24.03.2015 Sichere Verträge beim Cloud Computing

Verschlüsselung schützt Cloud-Services

Von: Ina Schlücker

Im Interview erläutert Chenxi Wang, Vice President Cloud Security and Strategy bei Ciphercloud, worauf es beim Vertragsabschluss für Cloud Computing besonders ankommt und wie man mithilfe von Verschlüsselungstechnologien als Anwenderunternehmen stets auf der sicheren Seite sein kann.

Chenxi Wang, Ciphercloud

Chenxi Wang, Vice President Cloud Security and Strategy bei Ciphercloud

ITM: Frau Wang, worauf sollte ein mittelständisches Unternehmen, das mit einem Cloud-Provider zusammenarbeiten möchte, beim Vertragsabschluss vor allem achten?
Chenxi Wang:
Die Verantwortlichen mittelständischer Unternehmen sollten unter anderem auf folgende Punkte achten:
a) Sicherheitskompetenz: Wie speichert und handhabt der Cloud-Anbieter die Daten seiner verschiedenen Kunden getrennt voneinander? Wie sind die Daten vor Hackern und unbefugtem Zugriff geschützt?
b) Kosten: Was sind die Basiskosten, und was die laufenden Kosten?
c) Potentielles Anbieter-Lock-in: Erlaubt es der Cloud-Anbieter, mit den eigenen Daten zu einem anderen Anbieter zu wechseln? Oder gibt es irgendwelche Sperrklauseln?
d) Servicezuverlässigkeit und -verfügbarkeit: Wie zuverlässig ist der Service und welche Verfügbarkeit kann man erwarten?
f) Nur für regulierte Industrien: Einhaltung behördlicher Auflagen – gestattet es der Dienst, relevante Compliance-Anforderungen zu erfüllen?

ITM: Welche Dinge sollte man beim Vertragsabschluss möglichst regeln?
Wang:
Neben den üblichen Vertragsbestandteilen sollte der Vertrag umfassen:
- Verfügbarkeit des Cloud-Dienstes
- Kosten und Zahlungsbedingungen
- Service Level Agreements sowie Vertragsstrafen für SLA-Verletzungen. Sicherheitsmaßnahmen können unter die SLAs fallen oder durch ihre eigenen spezifischen Vertragsklauseln abgedeckt sein.
- Ausstiegsklausel und Exit-Support (falls vorhanden)
- Haftung: Wer haftet wofür und unter welchen Bedingungen?
- Vertragsbedingungen zur Beilegung von Streitigkeiten

ITM: Welche Vertragsstrafen finden in der Regel auch beim Cloud Computing Anwendung?
Wang:
Gängig sind folgende Vorgaben: Rückerstattung der Nutzungskosten, vorzeitiges Vertragsende, Support-Gutschriften und, seltener, direkte Geldstrafen.

ITM: Wie kann das Anwenderunternehmen sichergehen, dass der Cloud-Provider bei Vertragsverstößen seinen Pflichten nachkommt?
Wang:
Auch beim Cloud Computing sollten Vertragsverletzung in der sonst üblichen Weise gehandhabt werden – über die gängigen rechtlichen und finanziellen Wege. Ganz wichtig ist, dass Unternehmen die Vertragsbedingungen und -bestimmungen genau prüfen und sicherstellen, dass sie mit diesen einverstanden sind. Der Vertrag sollte unbedingt Klauseln beinhalten, die festlegen, dass der Kunde bei einer Vertragsverletzung entsprechend benachrichtigt wird. Unternehmen können auch einen unabhängigen Monitoring-Service nutzen, um sicherzustellen, dass ihr Cloud-Service-Provider seine SLAs einhält und keine offensichtlichen Vertragsverstöße stattfinden.

ITM: Stichwort Migration: Worauf sollten IT-Verantwortliche, die ihre IT in die Cloud verlagern wollen, hinsichtlich Interoperabilität bzw. Datenkonsistenz achten?
Wang:
Es gibt eine ganze Reihe von Punkten, die beachtet werden sollten. Die wichtigsten davon:
– Wie gut lässt sich der Cloud-Service mit internen Funktionen hinter der Firewall wie Identitätsverzeichnissen oder internen Anwendungen integrieren?
– Wie gut klappt die Integration mit Anwendungen von Drittanbietern, die man bereits einsetzt oder noch einsetzen möchten?
– Zugang zu Logs: Hat man weiterhin Zugang zu den notwendigen Protokollen, etwa für Analysezwecke?
– Kann der Cloud-Dienst alle Sicherheitsrichtlinien und -anforderungen erfüllen? Wenn man zum Beispiel Daten im Ruhezustand verschlüsselt, sollte der Dienst auch dies unterstützen, etc.

ITM: Inwieweit sollten die Daten beim Weg bzw. bei der Bearbeitung in die Cloud verschlüsselt werden?
Wang:
Es gibt drei Formen von Daten: Daten bei der Speicherung (‘at rest’), bei der Übertragung (‘in transit’) und bei der Bearbeitung (‘in use’). Für die Datenübertragung sollten Cloud-Anbieter die Daten auf dem Weg in die Cloud grundsätzlich immer verschlüsseln, zum Beispiel mit https (anderweitig bekannt als SSL). Vorsicht ist bei Providern angebracht, die die Verschlüsselung bei der Übertragung nicht anbieten.

Data at rest: Einige Anbieter speichern die Daten verschlüsselt in der Cloud. Dies ist aber keine allgemeine Notwendigkeit: Manche Kunden brauchen diesen Schutz, während er für andere nicht so relevant ist. Deshalb bieten nicht alle Cloud-Anbieter die verschlüsselte Speicherung an.

Data in use: Nur wenige Anbieter können Daten auch während der Bearbeitung durch eine Cloud-Anwendung verschlüsseln. In der Regel sind die Daten in der Anwendung nicht verschlüsselt und damit Bedrohungen ausgesetzt. Wir sind einer der wenigen Anbieter von Technologien, die die Daten auch bei der Bearbeitung schützen.

ITM: Mit welchen kryptologischen Verfahren sollte man hierbei arbeiten?
Wang:
Für Daten bei der Übertragung in der Regel SSL, also asymmetrische Kryptographie, oft auch als Public-Key-Krypto bezeichnet. Für Daten bei der Speicherung wird normalerweise symmetrische Kryptographie, also Kryptographie mit einem geheimen Schlüssel, genutzt.

ITM: Welche Verschlüsselungstechniken versprechen den größten Schutz, oder anders gefragt: An welchen scheitern selbst ausländische Spähattacken?
Wang:
Jede Methode hat Vor-und Nachteile. Public-Key-Krypto ist leistungsintensiver, aber diese Technologie setzt nicht voraus, dass beide kommunizierenden Parteien die paarweisen Schlüssel besitzen. Damit ist sie ideal für Kommunikationsszenarien mit einem Absender und vielen Empfängern. Deshalb nutzt die Kommunikation zwischen Web-Server und Browsern oft diese Verschlüsselungsmethode. Secret-Key-Kryptographie ist oft schneller, aber es werden paarweise Schlüssel benötigt. Sie eignet sich für Eins-zu-eins-Kommunikation oder bei der Datenspeicherung.

Alle Verschlüsselungstechnologien, wenn sie nur stark genug sind und keine Hintertüren besitzen, sind in der Lage, Daten vor unbefugtem Zugriff und vor Spähattacken zu schützen – vorausgesetzt, dass der Schlüssel dem Angreifer nicht in die Hände fällt.

ITM: Wie kann man vollkommen sichergehen, dass ein Cloud-Service-Provider nach Vertragsende auch wirklich alle Daten des Anwenderunternehmens löscht? Und dies auch noch sicher sowie datenschutz-/rechtskonform?
Wang:
Das ist eine schwierige Frage. Mir sind nur sehr wenige Cloud-Service-Provider bekannt, die irgendeine Art von Garantie oder Beweis dafür bieten, dass die Daten innerhalb eines bestimmten Zeitraums nach Vertragsende gelöscht werden. Es gibt auch tatsächlich keine Möglichkeit, effektiv zu überprüfen, ob der Provider die Daten von seiner Infrastruktur gelöscht hat. Unternehmen können sich entweder auf die vertragliche Vereinbarung verlassen (wenn eine spezielle Datenlöschungsklausel festgelegt ist) oder der Cloud-Anbieter ist zertifiziert, bestimmte Normen und Industrievorschriften einzuhalten (z.B. HIPAA BAA, BITS).

Ein guter Rat an Unternehmer ist es, die Daten verschlüsselt in der Cloud zu speichern und den Schlüssel selbst zu verwalten. In diesem Szenario hat der Cloud-Anbieter von vorneherein keinen Zugriff auf die Daten. Wenn der Schlüssel gelöscht wird, wird niemand mehr die Daten lesen können, selbst wenn der Cloud-Anbieter sie nicht aktiv von den Speicherplatten entfernt.

©2016 Alle Rechte bei MEDIENHAUS Verlag GmbH