Was passiert, wenn die Daten weg sind?

Datenklau beim Cloud Computing

Die Auslagerung von Daten an Cloud-Anbieter kann Kapital freimachen und den IT-Investitionsbedarf senken. Oftmals wähnen sich mittelständische Unternehmen mit einem Cloud-Anbieter auf der sicheren Seite. Was viele allerdings nicht wissen: Sie sind nach wie vor für die ausgelagerten Daten verantwortlich.

Zwar gibt der Cloud-Nutzer die Handhabe über seine Daten ab, bleibt jedoch insbesondere bei den personenbezogenen Daten gemäß Bundesdatenschutzgesetz (§ 11) für diese verantwortlich – auch bei Diebstahl.

Der Cloud-Provider kann beispielsweise Tools zur Netz- und Systemüberwachung sowie Protokolldateien zur Verfügung stellen. Ein Schutzkonzept wie die sogenannte Data Leakage Prevention hilft zu erkennen, ob vertrauliche Informationen per E-Mail übertragen oder auf USB-Sticks gespeichert wurden. Auch die eigenen Mitarbeiter sollten durch Schulungen für den Datenschutz sensibilisiert werden. Bemerken sie, dass Kunden beispielsweise vermehrt von der Kreditkartenbezahlung auf Rechnung umstellen, könnte ein Datenleck vorliegen. Bei sensiblen Unternehmens- oder Kundendaten sollte der Cloud-Provider eine Rund-um-die-Uhr-Überwachung sowie ein Security-Incident-Handling-Team zur Verfügung stellen.

Über einen beim Cloud-Anbieter eingetretenen Vorfall muss der Nutzer schnellstmöglich informiert werden. Nur so können entsprechende Gegenmaßnahmen eingeleitet und der Schaden begrenzt werden. Bei der Schadensregulierung unterscheidet man zwischen der Nichtverfügbarkeit von Daten und dem Datendiebstahl. Bei der Nichtverfügbarkeit von Daten kann es zu Betriebsunterbrechungen und Ertragsausfällen kommen. Damit geht kundenseitig nicht selten ein Vertrauensverlust einher. Daher sollte die Firma mit dem Anbieter dessen Verfügbarkeit und Antwortzeiten bei Störmeldungen im Vorfeld vereinbaren. In vielen Service Level Agreements (SLA) sind Vertragsstrafen vereinbart, die greifen, wenn der Anbieter diese vereinbarten Leistungen nicht erbringt. Doch diese Zahlungen sind oft an ein Verschulden des Cloud-Anbieters geknüpft und meist auf den Auftragswert beschränkt. Im Schadensfall muss ein Unternehmen die Kosten einer Betriebsunterbrechung selbst tragen oder bekommt nur einen Bruchteil seines Schadens erstattet.

Zwar gibt der Cloud-Nutzer die Handhabe über seine Daten ab, bleibt jedoch insbesondere bei den personenbezogenen Daten gemäß Bundesdatenschutzgesetz (§ 11) für diese verantwortlich – auch bei Diebstahl. Bei der Auftragsdatenverarbeitung steht das Unternehmen uneingeschränkt in der Verantwortung. So ist u.a. bei der Auftragsvergabe an einen Cloud-Anbieter gesetzlich vorgeschrieben, dass der Auftraggeber sich von dessen Eignung überzeugen muss. Dazu gehört auch die Überprüfung des Partners während der Vertragslaufzeit. Das Unternehmen bleibt in der Pflicht, Betroffene zu benachrichtigen, Aufsichtsbehörden zu informieren und gegebenenfalls Ansprüche betroffener Kunden oder Mitarbeiter zu erfüllen. Liegt kein Verschulden des Cloud-Providers vor, könnten sowohl die Kosten für die Kundenbenachrichtigungen als auch aus der Datenrechtsverletzung abgeleitete Ansprüche gänzlich auf dem Unternehmen lasten. Eine Cyberversicherung kann bei diesem unkalkulierbaren Restrisiko Abhilfe schaffen.

Auf die AGB achten

Mittelständler sollten bei der Wahl eines Cloud-Anbieters auf die AGB achten. Diese sind bei den meisten großen Dienstleistern in der Regel hochstandardisiert und enthalten deren Leistungen. Ferner bieten manche Provider eine Bandbreite mit unterschiedlichen Qualitätsstufen oder verhandelbare SLA an.

Neben den genannten Punkten müssen sich Cloud-Nutzer bewusst sein, dass Daten grenzübergreifend transferiert werden und sich die Rechenzentren der Anbieter überall auf der Welt befinden können. Ferner gibt es Reseller-Modelle, bei denen der eigentliche Vertragspartner den Auftrag der Datenspeicherung- und/oder -verarbeitung an einen Dritten vergibt und der Nutzer im Zweifel nicht weiß, wer mit seinen Daten hantiert. Es empfiehlt sich, das Risk Management und die Verantwortlichkeit für die Daten nicht außer acht zu lassen. 



Notfallplan
Bemerken Cloud-Anwender einen Daten­diebstahl oder einen Hackerangriff, sind folgende Schritte sinnvoll:

  • Sichergehen, dass bei einem akuten Hackingangriff ein Krisenberater mit einem Computer Emergency Response Team (CERT) vom Cloud-Anbieter eingeschaltet wird
  • Einen IT-Forensiker hinzuziehen, um die Schritte des Eindringlings im Netz aufzudecken und zu dokumentieren
  • Das Datenleck oder die Sicherheitslücke schnellstmöglich schließen
  • Mithilfe eines auf IT-Recht spezialisierten Anwalts die Aufsichtsbehörde informieren
  • Die Betroffenen auf Weisung des Rechtsbeistandes informieren
  • Mithilfe des Rechtsbeistandes Strafanzeige bei der Staatsanwaltschaft stellen
  • Falls nötig, den Betroffenen Rede und Antwort stehen, ein Callcenter einrichten oder dem Imageverlust mit einer Marketingkampagne entgegenwirken

Quelle: ACE Group

Thinkstock/iStockphoto

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok