Categories
Management @de

Die Herausforderungen des Cloud Computing: Datenschutz und Datensicherheit

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Datenschutz und Datensicherheit

Während der Nutzung einer Public Cloud werden die Daten eines Unternehmens immer an einen Cloud Anbieter übertragen. Aus diesem Grund sind viele Kritiker der Meinung, dass Cloud Computing von der rechtlichen Seite betrachtet nicht zulässig sei, da die Anforderungen des Datenschutzes an dieser Stelle nicht erfüllt werden.

Arnd Böken zeigt, dass es rechtlich ohne weiteres möglich ist, personenbezogene Daten innerhalb einer Public Cloud verarbeiten zu lassen, wenn das Unternehmen und der Cloud Anbieter bestimmte Voraussetzungen einhalten. Der Cloud Anbieter wird dafür als Auftragsdatenverarbeiter für das Unternehmen tätig.
Nach §11 Bundesdatenschutzgesetz (BDSG) muss das Unternehmen den Cloud Anbieter zunächst sorgfältig auswählen, um diesen die Auftragsdatenverarbeitung vornehmen zu lassen. Dazu hat es die Pflicht, “[…] zu prüfen, ob der Anbieter geeignete technische und organisatorische Schutzmaßnahmen getroffen hat, die Daten sicher zu verarbeiten.” Um das sicherzustellen, muss das Unternehmen das Schutzkonzept des Cloud Anbieters überprüfen. Grundsätzlich müssen dabei die folgenden Grundsätze der Datensicherheit bei der Verarbeitung personenbezogener Daten nach der Anlage zu § 9 des Bundesdatenschutzgesetz (BDSG) eingehalten werden:

  • Zutrittskontrolle: Maßnahmen, die Unbefugte am Zutritt zu Datenverarbeitungsanlagen hindern. Das gilt für Außenstehende sowie für Mitarbeiter aus anderen Unternehmensbereichen oder Mitarbeiter außerhalb ihrer Arbeitszeit, etwa durch Gebäudeüberwachung, Einrichten von Sicherheitszonen, Berechtigungsausweise und Alarmanlagen.
  • Zugangskontrolle: Maßnahmen, die Unbefugte daran hindern, Datenverarbeitungssysteme zu nutzen, etwa durch Passwortvergabe, sowie Schutzmaßnahmen gegen Eindringen wie Firewalls.
  • Zugriffskontrolle: Schutzmaßnahmen, damit Mitarbeiter Daten nur im Rahmen ihrer Zugriffsberechtigung einsehen und nutzen können sowie der Schutz bei Nutzung der Daten und nach Speicherung. Zum Beispiel eine eindeutige Zuweisung von Zugriffsberechtigungen, wirksame Prüfverfahren und Verschlüsselung.
    Weitergabekontrolle: Schutz der Daten bei Speicherung oder Weitergabe einschließlich einer Dokumentation, an welche Stellen Weitergabe vorgesehen ist. Durch genaue Dokumentation der beteiligten Rechenzentren, Protokollierung der Speicherorte der Daten, Regelungen zur Verschlüsselung und zuverlässige Löschverfahren.
  • Eingabekontrolle: Protokollierung, wann und von wem welche Daten eingegeben, verändert oder entfernt worden sind.
  • Auftragskontrolle: Daten dürfen bei Auftragsdatenverarbeitung nur nach den Weisungen des Auftraggebers verarbeitet werden. Unter anderem durch eine eindeutige Regelungen zur Zweckbindung, zu Zugriffsbeschränkungen, zur Aufbewahrung, zum Verlust von Datenträgern, zu Löschverfahren und vollständiger Herausgabe nach Auftragsende.
  • Verfügbarkeitskontrolle: Schutzmaßnahmen gegen zufällige Zerstörung oder Verlust von Daten. Beispielsweise durch regelmäßige Sicherung, USVs und Katastrophenpläne.
    Trennungskontrolle: Systeme müssen Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeiten können. Zum Beispiel durch Trennung über Zugriffsregelung.

Des Weiteren sind Zertifizierungen des Anbieters unverzichtbar sowie eine Bestätigung über die Einhaltung des oben genannten Schutzkonzeptes.

Eine Auftragsdatenverarbeitung setzt gleichermaßen voraus, “[…] dass die Daten nur in Rechenzentren innerhalb des Europäischen Wirtschaftsraums (EWR), das heißt EU plus Norwegen, Island und Liechtenstein, verarbeitet werden.” Aus diesem Grund haben viele Cloud Anbieter ebenfalls EU/EWR-Clouds im Angebot, z.B. dann, “[…] wenn ein Unternehmen seine Buchführung in die Cloud auslagern will.”
Zudem sollte ein Unternehmen mit dem Cloud Anbieter eine Vertraulichkeitsvereinbarung abschließen, bevor es diesem weitere Interna mitteilt.

By Rene Buest

Rene Buest is Gartner Analyst covering Infrastructure Services & Digital Operations. Prior to that he was Director of Technology Research at Arago, Senior Analyst and Cloud Practice Lead at Crisp Research, Principal Analyst at New Age Disruption and member of the worldwide Gigaom Research Analyst Network. Rene is considered as top cloud computing analyst in Germany and one of the worldwide top analysts in this area. In addition, he is one of the world’s top cloud computing influencers and belongs to the top 100 cloud computing experts on Twitter and Google+. Since the mid-90s he is focused on the strategic use of information technology in businesses and the IT impact on our society as well as disruptive technologies.

Rene Buest is the author of numerous professional technology articles. He regularly writes for well-known IT publications like Computerwoche, CIO Magazin, LANline as well as Silicon.de and is cited in German and international media – including New York Times, Forbes Magazin, Handelsblatt, Frankfurter Allgemeine Zeitung, Wirtschaftswoche, Computerwoche, CIO, Manager Magazin and Harvard Business Manager. Furthermore Rene Buest is speaker and participant of experts rounds. He is founder of CloudUser.de and writes about cloud computing, IT infrastructure, technologies, management and strategies. He holds a diploma in computer engineering from the Hochschule Bremen (Dipl.-Informatiker (FH)) as well as a M.Sc. in IT-Management and Information Systems from the FHDW Paderborn.

Leave a Reply