Standort des Cloud-Providers ist entscheidend

Datenschutz beim Cloud Computing

Interview mit Diethelm Siebuhr, CEO beim IT-Dienstleister Nexinto Holding, über Datenhoheit sowie Datenschutz beim Cloud Computing – und warum der Standort des Cloud-Providers dabei so entscheidend ist

Diethelm Siebuhr, Nexinto

Diethelm Siebuhr, CEO beim IT-Dienstleister Nexinto Holding

ITM: Herr Siebuhr, worauf sollte ein mittelständisches Unternehmen, das mit einem Cloud-Provider zusammenarbeiten möchte, beim Vertragsabschluss vor allem achten?
Diethelm Siebuhr:
Wichtig sind vor allem Fragen zu Datenhoheit und -schutz; damit ist auch der Standort der Daten zu klären und die zuständige Gerichtsbarkeit, also ob deutsches Recht anzuwenden ist. Das alles ist in SLAs detailliert festzulegen; auch der Support ist hier zu regeln. Darüber hinaus müssen die SLAs natürlich auch Angaben zu Kapazitäten und Verfügbarkeiten aufweisen. Natürlich ist auch die Datenhandhabe und -löschung vertraglich zu regeln, insbesondere am Ende des Projektes.

ITM: Welche Dinge sollte man beim Vertragsabschluss tunlichst vermeiden, um ein späteres, böses Erwachen zu vermeiden?
Siebuhr:
Man sollte keinesfalls Dinge außerhalb der SLAs regeln und sich mit der Versicherung begnügen, dass bestimmte Parameter selbstverständlich seien. Es gelten die vereinbarten SLAs und sonst nichts.  

ITM: Welche Vertragsstrafen finden in der Regel auch beim Cloud Computing Anwendung?
Siebuhr:
Vertragsstrafen sind abhängig vom jeweiligen Service. Grundsätzlich gibt es solche Strafen bei Nichteinhaltung von SLAs beispielsweise bei unzureichender Verfügbarkeit.

ITM: Wie kann das Anwenderunternehmen sichergehen, dass der Cloud-Provider bei Vertragsverstößen seinen Pflichten nachkommt?
Siebuhr:
Eine völlige Sicherheit gibt es nicht, das ist jedoch keine Besonderheit des Cloud Computing, sondern gilt für alle Bereiche des Vertragsrechts. Darüber hinaus können solche Verstöße auch nicht nur mutwillig erfolgen, sondern beispielsweise aufgrund wirtschaftlicher Schwierigkeiten des Providers. Daher ist es empfehlenswert im Vorfeld auch eine Bonitätsprüfung vorzunehmen. Die letzte, aber sicherlich unschöne Möglichkeit ist das Einklagen von Leistungen vor Gericht. Von Vorteil ist, wenn der Provider aus Deutschland kommt und es einen deutschen Gerichtsstand gibt.

ITM: Stichwort Migration: Worauf sollten IT-Verantwortliche, die ihre IT in die Cloud verlagern wollen, hinsichtlich Interoperabilität bzw. Datenkonsistenz achten?
Siebuhr:
Es hat sich gezeigt, dass Migrationsprojekte besser laufen, wenn eine Lösung modular aufgebaut ist. Damit können einzelne Bestandteile, wie eine Search Engine, bei Bedarf leichter ausgetauscht und Prozesse kontinuierlich entwickelt werden. Daten sollten dabei asynchron gehalten werden, so dass eine Replikation der Daten im Hintergrund möglich ist. Zum Zeitpunkt des „Go Live“ beim neuen Provider muss dann nur noch eine geringe Menge an Daten übertragen werden. Wichtig ist es außerdem, die Verwendung von Standardschnittstellen sicherzustellen, so dass Daten konsistent übertragen und bei Bedarf zwischengespeichert werden können.

Werden in Implementierungen Standardschnittstellen und Industriestandards hinsichtlich Cloud-Management verwendet, so lassen sich die benötigten Services und Applikationen automatisiert migrieren. Es empfiehlt sich daher, darauf zu achten und dies auch in den SLAs zu definieren.

ITM: Inwieweit sollten die Daten beim Weg bzw. bei der Bearbeitung in die Cloud verschlüsselt werden?
Siebuhr:
Der Cloud-Service-Provider sollte sichere, geeignete Verschlüsselungsverfahren anwenden und ein durchgängiges Krypto-Konzept vorlegen können.

ITM: Mit welchen kryptologischen Verfahren sollte man hierbei arbeiten?
Siebuhr:
Auch diese Frage lässt sich nicht pauschal beantworten, denn die Verwendung kryptologischer Verfahren ist abhängig vom Lebenszyklus der Daten und damit von Anwender zu Anwender verschieden. Es eignen sich hier symmetrische Verschlüsselungsverfahren, bei denen die Schlüssel höchstens zwischen bekannten Kommunikationspartnern ausgetauscht werden; damit lassen sich auch große Datenmengen durch Festplatten- oder Containerverschlüsselung sichern.

Ob die asymmetrischen Verfahren tatsächlich geeignet sind, ist im Einzelfall zu prüfen. Diese basieren auf einem öffentlichen (Public Key) und einem geheimen Schüssel (Private Key), die jeweils dem Ver- und Entschlüsseln dienen. Die Daten werden durch den Public Key verschlüsselt, der Private Key hingegen entschlüsselt die Daten korrekt. Hierbei ist die technische Anforderung zu beachten.

In Deutschland wird zudem besonders darauf geachtet, Verfahren einzusetzen, die noch nicht geknackt und entschlüsselt wurden. Wichtig ist, dass der Cloud-Kunde zu jedem Zeitpunkt die Hoheit über seine Schlüssel behält.

ITM: Welche Verschlüsselungstechniken versprechen den größten Schutz, oder anders gefragt: An welchen scheitern selbst ausländische Spähattacken?
Siebuhr:
Verfahren mit besonders hoher Schlüssellänge bieten den größten Schutz. Bei asymmetrischen Verfahren ist auf ein sicheres Signaturverfahren zu achten. Beim Austausch geheimer Sitzungsschlüssel ist auf eine kryptografische gesicherte Verbindung zu achten.

ITM: Wie kann man vollkommen sicher gehen, dass ein Cloud-Service-Provider nach Vertragsende auch wirklich alle Daten des Anwenderunternehmens löscht? Und dies auch noch sicher sowie datenschutz-/rechtskonform?
Siebuhr:
Diese Anforderungen entstehen nicht erst im Cloud Computing, sondern auch schon bei dedizierten Kundenplattformen, die von einem Provider betrieben werden. Voraussetzung ist eine klare Trennung der Daten nach einzelnen Mandanten, also Anwenderunternehmen oder -gruppen. Das ist auch eine grundlegende Anforderung des Datenschutzes. Die Rückgabe beziehungsweise Löschung von Daten nach Beendigung des Auftrags muss in den SLAs geregelt werden.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok