Sicherheit für das Cloud Computing

Cloud-Verträge unter der Lupe

Interview mit Michael Rosbach, Vorstand bei Scopevisio in Bonn, über die wichtigsten Inhalte von Cloud-Verträgen und Sicherheitsaspekte wie die Verschlüsselung von Daten auf dem Weg in die Cloud

Michael Rosbach, Scopevisio

Michael Rosbach, Vorstand bei Scopevisio

ITM: Herr Rosbach, worauf sollte ein mittelständisches Unternehmen, das mit einem Cloud-Provider zusammenarbeiten möchte, beim Vertragsabschluss vor allem achten?
Michael Rosbach:
Bezogen auf Cloud-Software sollte man darauf achten, einen seriösen und vertrauenswürdigen Anbieter zu wählen, der seine Anwendung in einem zertifizierten Rechenzentrum im Land des Nutzers betreibt. Nur dann ist sichergestellt, dass der Rechenzentrumsbetreiber denselben Datenschutzgesetzen unterliegt.

Im Cloud-Vertrag müssen unter anderem der Gegenstand und die Dauer des Auftrags, Art und Umfang der Nutzung, Art und Ort der Datenverarbeitung, die technisch-organisatorischen Maßnahmen im Hinblick auf Datensicherheit und Datenschutz, „Ausstiegsszenarien“ sowie die eventuelle Beteiligung von Subunternehmen beschrieben werden. Auch sollten Aussagen zu Verfügbarkeit und Performance sowie Reaktions- und Wiederherstellungszeiten getroffen werden.

Außerdem müssen Unternehmen grundsätzlich eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung abschließen, wenn betriebliche Cloud-Anwendungen eingesetzt werden, mit denen personenbezogene Daten verarbeitet werden.

ITM: Welche Dinge sollte man beim Vertragsabschluss tunlichst vermeiden, um ein späteres, böses Erwachen zu vermeiden?
Rosbach:
Alle vertraglichen Festlegungen sollten sorgfältig geprüft werden. Insbesondere muss geklärt werden, wie und in welcher Form das Unternehmen seine Daten vor bzw. bei Vertragsbeendigung von einem Cloud-Anbieter zurück erhält. Zudem muss jeder Unternehmer auch an seine gesetzlichen Aufbewahrungspflichten denken. Sofern der Anbieter dies nicht übernimmt, hat der Nutzer selber dafür Sorge zu tragen.

ITM: Welche Vertragsstrafen finden in der Regel auch beim Cloud Computing Anwendung?
Rosbach:
Entspricht der Cloud-Service nicht der vertraglich geschuldeten Leistung, kann der Kunde Gewährleistungsansprüche gelten machen. Mögliche gesetzliche Gewährleistungsansprüche sind: Zurückbehaltungsrecht (Zurückhalten der Vergütung), Minderung, Schadensersatzanspruch in bestimmten Fällen oder außerordentliche Kündigung.

ITM: Wie kann das Anwenderunternehmen sichergehen, dass der Cloud-Provider bei Vertragsverstößen seinen Pflichten nachkommt?
Rosbach:
Die Gewährleistungsansprüche des Kunden hängen davon ab, welche Leistungen und welcher Leistungsstandard vertraglich vereinbart sind. Im Vertrag sind die Rechtsfolgen niedergelegt, die zum Tragen kommen, wenn die vereinbarten Parameter nicht eingehalten werden. Hierbei kann es sich zum Beispiel um Vertragsstrafen oder aber die Reduzierung der Grundgebühr handeln.

ITM: Stichwort Migration: Worauf sollten IT-Verantwortliche, die ihre IT in die Cloud verlagern wollen, hinsichtlich Interoperabilität bzw. Datenkonsistenz achten?
Rosbach:
Bezogen auf Software muss Interoperabilität durch Schnittstellen hergestellt werden. Damit einzelne Programme – ob innerhalb oder außerhalb der Cloud – möglichst nahtlos zusammenzuarbeiten, sollten sich IT-Verantwortliche die Import- und Export-Schnittstellen der gewählten Systeme deshalb sehr genau anschauen. Auch muss sichergestellt werden, dass die Programme dasselbe Dateiformat bzw. dieselben Protokolle verwenden können.

ITM: Inwieweit sollten die Daten beim Weg bzw. bei der Bearbeitung in die Cloud verschlüsselt werden?
Rosbach:
Auf dem Weg in die Cloud sollten Daten grundsätzlich verschlüsselt werden, in der Cloud selbst nach Möglichkeit auch. Letzteres ist aber nur dann möglich, wenn Daten dort nicht weiter verarbeitet werden, wie dies etwa bei Online-Speichern der Fall ist. Bei Cloud-Anwendungen, die Daten in der Cloud verarbeiten (z.B. betrieblichen Anwendungen wie CRM), ist dies nach derzeitigem Stand der Technik (noch) nicht möglich. Die Verarbeitung verschlüsselter Daten in der Cloud ist Gegenstand der Forschung. IT-Verantwortliche sollten vor diesem Hintergrund darauf achten, dass Daten in der Cloud in einem gesicherten System verarbeitet werden. Der Cloud-Hersteller sollte dazu Auskünfte geben können.

ITM: Mit welchen kryptologischen Verfahren sollte man hierbei arbeiten?
Rosbach:
Man sollte auf moderne und allgemein anerkannte Verfahren zurückgreifen. Wichtig sind offene, nicht proprietäre Standards, die von unabhängiger Stelle überprüfbar sind. Da hier eine stete Entwicklung stattfindet, sollte auf der Anbieterseite ein Verantwortlicher benannt sein, der diesen Bereich im Auge behält.

ITM: Welche Verschlüsselungstechniken versprechen den größten Schutz, oder anders gefragt: An welchen scheitern selbst ausländische Spähattacken?
Rosbach:
Es gibt kein absolut sicheres Verfahren. Ziel muss es sein, den größtmöglichen Schutz zu erreichen. Dazu stehen etablierte Verfahren zur Verfügung. Bekannte Verschlüsselungsalgorithmen sind DES, AES und RSA. Allerdings sind DES und RSA durch die NSA-Spähattacken immer wieder in Verruf geraten. Letztlich kann die Sicherheit einer Verschlüsselungstechnik nur durch am Widerstand gemessen werden, den sie Versuchen entgegenstellt, sie aufzubrechen.

ITM: Wie kann man sichergehen, dass ein Cloud-Service-Provider nach Vertragsende auch wirklich alle Daten des Anwenderunternehmens löscht? Und dies auch noch sicher sowie datenschutz-/rechtskonform?
Rosbach:
Wenn dies vertraglich festgelegt ist, muss man als Anwender davon ausgehen, dass sämtliche Daten gelöscht und dass dabei auch die datenschutzrechtlichen Bestimmungen eingehalten werden. Letztlich gründet diese Sicherheit aber im Vertrauen auf den Anbieter.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok