Sicherheits- und Datenschutzfragen in der Cloud
//
Hybrid Cloud, IT & Management Consulting, Security & Compliance
Wolkige Aussichten?
In den letzten Wochen und Monaten sind die Publikationen zu dem Thema Sicherheit und Datenschutz in der Cloud wie Pilze im Spätsommer aus dem Boden geschossen. Nahezu alle namhaften Institutionen und Firmen haben ihre Meinung in den Ring geworfen und die notwendigen Schritte für einen sicheren Betrieb oder die sichere Nutzung von Cloud Services aufgezeigt. Nichtsdestoweniger lohnt sich ein Blick auf die Gemeinsamkeiten und Unterschiede der Positionen und welche Schlüsse ein Unternehmen aus den Ausführungen ziehen kann, wenn es sich mit den Möglichkeiten einer Verlagerung von Teilen seiner IT in die Cloud beschäftigt.
Sorgenfalten auf der Stirn
Nach einer Studie der cio.com führten schon im Jahre 2008 Sicherheitsbedenken die Rangliste der größten Bedenken bei der Beschäftigung mit dem Thema Cloud Computing an. Wenn man die, gerade im Vergleich mit der Gesetzeslage in den Vereinigten Staaten, strengeren deutschen bzw. europäischen rechtlichen Vorgaben bedenkt, kann man die in der letzten Zeit nochmals intensivierte Beschäftigung mit dem Thema durchaus nachvollziehen. Dies bestätigt dann auch eine IDC Umfrage bei IT-Entscheidern vom März diesen Jahres. Aus der Studie ergibt sich, dass noch immer die Sicherheitsbedenken als größte Barriere bei der Nutzung von IT-Dienstleistungen aus der Cloud gelten.
Spätestens seit das Bundeministerium für Sicherheit in der Informationstechnologie (BSI) sein Eckpunktepapier mit Sicherheitsempfehlungen für Cloud Computing Anbieter veröffentlicht hat, ist die Frage nach der Informationssicherheit beim Cloud Computing endgültig auf der Agenda all derer gelandet, die schon ihre IT oder Teile davon in die IT-Wolke ausgelagert haben oder sich mit dem Gedanken beschäftigen, dies zu tun. Ziel der Ausführungen des BSI ist es, den Stand der Diskussion zusammen zu fassen und ein Grundgerüst an Sicherheitsanforderungen zu definieren, die aber auch flexibel genug sind, sich an die häufig wechselnden Gegebenheiten im Cloud Computing Umfeld anzupassen. Das Potenzial der Cloud wird von den Verfassern selbstverständlich gesehen, die erforderlichen Sicherheitsüberlegungen machen es aber nach Ansicht des BSI erst möglich, die Vorteile wie Flexibilität und Effizienz auch wirklich zu nutzen.
Auch die BITKOM, als IT-Branchenverband, sieht im Thema Sicherheit den wichtigsten Erfolgsfaktor des Cloud Computing. Nach den Verfassern „steht und fällt Cloud Computing als Basisinnovation“ mit der Erreichung der für den Dienstleistungsnehmer notwendigen Sicherheitsvorgaben. Eine ähnliche Position vertritt auch das itSMF Deutschland e.V. in dem Positionspapier zum Cloud Computing.
Auch in den Branchenmedien wie der Computerwoche oder dem CIO Magazin vergeht kaum eine Woche, ohne dass neue Artikel oder Kommentare zu der Thematik Cloud und Sicherheit erscheinen. Dabei sind es vor allem zwei Schwerpunkte, die immer wieder angesprochen werden.
Da ist zum einen der Bereich der Nutzung von Cloud Services unter Umgehung der IT-Abteilung. Gerade wenn die Nutzung immer einfacher wird und man außer einem Browser mit Internetzugang keine weiteren technischen Voraussetzungen erfüllen muss, ist es ein Einfaches für die Fachabteilungen, solche Angebote auch zu nutzen. Das Umgehen der im Unternehmen vorliegenden Sicherheitsvorgaben ist so ein leichtes, wobei hinzu kommt, dass nicht nur die Tools online genutzt werden, sondern dann häufig auch die Daten ‚irgendwo‘ beim Anbieter abgelegt werden.
Der zweite große Aufgabenkreis ist der der Compliancefragen. Und dort liegt der Schwerpunkt vor allem bei den Datenschutzfragen, die sich aus den verteilten Architekturen im Cloud-Umfeld ergeben.
Datenschutz in der Cloud: die neue Unübersichtlichkeit
Dass der Datenschutz nach den jüngsten Skandalen große Aufmerksamkeit benötigt, ist keine neue Erkenntnis. Je nach Nutzung der Cloud, ob nun private-, hybrid- oder public- cloud, können die Anforderungen variieren. Eine eingehende Analyse der Situation ist daher grundsätzlich zu empfehlen, um rechtlich auf der sicheren Seite zu sein.
Bei einer private cloud kann das Thema noch verhältnismäßig einfach betrachtet werden. Es gelten die für die Branche des Unternehmens üblichen Gesetze und Vorgaben inklusive des Bundesdatenschutzgesetzes (BDSG). Bei den anderen Formen wird die Situation schon deutlich schwieriger.
Für Unternehmen, die beabsichtigen, IT-Services aus der Cloud zu beziehen, ist es wichtig zu wissen, dass das BDSG den Inhaber von personenbezogenen Daten als die ‚verantwortliche Stelle‘ definiert. Die Folge ist nämlich, dass das Unternehmen, welches das Recht an den Daten hält, immer verantwortlich für die Einhaltung des Datenschutzes bleibt. Dies gilt auch, wenn die eigentliche Erhebung, Verarbeitung oder Verwertung der Daten in die Cloud auslagert wird. Die Verantwortung kann also nicht delegiert werden. Da jede Nutzung von personenbezogenen Daten nach dem BDSG zweckgebunden ist, muss das Unternehmen sicherstellen, dass die Daten auch nur für den zuvor von dem Betroffenen (d.h. das Individuum, welches durch die Daten beschrieben wird) eingewilligten Zweck genutzt werden. Was bei Daten, die sich nicht in den eigenen IT-Systemen befinden, sehr schwierig sein kann, zumal man nicht zwingend wissen kann, wo sich die Daten befinden.
Aus der Frage nach dem Datenspeicherort ergibt sich gleich der nächste wunde Punkt. Das BDSG gibt vor, dass personenbezogene Daten allein in der EU und einigen Ländern genutzt und gespeichert werden dürfen. Gerade dies kann bei weltweit agierenden Serviceanbietern schwer nachzuvollziehen sein. Eine Möglichkeit ist es dann, dass sich der Cloud Anbieter den Safe-Harbour Regelungen unterwirft, d.h., dass er sich auch bei eher laxen Datenschutzgesetzen im Standortland der Datenspeicher zu erhöhten Sicherheitsmaßnahmen verpflichtet. Dies entledigt das auslagernde Unternehmen aber nicht davon sicherzustellen, dass dies auch so ist und bei Verstößen die Betroffenen aktiv zu informieren.
Fazit: Es geht, aber Augen auf!
Auch wenn es auf den ersten Blick danach ausschaut, dass das deutsche Datenschutzgesetz der Nutzung von Cloud Services einen Riegel vorschiebt, es gibt genügend Szenarien, in denen der Rückgriff möglich ist. Es sollten nur ein paar Punkte dabei beachtet werden. Zuerst sollte die Frage gestellt werden, welche Daten überhaupt geeignet sind bzw. ob es andere Alternativen gibt. So sind ja auch verteilte Lösungen mit einer in der Cloud gehosteten Anwendung und einer die Daten vorhaltenden eigenbetriebenen Datenbank vorstellbar. Und wenn man dennoch bestimmte Dienstleistungen als Auftragsdatenverarbeitung aus der Cloud beziehen möchte (oder gar muss), sollte geklärt werden, wie der Lieferant ein angemessenes Datenschutzniveau gewährleistet und wie man dies überprüfen kann. Auch sollte im Einzelfall überlegt werden, gesonderte Vereinbarungen zu dem Thema zu treffen.
