Verschlüsselung beim Cloud Computing

Auswahlkriterien für Cloud-Provider

Interview mit Ingo Gehrke, Mitglied der Geschäftsleitung bei der EMC Deutschland GmbH, und Ralf Kaltenbach, Regional Director bei RSA Germany, über wichtige Kriterien bei der Auswahl des Cloud-Computing-Providers sowie praktikable Verschlüsselungstechnologien beim Zugriff auf Daten in der Cloud

  • Ingo Gehrke, EMC Deutschland

    Ingo Gehrke, Senior Director Sales Mid Market Germany sowie Mitglied der Geschäftsleitung bei der EMC Deutschland GmbH

  • Ralf Kaltenbach, RSA Germany

    Ralf Kaltenbach, Regional Director bei RSA Germany

ITM: Herr Gehrke, worauf sollte ein mittelständisches Unternehmen, das mit einem Cloud-Provider zusammenarbeiten möchte, beim Vertragsabschluss vor allem achten?
Ingo Gehrke:
Ein Mittelständler sollte darauf achten, wie relevant sein Umsatz für den Service-Provider ist – um auf Augenhöhe verhandeln zu können. Wichtig sind zudem ISO-Zertifizierungen und auch Audit-Möglichkeiten. Denn viele Unternehmen wollen im Bedarfsfall die Hardware sehen, auf der ihre Daten liegen.

ITM: Welche Dinge sollte man beim Vertragsabschluss tunlichst vermeiden, um ein späteres, böses Erwachen zu vermeiden?
Gehrke:
Mittelständische Unternehmen sollten ihre Wahl nicht auf Grundlage von Webseiten oder Präsentationen treffen, sondern sich auch in persönlichen Gesprächen mit dem Service-Provider auseinandersetzen und sich gegebenenfalls das Rechenzentrum zeigen lassen.

ITM: Welche Vertragsstrafen finden in der Regel auch beim Cloud Computing Anwendung?
Gehrke:
Vertragsstrafen sind bei nicht-anonymen Verträgen Verhandlungssache. Sie wirken allerdings nur begrenzt als Absicherung für den Gesamtservice, denn die größten „Unbekannten“ hinsichtlich der Verfügbarkeit liegen im Bereich der Netze.

ITM: Wie kann das Anwenderunternehmen sichergehen, dass der Cloud-Provider bei Vertragsverstößen seinen Pflichten nachkommt?
Gehrke:
Die Anwenderunternehmen haben grundsätzlich auch gegenüber Cloud-Providern die gleichen Anspruchsmöglichkeiten wie sie diese aus klassischen IT-Verträgen kennen. Das gilt jedoch nicht für den Fall, dass Cloud-Dienste über ein unpersönliches Vertragsverhältnis über das Internet bezogen werden. In diesem Fall sollten die Anwenderunternehmen die allgemeinen Geschäftsbedingungen vor Vertragsabschluss eingehend hinsichtlich der Pflichten des Providers prüfen.

ITM: Stichwort Migration: Worauf sollten IT-Verantwortliche, die ihre IT in die Cloud verlagern wollen, hinsichtlich Interoperabilität bzw. Datenkonsistenz achten?
Gehrke:
Besonders sollte darauf geachtet werden, wie die Daten wieder aus der Cloud zurückgeholt werden können. Zum Beispiel bei einem Providerwechsel. Sie sollten außerdem genau prüfen, welche Werkzeuge oder Anpassungen nötig sind, um die Daten in die Cloud zu bekommen. Hier geht es um die Auswahl der passenden Technologien und Standards.

ITM: Herr Kaltenbach, inwieweit sollten die Daten beim Weg bzw. bei der Bearbeitung in die Cloud verschlüsselt werden?
Ralf Kaltenbach:
Verschlüsselung sollte sicherlich eine Standardvorgehensweise und empfohlene „Best Practice“ beim Zugriff auf sensible Cloud-Daten sein. Vergleichbar zum Online-Banking und anderen sensitiven Vorgängen im Internetgeschäft, sollte zumindest eine SSL-Verschlüsselung zum Einsatz kommen. Bei besonders kritischen Daten, wie beispielsweise Gesundheitsdaten, sollten weitere Sicherungsmaßnahmen ergriffen werden.

ITM: Mit welchen kryptologischen Verfahren sollte man hierbei arbeiten?
Kaltenbach:
Ein kontrollierter Datenaustausch und -zugriff hat extrem hohe Bedeutung insbesondere in Cloud-Umgebungen. Deshalb sollten Algorithmen verwendet werden, die von den jeweiligen Kontrollinstanzen bzw. Aufsichtsgremien für die spezifischen Einsatzzwecke empfohlen werden. So können die Bedürfnisse der Anwender und der Betreiber gleichermaßen berücksichtigt werden.

ITM: Welche Verschlüsselungstechniken versprechen den größten Schutz, oder anders gefragt: An welchen scheitern selbst ausländische Spähattacken?
Kaltenbach:
Man muss sich sehr intensiv mit aktuellen Angriffen auseinandersetzen und diese analysieren – oder auf Partner setzen, die über dieses „Know-how“ verfügen. Angreifer nutzen mit entsprechender Schadsoftware z.B. Lücken beim Verbindungsaufbau oder andere Produktschwachstellen aus. So werden bestehende Verbindungen verwendet, ohne dass der Anwender eine Chance hat, dies zu erkennen und zu verhindern. Gute Abwehrmaßnahmen berücksichtigen den optimalen Abgleich zwischen Prozessen, Technologien und involvierten Mitarbeitern bzw. Dienstleistern. Verschlüsselungstechniken sollten durch Maßnahmen ergänzt werden, die RSA unter dem Stichwort „Intelligence Driven Security“ zusammenfasst.

ITM: Wie kann man vollkommen sicher gehen, dass ein Cloud-Service-Provider nach Vertragsende auch wirklich alle Daten des Anwenderunternehmens löscht? Und dies auch noch sicher sowie datenschutz-/rechtskonform?
Kaltenbach:
Dies muss von Anfang an in den entsprechenden Service Level Agreements (SLAs) zwischen Anwendern und Betreibern geregelt werden und aus dem Design der Cloud-Prozesse abgeleitet werden können. Die Sicherheit der Geschäftsdaten und der gespeicherten Daten, beispielsweise für unterschiedliche Abrechnungsmodelle, muss während der gesamten Vertragslaufzeit und an deren Ende gewährleistet sein. Deshalb sind regelmäßige Prüfungen und Protokollierungen, auch aus Compliance-Gründen, unabdingbar. Nur so lässt sich die vertragskonforme Nutzung, insbesondere unter Berücksichtigung des Datenschutzes, einhalten.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok