Suchen

Konzepte für Sicherheit beim Cloud Computing Sicherheitslücke „Mensch“ gefährdet rechtssichere Cloud

Autor / Redakteur: Claudia Seidl * / Florian Karlstetter

Teile im Bereich der IT in Cloud-Dienste auszulagern, ist keine leichte Entscheidung für Unternehmen: Die Verantwortlichen müssen zunächst klären, ob die sensiblen Unternehmensdaten auf den Außerhaus-Rechnern tatsächlich sicher gelagert sind. Das Problem steckt im Detail, wie dieser Beitrag zeigt.

Firmen zum Thema

Es gibt eine Reihe organisatorischer Sicherheitskonzepte die zu beachten sind, um Rechtssicherheit beim Cloud Computing gewährleisten zu können.
Es gibt eine Reihe organisatorischer Sicherheitskonzepte die zu beachten sind, um Rechtssicherheit beim Cloud Computing gewährleisten zu können.
(Bild. Uniscon)

Da die Sicherheit bei der Auslagerung von Daten ein k.o.-Kriterium ist, muss und wird jeder Cloud-Anbieter behaupten, dass die Daten in seinem Rechenzentrum „in besten Händen“ sind. Darin steckt dann bereits die erste und größte Sicherheitslücke des Cloud Computing: Die Daten sind in anderen Händen.

„Der Diebstahl von Daten lässt sich mit organisatorischen Sicherheitskonzepten verhindern“, heißt es gern, um besorgte Unternehmensvertreter zu beruhigen. Darunter verstehen die Anbieter von Cloud-Diensten Maßnahmen wie das Vier-Augen-Prinzip, bei dem nur zwei Personen gleichzeitig auf die Daten zugreifen können.

In allen organisatorischen Sicherheitskonzepten bleibt aber der Unsicherheitsfaktor Mensch bestehen. Denn Menschen sind bestechlich oder erpressbar. Ein Administrator der bei laufendem Betrieb Wartungsarbeiten vornimmt, könnte ohne weiteres jene Daten abzapfen, die im aktiv laufenden Betrieb nur unverschlüsselt verarbeitet werden können. Dieses Sicherheitsrisiko muss allein durch technische Maßnahmen ausgeschlossen werden.

Rechtlich gilt es Geheimnisse mit allen Mitteln zu wahren

Wegen dieser Sicherheitslücke dürfen Behörden ebenso wie Ärzte, Anwälte und alle anderen Berufsgeheimnisträger nur dann in die Cloud, wenn es zu keiner Offenbarung von Geheimnissen kommt. Rechtlich ist das allerdings bereits eingetreten, wenn Dritte von Geheimnissen – und dazu zählen unter anderem personenbezogene Daten – theoretisch Kenntnis nehmen könnten.

Für Steffen Kroschwald, Jurist in der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) an der Universität Kassel, ist der Berufsgeheimnisträger daher „für den gesamten Daten-Weg verantwortlich“. Da er sich sogar strafbar machen könne, sei es „unabdingbar, dass er besonders hohe Anforderungen zur Datensicherheit an sich, an die Datenübertragung und an den Dienstanbieter stellt.“ [Quelle: Steffen Kroschwald, Magda Wicker, Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB. CR 2012, 758-764.]

Das Konzept der Basistechnologie Sealed Cloud sieht Kroschwald als einen der wenigen Ansätze, die dieses Sicherheitsrisiko, nämlich, dass der Dienstbetreiber auf unverschlüsselte Daten zugreifen kann, per Definition ausschließen. Die so genannte „Betreibersicherheit“ bedeute, dass Daten auf Infrastruktur-, Plattform- und Applikationsebene auch vor den Zugriffen des Cloud-Betreibers sicher seien.

Das Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG) kann daher den Kommunikationsdienst Idgard empfehlen, da er auf Basis der Sealed Cloud läuft. Mit ihm können Ärzte, Krankenhäuser und Patienten – nach Kroschwalds Definition – rechtskonform über das Internet kommunizieren.

Seit Herbst 2014 stehen Sealed-Cloud-Schnittstellen bereit, um Unternehmen eine datenschutz- und rechtskonforme Infrastruktur zur Verfügung zu stellen. Dabei können diese entweder direkt auf der Plattformschicht aufsetzen und die Grundsätze der Betreibersicherheit selbst implementieren. Oder aber sie nutzen die generischen Funktionen des bereits existierenden Kommunikationsdienstes Idgard. Damit lässt sich der Dienst direkt in existierende Geschäftsprozesse integrieren.

Verräterische Metadaten vermeiden

Eine weitere Voraussetzung für die Berufsgruppen mit besonderen Datenschutz-Anforderungen, wenn sie Cloud Computing einsetzen wollen, ist, dass der Schutz der Metadaten geklärt sein muss. Denn aus diesen Daten, die Dateien näher beschreiben, lässt sich mit den entsprechenden Programmen leicht herausfinden, wer wann wie oft und wie viel miteinander Kontakt hat. Daraus leiten Online-Profiler oder -Analysten dann ein umfassendes Abbild der Tätigkeiten einzelner Personen oder auch ganzer Unternehmen ab. Deshalb gelten solche Daten als besonders schützenswert.

Allzu viele Konzepte zum Schutz der Metadaten, die unternehmenstauglich sind, gibt es allerdings nicht. Will ein Unternehmen nicht mehrere Technologie-Lösungen einsetzen, um datenschutzkonform zu kommunizieren, wird es laut Felix Freiling, Professor für Informatik an der Friedrich-Alexander-Universität in Erlangen noch enger:: „Die Sealed Cloud ist die einzig mir bekannte Lösung am Markt, die auch die Metadaten einer Kommunikation effektiv schützt, und zwar auch vor unberechtigten internen Zugriffen.“

* Claudia Seidl, Freie Journalistin aus München.

(ID:43110039)