Cloud-Sicherheit ist mühsam, eine Diskussion darüber umso wichtiger

LinkedInXingPocketWhatsAppFlipboard

Mit der geplanten Europa-Cloud hat sich Wirtschaftsminister Peter Altmaier ein Projekt auf die Fahnen geschrieben, welches eine dringend notwendige Diskussion neu entfacht. Es geht um die Sicherheit in der Cloud und die erhebliche Marktmacht einiger weniger Unternehmen, die trotz unzureichender Datenschutzbedingungen den Cloud-Markt dominieren. Datensouveränität und Datenverfügbarkeit sind nicht nur wichtige Grundvoraussetzung für Unternehmen, sie sind eine politische Angelegenheit.

Nach wie vor sind deutsche Unternehmen der Cloud gegenüber kritisch eingestellt. Hauptgrund sind noch immer Sicherheitsbedenken und mangelnde Kontrolle über die in der Cloud verarbeiteten Daten. Oft ist unklar, wer bei einer Cloud-Infrastruktur die Verantwortung wofür übernehmen muss und welche Parteien Zugriff auf die Firmendaten erhalten haben. Und all die Bedenken und Fragen existieren, obwohl die deutschen Datenschutzbedingungen und Sicherheitsvorschriften den Ruf haben, die strengsten der Welt zu sein. Die von IT-Entscheidern vorgebrachten Kritiken sind allerdings zugleich ein gutes Zeichen, denn sie zeigen, dass sie sich Gedanken darüber machen, ob ihre Daten (und die der Kunden) in der Cloud sicher aufgehoben sind. Andererseits verhindern sie mögliche Innovationen in Unternehmen und verschärfen damit so manche Wettbewerbssituation. Das Paradoxe dabei ist, dass trotz der ungewissen Rechtslage viele Unternehmen ihre Daten amerikanischen Cloud-Dienstleistern wie Amazon, Google und Microsoft anvertrauen. Der Wettbewerbsdruck scheint die Bedenken am Ende doch immer öfter auszuschalten.

Anzeige

Der US-amerikanische Ansatz

Dabei lassen aus europäischer Sicht insbesondere die US-amerikanischen Datenschutzregelungen zu wünschen übrig. Es gibt zwar Vorschriften, diese sind jedoch meist branchenspezifisch definiert und beruhen größtenteils auf der Selbstverpflichtung der Unternehmen. Wenn sie das selbstauferlegte Sicherheitsniveau nicht einhalten, drohen unter Umständen zwar Sanktionen, deren Aufsicht und Prüfung unterliegt allerdings der in der Wirtschaft verankerten Federal Trade Commission (FTC). Ebenso problematisch sind die umfangreichen Befugnisse der US-Sicherheitsbehörden, die vergleichsweise problemlos die Herausgabe von Daten fordern dürfen, das gilt auch für personenbezogene Daten. Der 2018 unterzeichnete Cloud Act (Clarifying Lawful Overseas Use of Data Act) erweitert diese behördlichen Möglichkeiten noch zusätzlich: US-Cloud-Dienstleister dürfen auch dann zur Herausgabe von Daten gezwungen werden, wenn sie auf Servern in Europa gespeichert sind.

Trotz des wachsenden Drucks in Richtung digitaler Transformation und dem Bedarf an Cloud-Lösungen als Basis unternehmenseigener Innovation, gilt es, überlegt zu handeln. Die pragmatische Betrachtung und Beurteilung der aktuellen Risiken hilft IT-Entscheidern, grundsätzliche Fragen und Verantwortlichkeiten zu klären, sich Klarheit zu verschaffen und die bestmögliche Lösung zu finden. Welche Sicherheits-Features müsste ein Service Provider also zur Verfügung stellen und wo muss sich das Unternehmen selbst absichern?

Die Verantwortung für die Einhaltung der Vorschriften hat nie nur eine Partei

Das, was Unternehmen beim Cloud Computing und auch bei jeder anderen Data-Management-Maßnahme Bedenken schafft, sind vor allem der Verlust von Daten, der unbefugte Zugriff, Daten-Leaks und Hardware-Ausfälle. Dies alles kann aus den unterschiedlichsten Gründen geschehen. Grundsätzlich teilen sich der Cloud Provider und sein Kunde die Verantwortung für solche Vorkommnisse und sie sind gemeinsam für die Einhaltung von Gesetzesvorgaben und Standards verantwortlich.

Die bekanntesten und wichtigsten Standards sind der deutsche IT-Grundschutz und die Europäische Datenschutz-Grundverordnung (DSGVO). Letztere erregte bei ihrer Einführung im letzten Jahr die Gemüter und wurde in Kraft gesetzt, um die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen innerhalb der EU zu regulieren. Von vielen Stellen wurde dabei der deutlich höhere Aufwand für datenverarbeitenden Unternehmen in der EU kritisiert, den der höhere Datenschutz mit sich bringt. Über die Verhältnismäßigkeit lässt sich natürlich trefflich streiten. Die DSGVO betrifft durch die neuen Anforderungen, die im Zusammenhang mit Kundendaten entstehenden, auch alle Cloud-Anbieter. Sie ist aber nicht speziell für die Anforderungen in diesem Bereich geschaffen worden und kann deshalb auch nur als Grundlage gelten. Bezogen auf das Cloud Computing bedeutet sie allerdings, dass Cloud Provider mit Sitz in Europa Maßnahmen ergreifen müssen, um der DSGVO zu genügen. Aber: Sie übernehmen dabei nicht volle Verantwortung für ihre Auftraggeber. Diese müssen im Zweifel selbst beweisen, dass sie notwendige Vorkehrungen getroffen und bei der Wahl des Providers entsprechend darauf geachtet haben.

Der IT-Grundschutz hat sich zu einer Basismethode für den ISO 27001-Zertifizierungsprozess entwickelt. Er formuliert grundlegende Anforderungen an die Daten- und Informationssicherheit, an Prozesse und Abläufe in einem Unternehmen. Die ISO 27018 wiederum ist spezieller auf die Cloud zugeschnitten und beschreibt vor allem Maßnahmen für den Schutz personenbezogener Daten in Cloud-Infrastrukturen. Im Gegensatz zur DSGVO ist der IT-Grundschutz nicht bindend und eine Nichtbefolgung hat keine direkten rechtlichen Konsequenzen.

Mit den Anforderungen an das Cloud Computing im Speziellen befasst sich der C5-Anforderungskatalog (Cloud Computing Compliance Controls Catalogue) des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er legt fest, welche Anforderungen professionelle Cloud-Diensteanbieter mindestens erfüllen müssen. Bei der Erschaffung des C5-Kataloges war es dem BSI wichtig, kein von Grund auf neues Werk zu schaffen, sondern etablierte Prüfschemata und Richtlinien zu nutzen und diese zu ergänzen. Der Katalog basiert auf der ISO 27001, der Cloud Controls Matrix der Non-Profit-Organisation der Cloud Security Alliance und dem BSI IT-Grundschutz. In 17 Themenbereichen werden Mindestanforderungen definiert, die professionelle Cloud Provider erfüllen sollten, darunter zahlreiche Datenschutz- und Datensicherheitsvorgaben. Der C5-Katalog eignet sich hervorragend als Checkliste bei der Wahl des passenden Providers.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Welche Idee hinter der Europa-Cloud steckt

Europäische Datenschutzvorgaben sind streng und umfassend – die angestrebte Europa-Cloud hat diesen Ansprüchen selbstverständlich zu genügen. Sie soll Datensouveränität sicherstellen und zugleich durch standardisierte Schnittstellen höchst interoperabel sein. Was die Bundesregierung damit meint und wie sie sich die nötige Infrastruktur vorstellt, erklärt sie in dem Papier „Das Projekt GAIA-X“. Jeder Knoten soll beispielsweise eine eigenständige Einheit bilden, die eindeutig identifizierbar und anzusteuern ist. Daran soll eine Selbstbeschreibung geknüpft werden, die Spezifikationen über den Speicherort und die Verarbeitung der Daten sowie die verwendeten Technologien und Leistungsparameter enthält. Zertifizierte Schutzgrade sollen die Datensouveränität sicherstellen, insbesondere dann, wenn die DSGVO greift. Public Cloud Provider, wie gridscale, haben die einmalige Gelegenheit, sich aktiv mit ihrer Expertise in die weitere Ausgestaltung der GAIA-X-Plattform einzubringen. Angesichts der schwer zu durchschauenden internationale Rechtslage könnte sie in jedem Fall eine Erleichterung für deutsche und europäische Unternehmen bedeuten und für mehr Klarheit sorgen.

Die vorhandenen deutschen und europäischen Datenschutzvorschriften nützen jedenfalls nur bedingt, wenn der Cloud Provider seinen Hauptsitz beispielsweise in den USA oder China hat – denn dann unterliegt er dem jeweiligen nationalen Recht und die Daten seiner Auftraggeber gleich mit, auch wenn das Rechenzentrum in Europa steht. Das gilt im Übrigen auch, wenn der Cloud Provider selbst zwar etwa ein deutsches Unternehmen ist, für seine Services aber auf die Ressourcen von Amazon und Co zurückgreift. In diesem Kontext ist die Diskussion um eine eigenständige Europa-Cloud mehr als notwendig. Noch sind die Pläne der Bundesregierung zu wenig ausgereift, um sich ein Urteil über deren Tragfähigkeit und praktische Relevanz zu erlauben. Zudem dürfen die Pläne nicht auf die Infrastruktur selbst beschränkt bleiben. Sie müssen sich zeitnah auch auf die Anwendungsebene erstrecken, da sich nur dann digitale Geschäftsmodelle entwickeln können.


Henrik

Hasenkamp

gridscale GmbH -

CEO

Als CEO von gridscale verantwortet Henrik Hasenkamp die Strategie und Ausrichtung des europäischen Infrastructure- und Platform-as-a-Service-Anbieters gridscale. Davor sammelte  Erfahrung bei der PlusServer AG, beim IaaS-Provider ProfitBricks, der Vodafone-Geschäftssparte „Cloud & Hosting Germany“ und der Host Europe Group.
Anzeige

Weitere Artikel

Cyber & Cloud Security
Zscaler Plugin erkennt String-Verschleierung von Pikabot automatisch
Cyber & Cloud Security
Erfolgreich auf DORA vorbereiten
Cyber & Cloud Security
Drei Viertel aller DACH-Unternehmen haben jetzt CISOs
Cyber & Cloud Security
Worauf es bei Data Security Posture Management (DSPM) ankommt
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.