Datensicherheit und Datenschutz in der Cloud

Immer mehr Unternehmen lagern Teile ihrer Produktionsinfrastruktur aus und greifen auf die Rechnerwolke zurück. So zeigt eine beim Markt- und Beratungsunternehmen IDC in Auftrag gegebene Studie, dass Cloud Computing zunehmend zu einem wichtigen Erfolgsfaktor wird. Dennoch: Wer Cloud Computing nutzt, darf die Risiken nicht ignorieren. Auch die Datensicherheit und der Datenschutz müssen gewährleistet sein. Zuletzt hat der Skandal über das US-amerikanische Abhörprogramm Prism die Absicherung von Daten wieder in den Vordergrund gerückt. Von daher sind zur Zeit Cloud-User besonders sensibilisiert. Doch wo sind Unternehmensdaten überhaupt noch sicher?

Beim Schritt in die Cloud ist zunächst darauf zu achten, dass der Datentransfer verschlüsselt erfolgt. Neben der Anmeldung mit Log-in-Name und Passwort sorgt die Zwei-Faktor-Authentifizierung (zusätzliche Eingabe einer Mobile PIN oder mit digitaler Identität z.B. mit dem neuen Personalausweis) für höhere Sicherheit. Zwar wird dadurch ein zusätzlicher Schritt beim Anmeldevorgang notwendig. Dennoch ist gerade die Anmeldung mit Mobile PIN vom Anwender bereits gelernt, schließlich verwendet er diese etwa regelmäßig für Online-Überweisungen. Wenn erst einmal die Rufnummer beim Cloud-Anbieter hinterlegt ist, funktioniert der Log-in mittels Mobile PIN zügig. Die höchste derzeit erreichbare Authentifizierungsstufe wird mit dem neuen, digitalen Personalausweis erreicht. Dieser sorgt für Klarheit, mit wem man in der Cloud zusammenarbeitet, da eine staatliche Autorität die Identität des Cloud-Teilnehmers verifiziert. Alle Ausweisdaten und Programme für die Bearbeitung dieser Daten sind mit dem Chip des Ausweises verknüpft und können nur verwendet werden, wenn der Anwender sowohl im Besitz des digitalen Ausweises ist als auch die PIN zur Freischaltung weiß.

Audits und Zertifizierungen

Ein wichtiges Kriterium ist die Zertifizierung und Prüfung der Anbieter. Zertifizierungen von unabhängigen Prüfungsstellen geben Gewissheit, dass die hohen Standards für Sicherheit und Zuverlässigkeit gewährleistet und die Abläufe des Cloud-Betriebs korrekt sind und eingehalten werden. Zudem ermöglichen manche Cloud-Anbieter ihren Kunden, selbst ein Audit, also eine Kontrolle der Sicherheitsvorkehrungen und der Betriebsabläufe, durchzuführen.

Notwendig für Cloud-Services ist das Zertifikat ISO 27001. Diese Norm ist ein weltweiter Standard für die Bewertung der Sicherheit von IT-Umgebungen. Kunden können damit sicher sein, dass der Anbieter die gesetzlichen Datenschutzverpflichtungen mit größtmöglicher Sorgfalt und nach dem Stand der Technik erfüllt. Desweiteren ist die ISO-Norm 20000 international für das IT-Servicemanagement anerkannt und dient als messbarer Qualitätsstandard. Sie ist eine Ergänzung zur ISO 27001 für Informationssicherheit und zur Qualitätsmanagement-Norm ISO 9001.

Daneben existieren weitere Prüfkriterien: So soll das Cloud-Gütesiegel „Euro Cloud Star Audit SaaS“ die Rechtssicherheit erhöhen. In enger Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat der deutsche Verband Eurocloud Deutschland Eco einen Prüfkatalog für Anbieter entwickelt. Mit der Cloud-Sicherheitszertifizierung des TÜV Rheinland beweist ein Unternehmen Seriosität, Qualität und Sicherheit des Angebotes und zeigt Vertrauenswürdigkeit und Transparenz im Umgang mit  Kundendaten. So wird bei dieser Zertifizierung die Architektur des Cloud-Dienstes geprüft und eine funktionale Analyse aus Sicht des Anwenders durchgeführt.

Generell ist der Speicherort der Daten für das gesamte Sicherheitskonzept bedeutend. Manche Anbieter lassen dem Kunden die Wahl, in welchem Land die Daten gespeichert werden. Bei geschäftlicher Zusammenarbeit sollte garantiert sein, dass die geschäftlichen Daten und Dokumente den deutschen Richtlinien für Datenschutz und -sicherheit unterliegen.

Hochsicherheitsrechenzentren sind die Grundvoraussetzung für sichere Datenspeicherung. Die gesamte Hard- und Software-Umgebung muss für hohe Verfügbarkeit, Zuverlässigkeit, einfache Skalierbarkeit sowie einfache Wartung ausgelegt sein. Ein Backup der Metadaten muss mindestens einmal täglich gemacht werden. Inhalte sollten laufend synchron gespeichert werden. Auch die Quellcodes für die Cloud-Dienste inklusive der Betriebs- und Datenbanksysteme sollten vollständig in Europa – idealerweise allesamt beim Anbieter – liegen. Damit sind Hintertüren in der Cloud ausgeschlossen.

Cloud-Sicherheit unter der Lupe

Bei der Auswahl eines Cloud-Anbieters sollten IT-Verant­wortliche auf folgende Sicherheitsstandards achten:

•   Zwei-Faktor-Authentifizierung mit Mobile PIN und Digital-ID
•   Zertifikat ISO 27001
•   Zertifikat ISO 9001
•   Zertifikat ISO 20000
•   Standard ISAE 3402
•   Euro Cloud Star Audit SaaS
•   Cloud-Sicherheitszertifizierung des TÜV Rheinland
•   Standort des Rechenzentrums
•   Wahl des Speicherorts
•   Quellcode in den Händen des Anbieters

Quelle: Fabasoft D Software GmbH

Bildquelle: iStockphoto.com/Solarseven