Der Trend zu Cloud Computing setzt sich fort – aber auch die Sorge um die Cloud-Sicherheit. Cloud Services sind flexibel und skalierbar. Unternehmen zahlen nur das, was sie nutzen. Darüber hinaus bietet Cloud Computing die Möglichkeit, IT-Kosten an den Anbieter auszulagern. Doch wie steht es mit der Sicherheit?
Was bedeutet Cloud-Sicherheit?
Cloud-Sicherheit bedeutet, dass im Vorfeld Maßnahmen getroffen werden, damit bestimmte Sicherheitsrisiken und Bedrohungen gar nicht erst eintreten.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat einen umfangreichen Katalog solcher Gefährdungen angelegt. Dazu gehören z. B. Elementarschäden durch Umweltkatastrophen.
Außerdem können Daten versehentlich oder durch kriminelle Energie beschädigt, gelöscht, manipuliert oder entwendet werden. Die Gründe dafür sind vielfältig: Passwörter werden durch „Phishing“ gestohlen, Berechtigungen werden unfachmännisch vergeben, es treten Fehlfunktionen oder Anwenderfehler auf, Dienste werden durch interne oder externe Personen sabotiert.
Manchmal hebeln auch Unterschiede in der Rechtsprechung die Cloud-Sicherheit aus: So müssen Unternehmen mit einem Serverstandort in den USA nach der dortigen Gesetzeslage (Patriot Act) ihre Kundendaten der NSA offenlegen, während eine solche Offenlegung nach deutschem und europäischem Datenschutzrecht ausgeschlossen ist.
Elemente von Cloud-Sicherheit
Aus den vielfältigen Bedrohungen ergeben sich vielfältige Maßnahmen für den Datenschutz. Doch häufig stellen Unternehmen nur die Frage nach der „Verschlüsselung“ der Daten, ohne die übrigen Aspekte der Cloud-Sicherheit zu berücksichtigen. Das Management sieht Unternehmensinformationen vor allem durch Internet-Kriminalität bedroht. Experten betonen dagegen immer wieder, dass Data Security eine ganzheitliche Aufgabe ist.
Physischer Datenschutz
Räume und Gebäude, die Server mit schutzwürdigen Informationen enthalten, sind gesichert. Das bedeutet, dass nur autorisiertes Personal Zutritt zu den Rechnern hat.
Im günstigsten Fall besitzt der Cloud-Anbieter im Rechenzentrum eigene Server, zu denen nur seine Experten Zutritt haben.
Das Rechenzentrum muss rund um die Uhr bewacht werden. Durch geeignete Gebäudetechnik (Klimaanlage, Brandschutz, Schließtechnik, Videoüberwachung, Alarmanlage, Kühlung, Überwachung von Umweltbedingungen durch Sensoren usw.) muss die Sicherheit der Rechner und Datenträger gewährleistet sein.
Die unterbrechungsfreie Stromversorgung und der Internet-Zugang müssen auch für den Fall gewährleistet sein, dass z. B. bei Bauarbeiten ein Kabel gekappt wird.
Es sollte eine redundante Datenhaltung geben, d. h. dass die Server von anderen Servern an anderen Standorten gespiegelt werden. Diese können bei einem eventuellen Ausfall eines Servers dessen Aufgaben nahtlos übernehmen.
In einem solchen Szenario sind die Daten und Prozesse mehrmals an verschiedenen Orten vorhanden. Sobald ein Server, ein Speichermedium oder eine Anwendung aus irgendeinem Grund an einem der Standorte ausfällt, springt der “Spiegelserver” an einem andere Standort ein, ohne dass der Anwender oder Kunde es merkt. Es entsteht keine Lücke in der Service-Erbringung.
Technischer Datenschutz
Unter technischem Datenschutz sind Maßnahmen zu verstehen, die durch Programmierung und Administration der Systeme für Cloud-Sicherheit sorgen:
- Jegliche Datenübertragung, insbesondere alle Passwörter und Transaktionen, sollten verschlüsselt sein. Es müssen starke Verschlüsselungsverfahren (z. B. AES) und sichere Netzwerkprotokolle (z. B. SSL, SSH oder TLS) verwendet werden.
- Bei besonders schutzwürdigen Daten ist eine End-to-End-Verschlüsselung unter Umständen notwendig.
- Für die Kunden sollte eine Zwei-Faktor-Authentifizierung angeboten werden.
- Gelungene und missglückte Anmeldeversuche sollten protokolliert werden.
- Protokollierungsdaten sollten (im Fall von Sicherheitsvorfällen) eine Benutzer-Identifizierung auf Tenant-Ebene ermöglichen. Der Zugriff auf und die Überwachung von Protokollierungsdaten ist auf ausgewählte Experten beschränkt.
- Eine Überwachung von Sicherheitsvorfällen (Intrusion Detection) mit Protokollierung sollte stattfinden.
- Firewall- und Virenschutz-Technologie sollte eine Selbstverständlichkeit sein. Das ist ein zentraler Baustein für die Internet-Security.
- Es müssen zuverlässige Verfahren für eine regelmäßige (mindestens tägliche) Datensicherung etabliert sein. Die gesicherten Daten sollten an einem anderen Standort aufbewahrt werden, was bei einer redundanten Datenhaltung gewährleistet wäre.
- Bei Mobile Apps dürfen keine Abstriche an die Data Security vorgenommen werden.
Organisatorischer Datenschutz
Organisatorische Maßnahmen sind sowohl auf Seiten des Anbieters als auch auf Seiten des Kunden notwendig. Dieser Artikel behandelt die Anbieterseite:
- Der Cloud-Anbieter sollte genügend Verarbeitungskapazitäten und Ressourcen bereitstellen, um die Anforderungen seiner Kunden erfüllen zu können. Dazu müssen Nutzungstrends analysiert und Prognosen erstellt werden.
- Es sollte eine strikte Mandantentrennung gewährleistet sein.
- Der Zugriff auf und die Überwachung von Protokollierungsdaten ist auf ausgewählte Mitarbeiter beschränkt.
- Generell sollten die Zugriffsrechte von internen und externen Mitarbeitern bzw. Subunternehmern des Cloud-Anbieters klar auf den jeweiligen Zuständigkeitsbereich beschränkt werden. Die Berechtigungen sollten nach dem Prinzip „so viel wie nötig, so wenig wie möglich“ erteilt werden und Funktionstrennung berücksichtigen.
- Gleiches gilt für den Zutritt des technischen Wartungspersonals zu den abgeschlossenen Räumlichkeiten in dem Rechenzentrum, in dem die Server stehen.
- Der Cloud-Anbieter sollte seine Software und Hardware auf dem aktuellen Stand halten und laufend auf bekannte Schwachstellen hin überprüfen.
- Es müssen zuverlässige Prozesse, z. B. für Sicherungs- und Wiederherstellungsprozeduren, etabliert sein.
Rechtliche Aspekte
Die Anforderungen an den Datenschutz werden in Deutschland durch das Bundesdatenschutzgesetz (BDSG) festgelegt. Darüber hinaus gelten aber noch weitere Gesetze und Rechtsnormen. Dazu gehören z. B. das Telekommunikationsgesetz (TKG), die Abgabenordnung (AO) und je nach Einsatzbereich weitere so genannte Compliance-Regelungen, wie z. B. die GoBD.
Das BSI hat in seinen IT-Grundschutz-Katalogen umfangreiche Empfehlungen an IT-Anbieter formuliert. Einige Cloud-Unternehmen lassen sich bereits nach den IT-Grundschutz-Regelungen zertifizieren, aber dieser Prozess steht noch am Anfang.
Für Unternehmen, die buchhalterische Prozesse über Cloud Software abwickeln oder Buchhaltungsbelege in ihrem Online-Speicher archivieren, ist eine Zertifizierung nach IDW PS 880 wichtig. Diese bescheinigt, dass der Cloud-Anbieter die „Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informationstechnologie“ erfüllt.
Rechenzentren sollten in Deutschland stehen; damit unterliegen sie dem strengen, deutschen Datenschutzrecht. Sie sollten aktuelle Zertifizierungen nach ISO / IEC besitzen, z. B. ISO 27001.
Verantwortung liegt beim Unternehmer
Die Verantwortung für den organisatorischen Datenschutz liegt beim Management des Unternehmens, das diese Technologie nutzt. Daran ändert sich auch dann nichts, wenn der Unternehmer seine Daten und/oder Prozesse in die Cloud auslagert. Die Verantwortung geht durch diesen Schritt nicht auf den Cloud-Anbieter über.
Daher sollten Unternehmen, die Cloud-Dienstleistungen nutzen – z. B. Cloud-Speicher oder andere Unternehmenssoftware – ihre Provider sorgfältig auswählen. Es muss gewährleistet sein, dass alle rechtlichen Vorgaben eingehalten werden und dass die Daten wirklich sicher sind.
Die richtigen Fragen stellen
Wer Cloud Computing für sein Business in Betracht zieht, sollte ruhig eine Reihe von Fragen stellen, um sich von der Sicherheit seiner Daten bei dem entsprechenden Cloud-Unternehmen zu überzeugen. Ein Blick in die AGB des Cloud-Anbieters ist ebenfalls zu empfehlen.
Fazit
Datenschutz ist mehr als nur Verschlüsselung. Er beinhaltet ein ganzes Bündel von physischen, technischen, organisatorischen und rechtlichen Maßnahmen und Aspekten. Seriöse Anbieter von Cloud-Software sollten diese Sicherheitsmaßnahmen umsetzen und ihre Kunden bei einer sicheren Datenhaltung und –Verarbeitung beraten und unterstützen.
Dazu sind sie in der Regel auch besser gerüstet als die Kundenunternehmen selbst. Welcher Mittelständler verfügt schon über redundante, hochsichere Serverstandorte und eine ganze Armada von hochqualifizierten IT-Administratoren? Unter diesem Blickwinkel ist es am besten, wenn sich jeder mit seiner Kernkompetenz beschäftigt: Der Cloud-Anbieter mit dem Datenschutz und der Unternehmer mit seinem eigentlichen Geschäftsgegenstand.