Datenschutz in der Cloud: Das Spiel mit der Angst
Angst ist bekanntlich kein guter Ratgeber. Dass man dennoch leicht in die Angst-Falle tappt, ist nicht zuletzt auch Lobbyisten bekannt. So preisen die einen die Vorzüge der Cloud an und die nächsten warnen vor den Sicherheitsrisiken, die sich dahinter verbergen. Dass diese Risiken nicht ganz von der Hand zu weisen sind, ist unbestritten. Jedoch lohnt sich ein genauerer Blick.
Beispiel
IT-Abteilungen werden zunehmend von Anwendern mit Lösungen aus der Cloud konfrontiert, die ihre Probleme einfach und pragmatisch lösen wollen. So erfreuen sich bspw. Cloud Angebote zum Dateiaustausch wie Dropbox, Microsoft One Drive und Google Drive großer Beliebtheit und finden immer wieder auch ihren Weg ins Unternehmensumfeld [1]. Gründe und Risiken sind bekannt. Einfache Verbote sind aber keine Lösungen mehr. Entsprechend hoch ist der Druck auf die IT, die genau in diesem Spannungsfeld steckt.
Hintergründe der Angst um Sicherheit bei Cloud Angeboten
Wurzel der Datenschutzmisere sind meist lasche Datenschutzbestimmungen. Ein viel zitiertes Beispiel ist der „Patriot Act“ [2] in den USA samt Konsequenzen. Beispielhaft sei ein Urteil genannt in dem Microsoft gezwungen wurde sogar Daten, die außerhalb den USA lagen, heraus zu geben [3]. Begründet wurde dies damit, dass Microsoft seinen Sitz in den USA hat und damit dem dortigen Recht unterworfen ist. Wer will vor diesem Hintergrund noch Daten in Systemen amerikanischer Anbieter ablegen? Niemand, dem seine Daten lieb sind.
Die Reaktion ist meist eine Ablehnung von Angeboten der Cloud oder der Einsatz von sehr stark auf Sicherheit fokussierten Angeboten.
Geht der Schutz über das Bedürfnis hinaus, erkauft man sich dies mit Effekten wie verminderter Usability und funktionalen Einschränkungen. Bei der End2End-Verschlüsselung heißt das: Der Service kann nicht auf den Daten arbeiten, um z.B. Inhalt und Metadaten für eine Suche zu extrahieren, Datenkonvertierungen vorzunehmen, usw..
Grundsätzlich scheint dies für die Mehrzahl der Anwendungsfälle kein Problem darzustellen und das sogar, obwohl die IT ein massives Outsourcing erfahren hat und z.B. der Fileserver gar nicht mehr im eigenen Unternehmen steht, sondern bei einem IT-Dienstleister.
Doch warum wurde dies bislang nicht als das Problem identifiziert, was es in der Cloud zu sein scheint?
Die Antwort liegt auf der Hand: Wenn die Umgebung ausreichend gesichert und vertrauenswürdig ist, entfällt der Bedarf für drastischere Schutz-Maßnahmen. Eine Lösung für das Problem könnte somit die Private Cloud im eigenen Unternehmen oder bei einem vertrauenswürdigen Partner sein. Was gibt es dabei zu beachten?
Zu Beginn steht das Einteilen der gesammelten und in Kategorien eingeteilten Daten in Schutzklassen, z.B. öffentlich, vertraulich und streng vertraulich. Hierbei sind Rahmenbedingungen aus Gesetzen, Compliance-Vorschriften oder Vorschriften aus Normen (z.B. der ISO 27001 oder dem Grundschutzkatalog des BSI [4]) zu berücksichtigen.
2. Lösungsalternativen und Lösungsauswahl
Aus den einzelnen Anforderungen und den in Schutzklassen eingeteilten Daten, ergeben sich die Lösungsoptionen. So reicht für Inhalte der Schutzklasse „vertraulich“ bei einer intern im Unternehmen betriebenen Cloud-Lösung oft der klassische Schutz durch verschlüsselte Übertragung und eine unverschlüsselte, aber mit Authentifizierung und Autorisierung zugriffsgesicherte Ablage der Daten. Grundlage hierfür ist, dass das angestrebte Produkt als „On-Premise“-Lösung angeboten wird, also auch im eigenen Unternehmen betrieben werden kann.
Kommt ein IT-Dienstleister / Hoster ins Spiel, kommt es -wie in der Vergangenheit- auf dessen Auswahl und die vertragliche Absicherung an. Entweder wird auch in diesem Fall eine „On-Premise“-Lösung eingekauft, dann aber durch den Partner betrieben. Oder der Produktanbieter kommt selbst als Betreiber in Frage und bietet die Software im SaaS-Modell an.
Beispielhaft sei die Cloud-Storage-Lösung www.calvaDrive.de genannt, die in beiden Betreiber-Modellen („On-Premise“ und als SaaS“) angeboten wird.
Quellen:
[1] http://www.it-daily.net/it-sicherheit/enterprise-security/12112-sicherheitsrisiko-schatten-it [2] http://www.heise.de/ix/artikel/Zugriff-auf-Zuruf-1394430.html [3] http://www.datenschutzbeauftragter-info.de/berufungsverfahren-microsoft-streitet-fuer-datenschutz [4] http://www.computerwoche.de/a/it-sicherheit-das-kalkulierte-risiko,3092357Bild: ©fotolia_lucadp
Mehr zu sicherem Dateiaustausch erfahren Sie hier