Software Technologien
2

Datenschutz in der Cloud: Das Spiel mit der Angst

Wolfgang Kleinertz Wolfgang Kleinertz
4 MIN LESEDAUER
0 KOMMENTARE
IN POCKET SPEICHERN
03.03.2016

IT-Sicherheit_copyright-fotolia_lucadp-1Angst ist bekanntlich kein guter Ratgeber. Dass man dennoch leicht in die Angst-Falle tappt, ist nicht zuletzt auch Lobbyisten bekannt. So preisen die einen die Vorzüge der Cloud an und die nächsten warnen vor den Sicherheitsrisiken, die sich dahinter verbergen. Dass diese Risiken nicht ganz von der Hand zu weisen sind, ist unbestritten. Jedoch lohnt sich ein genauerer Blick.

Beispiel
IT-Abteilungen werden zunehmend von Anwendern mit Lösungen aus der Cloud konfrontiert, die ihre Probleme einfach und pragmatisch lösen wollen. So erfreuen sich bspw. Cloud Angebote zum Dateiaustausch wie Dropbox, Microsoft One Drive und Google Drive großer Beliebtheit und finden immer wieder auch ihren Weg ins Unternehmensumfeld [1]. Gründe und Risiken sind bekannt. Einfache Verbote sind aber keine Lösungen mehr. Entsprechend hoch ist der Druck auf die IT, die genau in diesem Spannungsfeld steckt.

Hintergründe der Angst um Sicherheit bei Cloud Angeboten

Wurzel der Datenschutzmisere sind meist lasche Datenschutzbestimmungen. Ein viel zitiertes Beispiel ist der „Patriot Act“ [2] in den USA samt Konsequenzen. Beispielhaft sei ein Urteil genannt in dem Microsoft gezwungen wurde sogar Daten, die außerhalb den USA lagen, heraus zu geben [3]. Begründet wurde dies damit, dass Microsoft seinen Sitz in den USA hat und damit dem dortigen Recht unterworfen ist. Wer will vor diesem Hintergrund noch Daten in Systemen amerikanischer Anbieter ablegen? Niemand, dem seine Daten lieb sind.
Die Reaktion ist meist eine Ablehnung von Angeboten der Cloud oder der Einsatz von sehr stark auf Sicherheit fokussierten Angeboten.

Gefundenes Fressen für Produktanbieter
Betroffene Anbieter von Cloud-Services kontern nun mit Rechenzentren z.B. in Deutschland mit den deutschen Datenschutzbestimmungen. Dass dies aber nicht ausreicht, zeigt das zuvor erwähnte Urteil. Andererseits haben sich einige Anbieter von Public Cloud-Produkten hierauf spezialisiert und bieten Lösungen mit einer End2End-Verschlüsselung, die vielfach eine ausreichende Sicherheit gewährleisten. Die Angst über die Risiken und fehlende Transparenz der Cloud ist hier sicherlich ein Verkaufsargument.

Eine tiefere Betrachtung lohnt sich
Die oft propagierte End2End-Verschlüsselung ist eine sehr drastische Maßnahme, die nicht ganz ohne Seiteneffekte daherkommt. Wer würde schon sämtliche Akten in einen Tresor legen? Es ist nicht nur wenig praktikabel, sondern auch vielfach unnötig. Einzig ausschlaggebend ist das Schutzbedürfnis der Informationen.
Geht der Schutz über das Bedürfnis hinaus, erkauft man sich dies mit Effekten wie verminderter Usability und funktionalen Einschränkungen. Bei der End2End-Verschlüsselung heißt das: Der Service kann nicht auf den Daten arbeiten, um z.B. Inhalt und Metadaten für eine Suche zu extrahieren, Datenkonvertierungen vorzunehmen, usw..

Vergleich mit der klassischen IT vor den Zeiten der Cloud
 Akten oder Dateien wurden in der klassischen IT auf Fileservern gespeichert. Diese verfügen über Mechanismen zur Zugriffskontrolle, wie der Authentifizierung und Autorisierung von Benutzern. Eine End2End-Verschlüsselung fehlt zumeist. Zudem haben Administratoren Sonderrechte, um auf die Daten zu Wartungs- und Supportzwecken zugreifen zu können.
Grundsätzlich scheint dies für die Mehrzahl der Anwendungsfälle kein Problem darzustellen und das sogar, obwohl die IT ein massives Outsourcing erfahren hat und z.B. der Fileserver gar nicht mehr im eigenen Unternehmen steht, sondern bei einem IT-Dienstleister.
Doch warum wurde dies bislang nicht als das Problem identifiziert, was es in der Cloud zu sein scheint?
Die Antwort liegt auf der Hand: Wenn die Umgebung ausreichend gesichert und vertrauenswürdig ist, entfällt der Bedarf für drastischere Schutz-Maßnahmen. Eine Lösung für das Problem könnte somit die Private Cloud im eigenen Unternehmen oder bei einem vertrauenswürdigen Partner sein. Was gibt es dabei zu beachten?

Vorgehensempfehlung: Sicherheitskonzept
1. Sicherheitsanalyse / VIVA-Analyse (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität)
Zu Beginn steht das Einteilen der gesammelten und in Kategorien eingeteilten Daten in Schutzklassen, z.B. öffentlich, vertraulich und streng vertraulich. Hierbei sind Rahmenbedingungen aus Gesetzen, Compliance-Vorschriften oder Vorschriften aus Normen (z.B. der ISO 27001 oder dem Grundschutzkatalog des BSI [4]) zu berücksichtigen.

2. Lösungsalternativen und Lösungsauswahl
Aus den einzelnen Anforderungen und den in Schutzklassen eingeteilten Daten, ergeben sich die Lösungsoptionen. So reicht für Inhalte der Schutzklasse „vertraulich“ bei einer intern im Unternehmen betriebenen Cloud-Lösung oft der klassische Schutz durch verschlüsselte Übertragung und eine unverschlüsselte, aber mit Authentifizierung und Autorisierung zugriffsgesicherte Ablage der Daten. Grundlage hierfür ist, dass das angestrebte Produkt als „On-Premise“-Lösung angeboten wird, also auch im eigenen Unternehmen betrieben werden kann.
Kommt ein IT-Dienstleister / Hoster ins Spiel, kommt es -wie in der Vergangenheit- auf dessen Auswahl und die vertragliche Absicherung an. Entweder wird auch in diesem Fall eine „On-Premise“-Lösung eingekauft, dann aber durch den Partner betrieben. Oder der Produktanbieter kommt selbst als Betreiber in Frage und bietet die Software im SaaS-Modell an.

Beispielhaft sei die Cloud-Storage-Lösung www.calvaDrive.de genannt, die in beiden Betreiber-Modellen („On-Premise“ und als SaaS“) angeboten wird.

Fazit
Insb. im Sicherheitskontext tut eine sachliche Betrachtung der Dinge not. Mit einem Sicherheitskonzept im Rücken, lassen sich aber die Risiken auf ein akzeptables Maß reduzieren, ohne den Nutzen zu stark einzuschränken.

 

Quellen:

[1] http://www.it-daily.net/it-sicherheit/enterprise-security/12112-sicherheitsrisiko-schatten-it

[2] http://www.heise.de/ix/artikel/Zugriff-auf-Zuruf-1394430.html

[3] http://www.datenschutzbeauftragter-info.de/berufungsverfahren-microsoft-streitet-fuer-datenschutz

[4] http://www.computerwoche.de/a/it-sicherheit-das-kalkulierte-risiko,3092357

Bild: ©fotolia_lucadp

 

Mehr zu sicherem Dateiaustausch erfahren Sie hier

 

Zurück zur Übersicht

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*Pflichtfelder

*