Home > Datensicherheit

Cloud Computing – Datensicherheit 

Datensicherheit beim Cloud-Computing hat zwei Aspekte: Erstens die Sicherheit sogenannter personenbezogener Daten im und zweitens die Sicherheit der eigenen Firmendaten vor unberechtigtem Zugriff oder vor Verlust.

Generell sollte man die Fragen der Datensicherheit so weit wie möglich mit dem Cloud-Anbieter vertraglich regeln. Hinweise darauf findet man auf dieser Webseite unter „Rechtliche Grundlagen“.  Hier stoßen bei Vertragsverhandlungen allerdings zwei Positionen aufeinander: Juristen des Cloud-Kunden neigen dazu, alles auf den Cloud-Anbieter abzuwälzen und diesen umfassend haftbar zu machen. Die Juristen des Cloud-Anbieters wiederum versuchen, alle Zusicherungen mit möglichst vielen Vorbehalten nach dem „Wir- werden-uns-bemühen-Prinzip“ aufzuweichen.

Personenbezogene Daten

Der Cloude-Kunde  wird die Bestimmungen des Bundesdatenschutzgesetzes also meistens einhalten müssen, da er auch personenbezogene Daten weitergibt. Er kann zwar seine Daten und deren Verarbeitung auslagern, nicht aber die juristische Verantwortung.

Grundsätzlich dürfen solche personenbezogenen Daten nur in Deutschland, einem EU-Land, oder einem Staat des Europäischen Wirtschaftsraumes, also Liechtenstein, Norwegen oder Island verarbeitet werden. Dazu kommen noch Länder, die von der EU-Kommission als sichere Drittländer eingestuft werden, dies sind derzeit Argentinien, Kanada, die Schweiz, sowie die Kanalinseln Guernsey und Isle of Man.  Sind an für den Cloud-Provider  Subunternehmen tätig, müssen auch sie in diesen Ländern arbeiten.

Bei personenbezogenen Daten müssen Cloud-Anbieter gemäß Bundesdatenschutzgesetz noch eine Reihe weiterer Voraussetzungen erfüllen. Die Anforderungen in Stichworten: Nur ein begrenzter Personenkreis darf Zutritt zu den Rechenzentren haben, diese müssen durch Kontrolle gesichert sein – sowohl  physisch (Ausweiskontrolle) als auch elektronisch (Firewall). Es muss gewährleistet sein, dass nur berechtigte Personen auf die Daten  zugreifen können, und dass die personenbezogenen Daten nicht von Unberechtigten gelesen oder gar kopiert werden, hier steht der Schutz der Datenübertragung im Vordergrund. Bei den Daten muss erkennbar sein, wer sie wann eingegeben, geändert oder gelöscht hat. Personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen getrennt verarbeitet werden.  Wie alle anderen Daten auch sollen auch diese Daten – so die Gesetzesvorschrift –  vor Verlust oder Zerstörung gesichert werden, hier arbeitet man in der Regel mit der Duplikation von Daten, also dem ständigen zeitnahen Kopieren auf einem getrennten Rechner.

Schutz der firmeneigenen Daten

Bei den firmeneigenen Daten treten andere Aspekte in den Vordergrund – wenngleich das Problem das gleiche ist. Wenn Sie also die personenbezogenen Daten, die Sie an den Verarbeiter in der Cloud weiterreichen gesetzeskonform optimal schützen, dann schützen Sie durch die dort verwendeten Verfahren auch gleichzeitig die Daten, die für Ihr Unternehmen wichtig sind.

Allerdings gibt es die eine oder andere Besonderheit. Firmenrelevante Daten wie Know how oder Kundenlisten sind für andere Unternehmen interessant. „Wer derartige Daten an eine Cloud übermittelt, sollte sich deshalb vorab darüber im Klaren sein, welche Zugriffsmöglichkeiten im Land des oder der Cloud Provider bestehen“, schreibt der IT-Verband Bitkom in seiner Studie zum Cloud-Computing.  Das kann beispielsweise ein Zugriff von staatlichen Stellen sein, den Sie so aus Deutschland nicht kennen oder ein per Gerichtsbeschluss staatlich sanktionierter Zugriff, mit dem Sie in dieser Form in Deutshcland nicht rechnen müssen.

Ein weiterer möglicher Schwachpunkt sind die Zugangsrechte für Ihre einzelnen Mitarbeiter, hier empfiehlt sich auch in der Cloud die Sorgfalt, die Sie auch in Ihrem firmeneigenen Netz walten lassen; schließlich können auch dort nicht alle alles lesen.     

Ratgeber für Datensicherheit

Es gibt Standards zur Datensicherheit, näheres finden Sie auf dieser Webseite unter dem Stichwort „Sicherheitsstandards“. Sie können überprüfen, ob die Anbieter diese Standards erfüllen und ob sie entsprechende Zertifikate vorweisen können. Informationen über zertifizierte Sicherheit finden Sie auf der Webseite des „Bundesamtes für Sicherheit in der Informationstechnik“ (BSI).

Dort gibt es auch Informationen zur Datensicherheit im Cloud Computing, an denen Sie sich orientieren können, in einem Papier mit dem Titel „Sicherheitsempfehlungen für Cloud Computing Anbieter“, die angeführten Punkte kann man nutzen, um den vorgesehenen Anbieter in Sachen Sicherheit abzuschätzen https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile.

Im Leitfaden des IT-Branchenverbandes Bitkom zum Cloud Computing finden sich zum Thema Datensicherheit insbesondere Hinweise zur Datenverarbeitung im Ausland www.bitkom.org/files/documents/BITKOM-Leitfaden-CloudComputing_Web.pdf