Cloud Computing ohne Donnerwetter Sicherheit und Datenschutz als Auswahlkriterien für Cloud-Dienste

Autor / Redakteur: Ralf Schiemann, IQ-NET AG / Stephan Augsten

Cloud Computing gehört zu den bestimmenden IT-Themen in 2011 und immer mehr Unternehmen wagen sich in die Wolke. Doch wie sicher ist der Weg und worauf sollten Unternehmen achten? In diesem Beitrag erörtert Ralf Schiemann von der IQ-NET AG einige Eigenheiten von Cloud Services.

Firmen zum Thema

Der mögliche Abfluss sensibler Informationen ist eines der Hauptargumente gegen das Cloud Computing.
Der mögliche Abfluss sensibler Informationen ist eines der Hauptargumente gegen das Cloud Computing.
( Archiv: Vogel Business Media )

Cloud Computing repräsentiert ein Service-Modell, bei dem auf Ressourcen wie Rechenleistung, Speicherplatz, Applikationen und andere Arten von Services on Demand zugegriffen werden kann. Cloud Services verbessern daher die Skalierbarkeit und sind flexibel anwendbar. Das macht sich auch bei den Kosten bemerkbar.

Die Basis der Idee ist der „Pay as you Go“-Ansatz: Es werden lediglich Leistungen berechnet, die zu diesem Zeitpunkt auch tatsächlich genutzt werden. Die Anwender betreiben ihre IT-Landschaft – oder zumindest einen Teil davon – somit nicht mehr selbst, sondern mieten einen Anbieter dafür.

Die Anwendungen und Daten befinden sich dann nicht mehr auf dem lokalen Rechner, sondern in einem nicht näher spezifizierten Teil des Internets, der sogenannten Wolke. Es gibt vier Arten von Clouds, zwischen denen unterschieden werden muss – auch hinsichtlich des Datenschutzes.

  • Private Cloud: Hier befinden sich Anbieter und Nutzer im selben Unternehmen, datenschutzrechtlich gibt es kaum Bedenken.
  • Public Cloud: Die Public Cloud ist eine öffentliche Cloud, die von beliebigen Personen und Unternehmen genutzt werden kann. Daher birgt diese Variante die Gefahr, dass sich datenschutzrechtliche Probleme ergeben könnten.
  • Hybrid Cloud: Hier betreibt ein Unternehmen eine eigene Private Cloud und nutzt zusätzlich, als Failover-Strategie oder als Puffer für Mehrbelastungen, eine Public Cloud. Für die Daten in der Public Cloud gilt das oben Gesagte.
  • Virtual Private Cloud: Hier existiert eine Private Cloud innerhalb der Public Cloud. Anwender haben einen privaten Bereich und können zeitgleich die enormen Ressourcen der Public Cloud nutzen.

Seite 2: Welcher Cloud-Ansatz ist der richtige?

Welcher Cloud-Ansatz ist der richtige?

Die Ansprüche im Datenschutz sind das entscheidende Kriterium für die Auswahl der Cloud-Form. Unternehmen sollten sich daher bei der Entscheidung genau überlegen, wie sensibel ihre Daten sind und dabei die Datenschutz-Richtlinien im Auge behalten. Zum einen, weil sie in einigen Fällen für den Verlust haftbar gemacht werden können. Zum anderen, weil Wirtschaftsspionage in Zeiten des Internets stetig zunimmt.

Bedienfehler, Cyberkriminalität sowie nicht ausreichende Gesetzesgrundlagen in den Ländern, in denen sich der Sitz des Cloud-Anbieters befindet, sind die drei Ursachen für einen Datenverlust in der Cloud. Der gravierendste Unterschied bei der Entscheidung für die Cloud-Form ist das Kriterium, ob sich Unternehmen an deutsche, europäische oder eben an keine besonderen Datenschutz-Vorschriften halten müssen.

So gilt für Unternehmen mit Sitz in Deutschland das seit 1984 bestehende Bundesdatenschutzgesetz. Laut dem Gesetz ist daher das Unternehmen für die Daten verantwortlich, das personenbezogene Daten für sich erhebt, verarbeitet oder nutzt. Dieses muss den Datenschutz entsprechend gewährleisten. Auf Grundlage der Auftragsdatenverarbeitung dürfen auch weitere Parteien in den Prozess mit einbezogen werden, in diesem Fall müssen sie jedoch die Anforderungen des § 11 Bundesdatenschutzgesetz (BDSG) erfüllen.

Aus Sicht der Datenschützer sind beim Cloud Computing nur die personenbezogenen Daten relevant. Unternehmen tun allerdings gut daran, auch ein Augenmerk auf den Schutz ihrer sensiblen Daten, wie beispielsweise Entwicklungsdaten, zu legen. Eine gesicherte Verwendung von Cloud Computing wird durch zwei Vorkehrungen gewährleistet: Eine Einrichtung zum Schutz der gespeicherten Daten sowie eine Absicherung der darunterliegenden Instanz, die den Zugriff auf die Daten ermöglicht.

Die beste Maßnahme zum Schutz der Daten in der Cloud bietet derzeit die Verschlüsselung des externen Storage. Die Verschlüsselung sollte mit einem separaten Schlüssel-Management umgesetzt werden, das nicht innerhalb der Cloud betrieben wird. Dieser Ansatz ist auch unter dem Begriff Private-Key-Management bekannt.

Beim Private-Key-Management behält nicht mehr der Cloud-Anbieter, sondern der Kunde selbst den Schlüssel. Die Daten werden verschlüsselt in der Cloud gespeichert. Somit werden die Daten mit Hilfe des Verfahrens bereits während des Ablegens in der Wolke geschützt. Der geheime Schlüssel zum Zugriff auf die Daten wird beim Anbieter der Verschlüsselungslösung – oder auch beim Kunden selbst – verwahrt. Der Cloud-Anbieter hat keine Möglichkeit, die eigentlichen Daten zu lesen. Gleiches gilt für Mitnutzer der Cloud. Gehen die Daten verloren, sind sie weiterhin verschlüsselt und für Externe unbrauchbar.

Fazit

Bei der Umsetzung von Cloud Services müssen sich Unternehmen ihrer Verantwortung bewusst sein und penibel auf die Datensicherheit achten. Denn sollten Daten verloren gehen oder gar gestohlen werden, haftet in der Regel das Unternehmen hierfür. Um potentielle Regressansprüche abzuwenden, wählen die Verantwortlichen im Idealfall einen Cloud-Anbieter, der seine Dienste konform zu den national und international geltenden Datenschutz-Richtlinien betreibt.

Zudem sollten sie sicherheitsrelevante Daten verschlüsseln und sehr kritische Informationen, wie z.B. Personaldaten, Daten aus F&E, etc. bestenfalls gar nicht in die Cloud geben. Zumindest nicht, so lange es keine internationalen Regeln in diesem Bereich gibt und Anbieter durch externe Zertifikatsvergabe als sicher deklariert werden können.

Ralf Schiemann ist Chief Technology Officer (CTO) der IQ-NET AG.

(ID:2052852)