Alles über Cloud & Sicherheit – Vorsicht bei sensiblen Daten!

Mit Mitarbeitern auf der ganzen Welt vernetzt sein, Anzeigen in Frankreich schalten, Güter aus Asien bestellen. Das Internet sprengt Grenzen und erleichtert den Geschäftsalltag. Immer mehr deutsche Mittelständler entscheiden sich daher auch für Cloud-Lösungen, um ihre täglichen Aufgaben zu erledigen. Internet-Dienste gelten als besonders flexibel und modern. Doch wie erkennen Unternehmer eine sichere Cloud-Lösung? Unser Director Corporate Technology Dr. Matthias Laux, verrät, auf welche Aspekte es bei der Auswahl ankommt. Mit diesem Beitrag unterstützen wir den European Cyber Security Month des Bundesministeriums für Sicherheit in der Informationstechnik.

Zunächst einmal ist klar zu unterscheiden: Firmen tragen anders als Privatleute eine viel größere Verantwortung, wenn es um den Einsatz von Cloud-Diensten geht. Nicht nur müssen sie rechtliche Vorgaben erfüllen, auch kann ein leichtsinniger Umgang mit den eigenen Daten ernsthafte Folgen haben. Der bedenkenlose Einsatz von Cloud-Anbietern mit Firmensitz außerhalb der EU oder gar die Verlagerung einer Datenverarbeitung außerhalb der EU ist Firmenkunden daher nicht zu empfehlen.

Insbesondere bei der Verarbeitung von Fremddaten (wie Kundendaten in einem CRM-System) in der Cloud sollte daher zunächst eine rechtliche Analyse vorgenommen werden. Unabhängig von der Frage, ob die Übergabe der Kundendaten einer Firma an eine dritte Partei (den Cloud-Anbieter) zulässig ist (Stichwort „Auftragsdatenverarbeitung“), ist es auf jeden Fall zu empfehlen, einen Anbieter zu wählen, der eine Speicherung und Datenverarbeitung entweder nur in Deutschland oder zumindest im EU-Raum garantiert.

Anbieter genau prüfen

Sicherlich gibt es außer-europäische marktbeherrschende Anbieter wie Amazon, Microsoft oder Google, die sehr große Erfahrung haben und auch eine hohe Verlässlichkeit hinsichtlich ihrer Dienstleistung. Allerdings muss man sich klar sein, dass man sich mit solchen Anbietern in einer Hinsicht auf rechtlich unsicherem Raum bewegt, denn im Zweifelsfall können die amerikanischen Behörden beispielsweise im Rahmen des „Patriot Act“ Zugriff auf die Daten erzwingen – und zwar im schlimmsten Fall unabhängig von deren physischer Lokation.

Viele dieser Firmen versuchen dies durch Rechenzentren in Europa oder direkt in Deutschland zu lösen sowie mit entsprechenden Datenschutzrichtlinien und -verpflichtungen. Die problematische Situation und die Bedenken der Kunden werden selbstverständlich wahrgenommen und adressiert, dennoch lohnt sich auch ein Blick auf namhafte Cloud-Anbieter mit Sitz in Europa oder in Deutschland.

Die aktuelle Diskussion rund um die Rechtsprechung des EuGH zum Thema „Safe Harbor“ berührt diese Fragestellungen natürlich auch. Hier sollten möglichst die Standard-Vertragsklauseln der EU („EU Model Clauses“) Grundlage der Verträge bilden, wenn Daten außerhalb des EU Hoheitsgebietes gespeichert oder verarbeitet werden sollen. Diese sind ein noch weitgehend anerkanntes Instrument als Alternative der nicht mehr anerkannten Safe Harbor Selbstverpflichtungen.

Jetzt anschauen: Cloud Computing erklärt von Sage Experte Marek Kraus

Neue Abhängigkeiten

Durch die Verlagerung der Daten in die Cloud entsteht eine große Abhängigkeit des Kunden hinsichtlich Verfügbarkeit der Daten und der jeweiligen Netzwerkanbindung. Hat ein Anbieter zum Beispiel häufiger Serverprobleme, kann es sein, dass man im entscheidenden Moment nicht an seine Daten herankommt.

Doch auch die eigene Datenverbindung muss geprüft werden. Man sollte sich die Frage stellen, ob man als Standort eine genügend gute Breitbandanbindung hat, oder ob bei schlechter Anbindung Fall lokal installierte Software doch eine bessere Lösung darstellen kann.

Außerdem möchte man sicherlich eine langfristige Geschäftsbeziehung anstreben, denn sollte ein Cloud-Anbieter vom Markt verschwinden (z. B. durch Insolvenz), kommt man als Kunde sehr schnell in eine kritische Situation und in Zugzwang, seine Daten anders zu speichern und bereitzustellen – denn das Unternehmen hängt davon ab.

Aktuelle Sicherheitsstandards prüfen

Ein weiterer wichtiger Punkt bei der Auswahl eines Cloud-Anbieters ist die Einhaltung relevanter Standards, dabei insbesondere der ISO/IEC Standards aus der 270XX-Serie. Sie sind ein deutliches Indiz dafür, dass ein Anbieter seine Hausaufgaben macht. Die Norm ISO/IEC 27001 beispielsweise bietet schon seit Längerem generelle Grundlagen rund um die Verfügbarkeit eines Information Security Management Systems (ISMS), also einem System für den Umgang mit Risiken der Informationssicherheit in einer Organisation.

Viele Anbieter von Rechenzentrums-Dienstleistungen sind heute nach ISO/IEC 27001 zertifiziert. Darauf aufbauend bietet die ISO/IEC 27002 Best Practice Leitlinien für die Implementierung von Kontrollmechanismen im Rahmen eines ISMS.

Die noch relativ neuen Standards ISO/IEC 27017 und 27018 beschäftigen sich dediziert mit Cloud-Dienstleistern und deren Umgang mit Daten. Allerdings ist gerade letztere Norm noch recht jung und es muss sich erst noch zeigen, wann die einzelnen Anbieter auf diesen Zug aufspringen werden.

Gerade in Deutschland gibt es zusätzlich die Möglichkeit, Anbieter von Cloud-Dienstleistungen hinsichtlich Umsetzung des Grundschutzkatalogs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu betrachten, was eine Aufgabe der IT-Verantwortlichen sein kann. Kleinere Unternehmen sollten sich aber eher an den oben genannten Normen orientieren, um sich einen ersten Überblick zu verschaffen.

Von Dr. Matthias Laux (@Launix1)

Director Corporate Technology bei Sage