Wo sind meine Daten?
Von Sabine Philipp
Auch wenn das Fraunhofer-Institut in seiner Studie „Cloud Computing Sicherheit – Schutzziele. Taxonomie. Marktübersicht“ festgestellt hat, dass gerade der Mittelstand von speziellen Cloud-Sicherheitslösungen und dem Wissensvorsprung erfahrener Anbieter profitieren können, so sind viele Unternehmer dennoch misstrauisch.
Das gilt gerade in Deutschland, wie die internationale Fujitsu-Studie „Private Daten und Cloud Computing – eine Frage des Vertrauens“, belegt, bei der 6000 Teilnehmer in zwölf Ländern befragt wurden (die englischsprachige Fassung gibt es auf der Fujitsu-Download-Seite).
Der Datenschutz wird neugierig
Nun ist Misstrauen in Deutschland durchaus angebracht, wenn sensible Daten ausgelagert werden. Der Anlass liegt nur z.T. am Cloud Computing selbst – Fakt ist vielmehr, dass hierzulande eine Vielzahl von Gesetzen den Umgang mit Daten regelt, unter anderem das strenge Bundesdatenschutzgesetz (BDSG). Das besagt u.a., dass der Unternehmer nach § 11 BDSG auch dann für die Einhaltung Gesetzes- und Datenschutzvorschriften verantwortlich ist, wenn er personenbezogene Daten von einem anderen erheben, verarbeiten oder nutzen lässt.
Bei der Wahl der Auftragnehmer muss er darauf achten, dass dessen technische und organisatorische Maßnahmen den Vorgaben gerecht werden. Verschiedene Punkte wie die die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags müssen schriftlich geregelt sein. Vor allem darf der Unternehmer die Daten nicht in jedes Land transferieren. So verbietet es die EU-Richtlinie 95/46/EG, personenbezogene Daten in ein Land außerhalb der EU zu schaffen, wenn dieses Drittland kein angemessenes Datenschutzniveau aufweist.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Abhaken nach BSI-Checkliste
Aber selbst wenn die Daten in Deutschland gespeichert werden, so bleiben noch viele Fragen offen. Eine erste Handreichung in Cloud-Sicherheitsfragen ist der Leitfaden des Bundesamts für Sicherheit in der Informationstechnik (BSI), an dem sich Anwender und Anbieter orientieren können. Er soll das Vertrauen in die Technologie stärken, indem er Mindestanforderungen an Cloud-Computing-Anbieter formuliert. Mittlerweile gibt es beim BSI das Eckpunktepapier als PDF zum Herunterladen.
Wichtige Punkte sind, dass Betreiber einer Cloud-Computing-Plattform ein wirksames ISMS (Information Security Management System), bevorzugt nach ISO 27001, umsetzen, dass die Plattformen eine verlässliche Trennung der Mandanten gewährleistet und dass sie über ein Notfallmanagement, basierend auf etablierten Standards wie BS 25999 oder BSI-Standard 100-4, verfügen muss.
Außerdem muss der Anbieter offenlegen, an welchen Standorten er Daten und Anwendungen speichert oder verarbeitet und wie dort der Zugriff durch Dritte geregelt ist. Des Weiteren müssen Cloud-Dienste so gestaltet sein, dass der Cloud-Nutzer seine Daten jederzeit aus der Cloud wieder exportieren kann, wozu die Daten in einem anbieterunabhängigen Format gespeichert sein müssen oder in ein solches umgewandelt werden können. Das Gleiche gilt für den Import von Daten.
Weitere nützliche Hinweise, worauf zu achten ist, geben die zehn Punkte des § 11 BDSG.
Wo ist das Rechenzentrum?
Bei der Wahl des Anbieters ist es sinnvoll, dass die Daten im europäischen Rechtsraum liegen oder – wenn es sich um ein amerikanisches Unternehmen handelt – dass es sich zumindest dem Safe-Harbor-Prinzipien verpflichtet hat. Der Hintergrund ist, dass in den USA ein anderes Verhältnis zum Datenschutz als in Europa herrscht. Um dennoch den Datenverkehr zwischen europäischen und US-amerikanischen Unternehmen aufrecht zu erhalten, wurde diese Vereinbarung getroffen – die allerdings offenbar oft genug verletzt wird. Amerikanische Firmen, die dem Safe Harbor Abkommen beitreten, verpflichten sich jedenfalls förmlich, bestimmte Standards beim Datenschutz einzuhalten und tragen sich dazu auf einer Liste im US-Handelsministerium ein.
Auf Einhaltung pochen
Unabhängig vom Ursprungsland des Anbieters werden die Details des Leistungskatalogs in den Dienstvereinbarungen vereinbart, den Service Level Agreements (SLA). Ob sie eingehalten werden, kann in Service Control Boards (SCB) überprüft werden, bei denen sich beide Seiten in regelmäßigen Abständen absprechen. In den SLA sollte auch festgelegt werden, was passiert, wenn Uneinigkeiten zwischen Anbieter und Nutzer auftreten und der Nutzer das Geld erst einmal einbehält. Provider nehmen in solchen Fällen gerne die Webseite vom Netz – ein Einbehalten der Firmendaten wäre fatal, da sie dem Nutzer betriebswirtschaftlich weh tut.
Eine bekanntere Form von Cloud Computing, die auf weniger Misstrauen stößt, ist Software as a service (SaaS). Nach einer Umfrage der DeloitteConsulting GmbH vom Januar 2011 würden solche Varianten bevorzugt. Bei SaaS wird nur die Software über die Cloud geliefert. Die Daten bleiben im Haus.
Fazit: Punkte im Sicherheitsprogramm
Bei all den Fragestellungen um den Datenschutz und das mögliche Einbehalten der Daten werden aber allzu häufig ganz banale Alltagsfragen unter dem Tisch gekehrt. Dazu gehört die Frage nach Backups. Hier kommt es häufig zu Missverständnissen, da Unternehmer und Anbieter häufig glauben, dass sich die andere Seite Gedanken gemacht hat. Ebenso sollte bedacht werden, wie die Daten in die Cloud und von dort wieder auf die eigenen Systeme migriert werden können.