef Schmuck* / Florian Karlstetter

Zero-Knowledge, Ende-zu-Ende-Verschlüsselung, Versionierung - worauf es bei der Auswahl eines Sync & Share-Service ankommt, erklärt Detlef Schmuck von TeamDrive.
Zero-Knowledge, Ende-zu-Ende-Verschlüsselung, Versionierung - worauf es bei der Auswahl eines Sync & Share-Service ankommt, erklärt Detlef Schmuck von TeamDrive. (Bild: © kras99 - stock.adobe.com)

Viele mittelständische Unternehmen sind einerseits fasziniert von den Vorteilen des Cloud Computing in Bezug auf Einfachheit, Skalierbarkeit und Kostenersparnis, andererseits sind sie verunsichert bei der Frage nach der Sicherheit.

Dabei geht es sowohl um die Sicherheit der Daten vor Verlust, Spionage und Manipulation als auch um den Datenschutz, insbesondere im Angesicht der Datenschutz-Grundverordnung (DSGVO), die im Mai nächsten Jahres in Kraft tritt. Der folgende Artikel gibt einen Überblick, worauf die Unternehmen bei der Wahl eines Cloud-Dienstleisters unbedingt achten sollten.

Viele Cloud-Dienste erfüllen die Basisfunktion, Datenbestände über unterschiedliche Geräte hinweg zu synchronisieren. Experten sprechen von Cloud-basierten Sync&Share-Services. Bei häufig annähernd gleichem Leistungsumfang der Dienste lassen sich indes gravierende Unterschiede bezüglich Datensicherheit und Datenschutz feststellen.

Von US-Anbietern wie Dropbox, Box, Google Drive oder Microsoft One Drive ist in der Regel dringend abzuraten, weil sie „wesentliche Sicherheitskriterien wie Ende-zu-Ende-Verschlüsselung, Zero-Knowledge-System und eine hybride Datenspeicherung nicht unterstützen“ heißt es wörtlich in einem gemeinsamen Report zum Thema der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS) und des Global Information Security Forum im Diplomatic Council, einem Think Tank, der die UNO berät. Im Report werden diese drei Sicherheitsmerkmale als besonders wichtig eingestuft.

Ende-zu-Ende-Verschlüsselung ohne Lücke

Die Ende-zu-Ende-Verschlüsselung sorgt dafür, dass die Daten weder bei der Übertragung noch bei der Speicherung im Internet unverschlüsselt sind. Ein Zero Knowledge-System bedeutet, dass selbst der Anbieter die Daten nicht entschlüsseln und lesen kann – auch nicht im Falle einer behördlichen Anordnung. US-Anbieter können diese Funktion im Grunde per se nicht anbieten, weil die US-amerikanische Gesetzgebung (US Patriot Act) ausdrücklich vorschreibt, dass Firmen den Behörden Auskunft erteilen müssen.

Aufgepasst: Viele US-Anbieter werben mit „Höchster AES Verschlüsselung-Verschlüsselung“ – das heißt jedoch nicht, dass die Anbieter selbst und Behörden – und dazu zählen natürlich auch die Geheimdienste – keinen Zugang hätten. Unternehmen sind sicherlich gut beraten, ihre Betriebsgeheimnisse nicht auf diese Weise einer unerwünschten Zielgruppe preiszugeben. Ein deutscher Anbieter, der seinen Hauptsitz in Deutschland hat, seine Datenserver in Deutschland betreibt und damit ausschließlich dem deutschen Recht unterliegt und somit Ende-zu-Ende-Verschlüsselung mit Zero Knowledge-System garantiert, stellt eindeutig die bessere Wahl dar.

Daten mehrfach speichern und sichern

Die hybride Datenhaltung ist für viele mittelständische Firmen der beste Weg in die Cloud. Dabei ist zu unterscheiden zwischen der Datensicherheit und dem Datenschutz. Für die Datensicherheit ist es von Bedeutung, dass die Daten nicht etwa ausschließlich in der Cloud sind, sondern dass sie gleichermaßen in der Cloud wie auch offline gehalten werden. Geht der Cloud-Zugang „verloren“, sind die Daten noch auf dem verfügbar – und umgekehrt. Das dient der Datensicherheit und der schnellen Verfügbarkeit wenn das Netz einmal nicht da ist.

Für den Datenschutz kann es sinnvoll sein, die personenbezogenen Daten – und um die geht es beim Datenschutz – weiterhin komplett firmenintern zu halten und lediglich die weniger datenschutzkritischen Datenbestände in die Cloud zu verlagern. Sofern die Gewährleistung besteht, dass der Cloud-Anbieter sich strikt an den deutschen Datenschutz hält, ist diese Absicherung allerdings in der Regel nicht notwendig. Nur Anbieter mit vollständiger Ende zu Ende Verschlüsselung und Datenhaltung aller verschlüsselten Daten in Deutschen Rechenzentren reduzieren potentielle Haftungsrisiken für die Geschäftsführer deutlich.

Durch diese redundante Speicherung und eine unveränderbare Versionierung – es lassen sich keine Daten nachträglich manipulieren - gehen keine Daten verloren, etwa durch technisches Versagen oder durch einen Angriff aus dem Internet. Die Daten bleiben jeweils wiederherstellbar. Diese Form der hybriden Datenhaltung sollte eine mittelständische Firma durchaus als K.o.-Kriterium bei der Auswahl eines Cloud-basierten Sync & Share Services einstufen, damit bei einem Datenverlust in der Cloud nicht auf einen Schlag sämtliche Daten „non-existent“ sind.

Wer? Wann? Was?

Ebenfalls von hoher Bedeutung sind ein Audit-Trail-Space und eine 2-Faktor-Authentifizierung. Ein Audit-Trail-Space ermöglicht es, jederzeit zu prüfen, wer wann Zugriff auf die Daten hatte und vor allem von wem die Daten geändert, verschoben oder gelöscht wurden, in der Regel über Jahre hinweg. So lassen sich beispielsweise auch Manipulationen aus dem Unternehmen heraus feststellen. Zudem ist diese Funktion von hoher Bedeutung, wenn etwa im Rahmen eines Kundenprojektes mehrere Firmen auf ein- und denselben Datenbestand Zugriff erhalten sollen. Über den Audit-Trail-Space lässt sich zu einem späteren Zeitpunkt jederzeit feststellen, aus welchem Unternehmen heraus welche Zugriffe und Änderungen erfolgt sind.

Die 2-Faktor-Authentifizierung sieht vor, dass für jeden Zugang zu den Daten zwei Hürden überwunden werden müssen. Typisches Beispiel: Nach dem Zugangsversuch mittels Passwort im Web wird auf eine zuvor hinterlegte Mobilfunknummer eine PIN gesendet, die zusätzlich ins Web eingegeben werden muss, um die Zugangsberechtigung nachzuweisen. Diese zusätzliche Sicherheitshürde ist beispielsweise von Bedeutung, wenn Passworte unberechtigt weitergegeben oder entwendet werden.

Detlef Schmuck, Geschäftsführer TeamDrive GmbH.
Detlef Schmuck, Geschäftsführer TeamDrive GmbH. (Bild: TeamDrive Systems)

Datenschutz nach DS-GVO

Beim Datenschutz ist nicht nur die heutige Datenschutzgesetzgebung in Deutschland zu berücksichtigen, sondern auch schon die Datenschutz-Grundverordnung (DS-GVO), die im Mai 2018 in Kraft tritt. Dies lässt sich gewährleisten, indem ein Sync&Share-Service eingesetzt wird, der der DS-GVO entspricht. Das gilt umso mehr, als sich der Bußgeldrahmen mit der DS-GVO drastisch verschärft hat. Die beteiligten Personen haben Geldbußen bis zu 20 Millionen Euro zu erwarten. Gegen Unternehmen können je nach Verstoß Geldbußen von bis zu 2 bzw. 4 Prozent des Jahresumsatzes festgesetzt werden. Reduzieren lässt sich dieses Haftungsrisiko durch die Wahl einer Ende-zu-Ende Verschlüsselung und die ausschließliche verschlüsselte Speicherung der Daten in der Cloud.

Externe Audits und Datenschutz Datenschutzgütesiegel

Jeder Cloud Service sollte regelmäßig durch unabhängige Sachverständige auditiert sein. Ein wesentlicher Indikator für einen sicheren Cloud-Dienst stellt das deutsche Datenschutzgütesiegel des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein dar. Hierbei ist es sicherlich als positiv zu bewerten, wenn der Service auch für Berufsgeheimnisträger wie Amtsträger, Ärzte, Anwälte, Steuerberater, Wirtschaftsprüfer und für den öffentlichen Dienst Verpflichtete empfohlen wird.

* Detlef Schmuck ist Geschäftsführer TeamDrive.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44909685 / Cloud und Virtualisierung)