Wie sicher sind Ihre Daten in der Cloud? Wir sagen Ihnen, wie Datenschutz und Cloud-Computing gemeinsam funktionieren. ► Jetzt mehr darüber erfahren
Daten sind das Kapital vieler Unternehmen. Sie so gut wie möglich zu sichern, liegt im Interesse eines jeden Unternehmers. Lokal gespeicherte Daten bergen dabei zwei große Risiken: Einerseits sind Server und Endgeräte zerstörbar, zum Beispiel durch Unwetter oder Feuer. Andererseits sind sie nur so gut gegen Missbrauch geschützt, wie sie die internen IT-Experten dagegen absichern. Oftmals nicht gut genug, wie die steigenden Zahlen in Bezug auf Cyber-Kriminalität beweisen.
Seit 2015 haben sich die Cyber-Verbrechen laut dem Statistik-Portal Statista in Deutschland mehr als verdoppelt, seit 2007 sogar verdreifacht. Die Daten in der Cloud zu lagern, erscheint da am sichersten, weil sie dort in gut geschützten Serverfarmen liegen. Doch wie ist es tatsächlich um den Datenschutz und die Datensicherheit in Verbindung mit Cloud-Software bestellt? Und was kann jeder selbst für die Datensicherheit in der Cloud tun? Hier finden Sie die Antworten.
Cloud-Computing beschreibt die bedarfsorientierte Online-Nutzung von Hard- und Software als Serviceleistung. Dazu zählen beispielsweise Speicherplatz, Rechenleistung und lizenzierte Computerprogramme. Beim Cloud-Computing greift der Nutzer über das Internet meist auf die Speicher- und Rechenkapazitäten großer Server-Farmen zu, deren Betreiber für die Pflege und Wartung zuständig sind.
Das Arbeiten in der Cloud ist schon heute nicht mehr wegzudenken. Die Serviceleistungen reichen von mietbarerer Software bis hin zu ganzen IT-Infrastrukturen. Für jedes Unternehmen sind diese Dienste individuell konfigurierbar. Beim Cloud-Computing sind sowohl die Software als auch die Infrastrukturen, die mietbar sind, hinsichtlich Datensicherheit und Datenschutz (DSGVO) gegen Angriffe von außen geschützt. Dabei gibt es drei Haupttypen von Cloud-Computing-Services:
Bei Infrastructure-as-a-Service (IaaS) stellt der Dienstanbieter bedarfsgerecht eine Rechenzentrumsinfrastruktur gegen Mietzahlung zur Verfügung. Dazu gehören Server- und Rechenkapazitäten, Kommunikationsgeräte oder Datensicherungssysteme.
Die Vorteile liegen in der Flexibilität, beispielsweise der Skalierbarkeit, wenn plötzlich für kurze oder unbestimmt lange Zeit große Ressourcen benötigt werden. Mit IaaS lassen sich die Kosten für die IT-Infrastruktur deutlich reduzieren, weil etwa die Anschaffung und die interne Administration entfallen.
Platform-as-a-Service (PaaS) bietet dieselben Services wie IaaS. Die Besonderheit: Es ist ein Dienst in der Cloud, der eine Plattform für die Entwicklung von Web-Anwendungen bietet. Insbesondere IT-Entwickler und Unternehmen aus der Software-Branche nutzen PaaS, um schnell neue Software zu entwickeln und auf den Markt zu bringen. Ebenfalls integriert sind in den meisten Fällen Funktionen, die dem Monitoring dienen, also beispielsweise die Laufzeiten der Software überwachen.
Software-as-a-Service (SaaS) beschreibt die Nutzung einer Software über das Internet. Dabei verantwortet der Dienstanbieter die Administration, Wartung und Aktualisierung der Software vollständig. Der Vorteil für den Nutzer: Er hat, zumeist über den Internet-Browser, stets Zugriff auf die aktuelle Version des Produkts und erspart sich den Kauf, die Installation, die notwendige IT-Infrastruktur und die Aktualisierungen.
Für den Nutzer einer Cloud-Lösung ist zunächst einmal wichtig, dass er sich selbst über die für seine Dokumente geltenden, datenschutzrechtlichen Richtlinien informiert. Denn das Auslagern von Daten in den Cloudspeicher stellt nach dem Bundesdatenschutzgesetz (BDSG) eine Auftragsverarbeitung dar, die nach Art. 28 DSGVO den Nutzer verpflichtet nachzuprüfen, ob die Datenschutzbestimmungen eingehalten werden. Entsprechend wirkt sich dies im Falle von Datenschutzverstößen auf die Haftbarkeit aus. Die liegt nämlich beim Cloud-Kunden, nicht beim Cloud-Anbieter.
Die ISO/IEC-Norm 27001 ist ein weltweit anerkannter Standard für ein intaktes Informationssicherheits-Managementsystem (ISMS). Dabei steht nicht nur die IT im Fokus, sondern auch die Infrastruktur, etwa Organisation, Gebäude und Personal. Die ISO/IEC 27001 definiert die Anforderungen an die Einführung, Umsetzung, Dokumentation und Verbesserung eines ISMS. Das Zertifikat attestiert unabhängig die Wirksamkeit des Systems gegen Risiken, die es sicher identifiziert, analysiert und behebt. So sind vertrauliche Daten geschützt und stets verfügbar.
Ebenfalls eine sichere Sache ist es, auf einen Cloud-Anbieter mit dem „Trusted Cloud“-Zertifikat des Bundesministeriums für Wirtschaft und Energie zurückzugreifen. Dieses Zertifikat attestiert dem Kunden, dass der Cloud-Anbieter in Sachen Datenschutz und Datensicherheit vertrauenswürdig ist. Der Nutzer seine Pflicht gemäß BDSG erfüllt, wenn er einen „Trusted Cloud“-Anbieter wählt.
Wer sich nicht für einen „Trusted Cloud“-Anbieter entscheidet, sollte sich gründlich informieren, bevor er seine Daten in einer anderen Cloud ablegt. Als Minimum sollten im Cloudspeicher-Angebot Anonymisierungen sowie die verschlüsselte Übertragung und Speicherung und einschränkbare Zugriffsberechtigungen enthalten. Zudem sollte alles DSGVO-konform sein.
Die Datenschutzverordnung greift aber nur dann, wenn tatsächlich personenbezogene Daten, die eine oder mehrere Personen identifizierbar machen, in den Cloudspeicher geladen werden. Dazu zählen Namen, aber auch Kennnummern und Standortdaten, Adressen, Telefonnummern und IP-Adressen.
Bezüglich der DSGVO sind allerlei Datenschutzmaßnahmen hinsichtlich der Cloudspeicherung zu beachten. Die Verordnung verlangt hohe Standards für die Sicherheit in der Cloud, die insbesondere identifizierende, personenbezogene Daten schützen sollen. Hier eine passende Liste dessen, was wichtig ist, bevor Sie Daten in der Cloud speichern:
Zudem sind Anbieter von Cloud-Lösungen verpflichtet, dem Kunden Datenpannen zu melden. Bei Verletzungen des Datenschutzes können auch Cloud-Anbieter haftbar gemacht werden. Bevor ein Nutzer einen Cloud-Dienstleister in Anspruch nimmt, sollte er sich abschließend ein paar Fragen stellen. Dazu gehört unter anderem:
Nur nach Klärung dieser Fragen können Datensicherheit, Datenschutz und die Vertraulichkeit der Daten gesetzeskonform eingehalten werden.
Die Welt der Zertifikate, Prüfsiegel und ISO-Normen ist groß und unübersichtlich. Einige Anbieter berufen sich auf Selbstverpflichtungserklärungen, während sich andere an unabhängigen Standards bezüglich Datenschutz und Datensicherheit orientieren. Eine gründliche Analyse der jeweiligen Zertifikate ist unabdingbar, um den eigenen Datenschutz in der Cloud sicherzustellen.
Drei Standards, die in Deutschland Anwendung finden, sind die ISO/IEC-Norm 27001, das C5-Testat (Cloud Computing Compliance Controls Catalogue) des Bundesamts für Sicherheit in der Informationstechnik und „Trusted Cloud“ (TCDP), ein Datenschutzprofil für Cloud-Dienste vom Bundesministerium für Wirtschaft und Energie. Die Norm ISO/IEC 27001 hat sich weltweit als Standard etabliert. Sie zählt zu den bekanntesten Normen für Informationssicherheit.
Der Anforderungskatalog C5 konzentriert sich auf die Aspekte der Transparenz und Informationssicherheit, also auf die Datensicherheit im Allgemeinen:
Diese und mehr Gesichtspunkte beinhaltet das C5-Testat und ist diesem Bereich deutlich kleinteiliger als das TCDP-Zertifikat. Das TCDP-Zertifikat hingegen fokussiert vor allem auf den Datenschutz, also auf personenbezogene Daten.
Es impliziert auch den Aspekt der Datensicherheit, jedoch nicht so detailliert wie beim C5-Testat. Das C5-Testat hingegen beinhaltet etwa vertragliche Aspekte des Datenschutzes nicht.
Im Idealfall greifen Nutzer also auf einen Cloud-Anbieter zurück, der beide Zertifikate vorweisen kann. So ist sichergestellt, dass in allen Bereichen der Datensicherheit und des Datenschutzes die größtmögliche Tiefe der Prüfung gewährleistet ist.
Es gibt allerdings auch die Möglichkeit, für verschiedene Arten von Daten unterschiedlich zertifizierte Cloud-Anbieter auszuwählen. Am Ende ist es dann eine Kosten-Nutzen-Frage, die über die richtige Wahl entscheidet.
Wer Daten in der Cloud sichern möchte, muss sich im Klaren darüber sein, wie wertvoll die dort zu speichernden Daten sind und welche Sicherheitsmaßnahmen sie auch rechtlich erfordern. Denn nicht alle Arten von Daten unterliegen dem Datenschutz. Zertifikate helfen dabei, den richtigen Cloud-Anbieter zu finden, um das ideale Maß an Datensicherheit und Datenschutz in der Cloud zu gewährleisten.
Viele Anbieter von Cloud-Lösungen zeigen gern lange Listen von Zertifikaten, die sie gesammelt haben. Da gibt es den „Certified Cloud Service“ vom TÜV Rheinland, den „CSA Star“ der Cloud Security Alliance, den „Star Audit“ von EuroCloud, die Norm ISO 20000-1 und viele weitere. Welche Sicherheitsmaßnahmen ausreichen, ist von Fall zu Fall unterschiedlich. Ein Abgleich mit der Leistung der einzelnen Siegel und Zertifikate ist ratsam.
Schon beim Upload von Daten bietet sich eine ergänzende Ende-zu-Ende-Verschlüsselung an, die die Daten sowohl auf dem Weg in die Cloud als auch am Ablageort sichert.
Eine Verschlüsselung genügt bei personenbezogenen Daten laut DSGVO nicht, wenn diese in der Cloud gespeichert werden sollen.
Sie gelten dann als pseudonymisiert und lassen sich weiterhin bestimmten Personen zuordnen. Schon die theoretische Möglichkeit, eine Verbindung zwischen Informationen und einer Person herstellen zu können, ist ausreichend.
Das gilt auch dann, wenn etwa Namen durch Nummern oder Pseudonyme ersetzt werden oder Seriennummern von Geräten eindeutig einer Person zuzuordnen sind. Nur eine vollständige Anonymisierung von Daten sorgt dafür, dass ein Cloud-Kunde rechtlich auf der sicheren Seite ist.
Bei der Wahl des Cloud-Anbieters ist auch der Serverstandort ein wichtiges Kriterium. Denn nur in Europa gelten auch die deutlich restriktiveren, europäischen Regularien. Wer seine Daten außerhalb Europas bzw. der Europäischen Union speichert, ist datenschutzrechtlich und bezüglich der DSGVO nicht mehr auf der sicheren Seite. Das Handels- und Steuerrecht erlaubt die digitale Aufbewahrung von Daten innerhalb der EU. Wer diese auf Servern außerhalb der EU sichern möchte, benötigt eine Genehmigung des zuständigen Finanzamtes.
Ein besonderer Fall sind Server, die in den USA stehen, oder die in Europa von US-Unternehmen betrieben werden. Verantwortlich dafür ist der 2018 eingeführte Cloud Act, der den 2001 eingeführten Patriot Act um weitreichendere Zugriffsmöglichkeiten der Behörden auf Server-Daten ausländischer Kunden bei US-Cloud-Betreibern erweitert. Die US-Behörden dürfen nämlich von Cloud-Providern sämtliche Daten eines Unternehmens verlangen.
Diese Provider können Widerspruch einlegen, wenn die Daten Nicht-US-Bürgern gehören und die Server im Ausland stehen. Doch dann wäre ein Gericht in der Pflicht zu entscheiden, wie hoch die Interessen der US-Behörden im Vergleich zum wirtschaftlichen Interesse des Cloud-Anbieters gewichtet wären.
Weder die Behörden noch der Provider müsste das betroffene Unternehmen über den Datenzugriff informieren.
Viele und sensible Daten müssen nicht nur gespeichert, sondern auch ordentlich und rechtskonform gesichert werden.
Nicht selten bedeutet ein Totalverlust Ihrer Daten durch äußere Einflüsse wie Naturkatastrophen das Aus oder erhebliche finanzielle Einbußen für Ihr Unternehmen.
Um also das Risiko zu minimieren, dass eigene Server oder externe Festplatten und damit die enthaltenen Daten derartigen Ereignissen zum Opfer fallen, ist eine Datensicherung DSGVO-konform in der Cloud sinnvoll.
Am besten ist aber sicherlich eine Backup-Variante, die sowohl physische Datenträger als auch die Cloud berücksichtigt.
Bei der Planung der Auslagerung von Daten an einen Cloud-Anbieter müssen die Anforderungen an die Datensicherung Berücksichtigung finden. Es muss bewertet werden, ob und in welchem Umfang der Cloud-Anbieter Datensicherungen garantiert. Als Beispiel dient in diesem Zusammenhang Microsoft, das für Office 365 im Standardfall keine Datensicherung garantiert. Hier muss sich der Nutzer selbst kümmern.
Mit Cloud-Monitoring-Tools, die meist von den Cloud-Anbietern selbst zur Verfügung gestellt werden, lässt sich die gesamte virtuelle IT-Infrastruktur überblicken und schnell feststellen, ob es Probleme gibt.
Hinzu kommt, dass sich die Cloud-Infrastruktur von überall aus überwachen und die Ursache eines Problems schnell erkennen lässt. Überwachungs- und Betriebsdaten können als Protokoll, Metrik oder Ereignis erfasst werden, um einen Überblick über Ressourcen und Anwendungen zu bekommen, die in der Cloud ablaufen.
Daten sind das wichtigste Kapital von Unternehmen. Damit sie sicher gespeichert werden können, bedarf es einiger wichtiger Punkte, die es zu beachten gilt. Hier sind einige Regeln, mit denen das wertvolle Gut nicht in falsche Hände gerät:
Cloud-Lösungen sind eine gute Möglichkeit für Unternehmen, um Daten auszulagern. So müssen sie keine eigene kostspielige IT-Infrastruktur vorhalten und damit auch keine Systemwartungen und -aktualisierungen vornehmen. All dies liegt in den Händen der Anbieter.
Auch als Teil einer Backup-Variante ist eine Cloud-Lösung empfehlenswert. Wichtig in allen Fällen ist, dass der Cloud-Anbieter die jeweils erforderlichen Sicherheitsmaßnahmen mittels Zertifikaten nachweisen kann. Um den richtigen Anbieter zu finden, ist der Nutzer in der Pflicht, den für seine Daten entsprechenden Sicherheitsstandard auszuwählen.
Denn der Datenschutz und die Datensicherheit stellen hohe Ansprüche an die Betreiber von Cloud-Diensten. Wer etwa personenbezogene Daten in der Cloud speichern möchte, muss auf die DSGVO-Konformität achten, um den Datenschutz in der Cloud zu gewährleisten. Denn nicht der Cloud-Betreiber ist haftbar, wenn die Datenschutzrichtlinien verletzt werden, sondern der Cloud-Nutzer.
In jedem Fall ist es ratsam, seine Daten auf europäischen Servern zu speichern, weil die Richtlinien zur Datensicherheit und zum Datenschutz deutlich restriktiver sind als in anderen Ländern. Es bedarf also einer fundierten Analyse der eigenen Daten und der Cloud-Anbieter, um rechtlich auf der sicheren Seite zu sein und die eigenen Daten in guten Händen zu wissen.
IT-Sicherheit:Vertrauliche und personenbezogene Daten sind auf besondere Maßnahmen angewiesen. Wir zeigen Ihnen, wie das klappt.
Schluss mit dem Freigabe-Chaos: So regeln Sie, wer auf welche Daten und Dateien zugreifen darf
Mit innovativen Technologien und datenbasierten Entscheidungen effizienter und flexibler arbeiten
Erhalten Sie regelmäßig spannende Informationen und Updates zum papierlosen Büro.
