Thought Leadership
Bei der Suche nach einem Cloud-Anbieter darf sich ein Unternehmen nicht ausschließlich auf die Reputation verlassen. Systemisch begründete Argumente sind Pflicht. Die Funktionstüchtigkeit von Cloud-Diensten ist für Anwender von entscheidender Bedeutung.
Auf Cloud Features hat der Anwender – anders als im eigenen Rechenzentrum – kaum Einfluss. Weil sich der Kunde nahezu vollständig vom Anbieter abhängig macht, müssen vor der Zusammenarbeit einige Aspekte geklärt sein. Nur so können gewisse Schutzziele beim Cloud Computing erreicht werden.
Schutzziel Transparenz
Beim Schutzziel Transparenz geht es um die Frage, wer auf die Daten zugreifen kann und welche technischen und organisatorischen Sicherheitsmechanismen greifen. Transparenz bei der Datenverarbeitung in der Cloud herrscht für Anwender nur dann, wenn der Anbieter bestimmte Maßnahmen umsetzt und die Datenverarbeitung anhand von Systemdokumentationen und Protokollen nachvollziehbar, prüfbar und bewertbar gestaltet. Deshalb ist es hilfreich, wenn er einschlägige Zertifikate unabhängiger Stellen vorlegen kann. Dann genügt Anwendern in der Regel eine vereinfachte Prüfbarkeit: Beispielsweise wollen sie wegen der rechtlichen Implikationen wissen, wo die Rechenzentren stehen. Insbesondere in Drittländern ist ein Zugriff durch staatliche und private Stellen möglich und nicht kontrollierbar. Entscheidend ist, ob von einem gleichwertigen Datenschutzniveau in dem Drittland ausgegangen werden kann. Nach dem Safe-Harbor-Urteil des Europäischen Gerichtshofs ist dies bei Staaten außerhalb der Europäischen Union nicht der Fall. Ausgenommen davon sind die so genannten „sicheren Drittländer“.
Schutzziel Intervenierbarkeit
Intervenierbarkeit ist dann gegeben, wenn der Anwender die Herrschaft über seine Daten hat. Das heißt, er muss detailliert und fortlaufend darüber informiert werden, welche Daten unter welchen Voraussetzungen zu welchen Zwecken übertragen werden. Nur so kann er festlegen, ob Informationen lokal gespeichert oder in die Cloud übermittelt werden sollen. Dazu gehört die Kontrolle darüber, wer welche Informationen sehen und auf sie zugreifen kann. Dazu muss der Kunde explizit Rechte und Privilegien freigeben können sowie in der Lage sein, selbst stringente Regeln für Passwörter und eine Zwei-Faktor-Authentifizierung festzulegen. Außerdem sollte vertraglich geregelt sein, dass der Anbieter den Kunden über Sicherheitsvorfälle, die seine Anwendung betreffen, informiert. Intervenierbarkeit kann sich schließlich auch auf die Frage beziehen, ob der Anbieter über ausgereifte Entwicklungs- und Rolloutprozesse verfügt. Er muss nämlich in der Lage sein, soweit angemessen, auf individuelle Anforderungen der Anwender, aber auch auf gesetzliche Veränderungen, zu reagieren.
Schutzziel Vertraulichkeit
Vertraulichkeit ist gegeben, wenn nur Befugte personenbezogene Daten sehen und nutzen können. Genauer noch muss gewährleistet sein, dass ständig kontrolliert wird, ob tatsächlich nur Befugte personenbezogene Daten verarbeiten können. So sollte etwa ein Administrator des Anbieters nicht befugt sein, auf Inhaltsdaten Zugriff zu nehmen. Ein weiteres Kriterium besteht darin, dass Datenbestände separiert und verschlüsselt gespeichert werden – entsprechend differenziert muss das Zugriffsmanagement organisiert sein. Unabdingbar ist eine verschlüsselte Datenübertragung. Außerdem gilt es zu klären, wer alles auf die Krypto-Schlüssel zugreifen kann. Selbstverständlich trägt auch der Anwender selbst Verantwortung bei der Verwaltung seiner Passwörter.
Schutzziel Integrität
Aus Datenschutzperspektive ist ein System dann integer, wenn personenbezogene Daten während der Datenverarbeitung unversehrt, vollständig und aktuell bleiben. Dabei ist die Authentizität ein Aspekt der Integrität und zielt darauf ab, dass der Ursprung der Daten festgestellt werden kann. Ein Hilfsmittel sind beispielsweise digitale Wasserzeichen oder ein „Information Rights Management“. Die Integrität als solches lässt sich nur einschätzen, wenn der Anbieter eine permanente Kontrolle gewährleistet, um Datenbestände, Schnittstellen und Prozesse zu sichern. Personenbezogene Daten dürfen nur exakt so verarbeitet werden, wie es der Anbieter gewährleistet. Es kommt also auf die Zweckbindung an. Integrität bezieht sich aber auch auf den Anbieter selbst. Anwender müssen sich vergewissern können, dass die Organisation des Lieferanten im Rahmen der gesetzlichen Anforderungen handelt.
Schutzziel Verfügbarkeit
Die außerordentlich hohe und endgeräteunabhängige Verfügbarkeit von Daten ist eines der Hauptmotive für Anwender, Cloud-Lösungen zu nutzen. Sie müssen deshalb darauf achten, dass der Anbieter in den relevanten vertraglichen Vereinbarungen auch eine zeitgerechte Verfügbarkeit des Dienstes vorsieht. Dies kann in Form von Service Level Agreements erfolgen.
Schutzziel Nichtverkettbarkeit
Die Nichtverkettbarkeit ist schließlich das klassische Schutzziel, um zu verhindern, dass personenbeziehbare Verkettungen von Dritten vorgenommen werden können. Dabei geht es speziell um die Nutzung von Adress- und Profildaten. Ist die Cloud-Lösung mit weiteren Diensten des Anbieters verknüpft, kann er über die Zusammenführung verschiedener Nutzungsdaten ein Personenprofil erstellen. Wer also kontrolliert die Verknüpfbarkeit oder eben die Nichtverkettbarkeit der personenbezogenen Nutzungsdaten? Nichtverkettbarkeit kann sich aber auch auf das Identitätsmanagement beziehen. Dabei geht es um die Frage, ob der Anbieter eine anonyme Nutzung oder die Verwendung von Pseudonymen erlaubt oder ob es reicht, wenn der Nutzer zum Beispiel nur die Attribute angibt, die zur Authentifizierung absolut notwendig sind.
Schutzziel Datensparsamkeit
Der Grundsatz der Datensparsamkeit schließlich wird verwirklicht, wenn nur erforderliche Daten verarbeitet werden. Es sollen also nicht mehr personenbezogene Daten erhoben, verarbeitet und genutzt werden, als unbedingt erforderlich ist. Das gilt für Daten, die innerhalb der Anwendung verarbeitet wie auch für Protokolldaten, die erzeugt werden. Deshalb müssen Anwendungen ein Löschprozedere anbieten, mit dem Benutzer schnell und durchgreifend ihre Daten auf der Plattform löschen können. Zu den einschlägigen Cloud-Risiken gehört es, dass eventuell an unterschiedlichen Verarbeitungsorten Datensicherungen vorgenommen werden. Deshalb können möglicherweise im Echtzeitsystem Daten gelöscht, aber im Backup-System noch vorhanden sein. Das gilt vielleicht auch für Daten auf defekten Speichermedien, weil sie dort nicht unwiderruflich gelöscht wurden.
