Khaled Chaar, Pironet NDH und Bertram Dorn, Amazon Web Services geben Auskunft

Sicherheitsbedenken beim Cloud Computing

Cloud Computing gilt als aktueller Megatrend. Laut IDC soll heute bereits mehr als die Hälfte aller IT-Aufwendungen in diese Richtung fließen – mit wachsender Tendenz. Bis 2020 werden demnach über 60 Prozent der IT-Budgets für cloud-basierte Technologien ausgegeben. Hinter dieser Entwicklung steht der Wunsch von IT-Leitern und Service-Providern, ihre IT-Landschaft inklusive der Netzwerke in offene, software-basierte Plattformen zu verwandeln.

  • „Um Daten einigermaßen sicher in der Public Cloud zu lagern, sollten Unternehmen diese vorab verschlüsseln.“ Khaled Chaar, Managing Director Business Strategy bei der Cancom-Tochter Pironet NDH

  • „Der Kunde entscheidet, welchen Inhalt er in die Cloud stellt, und auch über das Sicherheitsniveau.“ Bertram Dorn, Solutions Architect bei Amazon Web Services

Trotz der Euphorie der Hersteller und Provider zögern viele Mittelständler aber noch beim Cloud Computing. Sie sorgen sich um die Sicherheit ihrer Daten in der Wolke. Außerdem ist wie immer schon beim IT-Outsourcing das Unbehagen groß, die Datenhoheit zu verlieren. Dazu kommt jetzt auch noch die unklare Rechtslage durch das Ende des Safe-Harbor-Abkommens mit den USA. IT-MITTELSTAND hat daher zwei Cloud-Experten gebeten, speziell die Sicherheitsbedenken zu entkräften.

ITM: Der Europäische Gerichtshof hat entschieden, dass die USA kein „sicherer Hafen“ mehr für Daten aus Europa ist. Was bedeutet dies für die Praxis im IT-Betrieb mittelständischer Unternehmen in Deutschland, die bereits Cloud-Services nutzen?
Khaled Chaar:
Grundsätzlich ging es beim Safe-Harbor-Abkommen ausschließlich um den Austausch personenbezogener Daten. Unternehmen, die nicht-personenbezogene Daten, wie Produktinformationen oder Preise, in einer wie auch immer gearteten Cloud speichern, können das auch weiterhin tun. Zudem bezog sich das Abkommen ausschließlich auf den Informationsaustausch mit den USA. Wer seine Daten einem europäischen Cloud-Provider anvertraut hat, dessen Rechenzentren in Europa stehen, für den ändert sich durch die Entscheidung des EuGH nichts.

Man sollte bei aller Diskussion um Safe Harbor auch bedenken, dass das Abkommen unter Rechtsexperten schon lange äußerst umstritten war. Denn amerikanische Cloud-Provider haben sich im Rahmen von Safe Harbor zwar verpflichtet, die EU-Datenschutzstandards zu erfüllen. Doch inwieweit sie das in der Praxis tatsächlich umgesetzt haben, ließ sich kaum nachprüfen. Zusätzlich Öl ins Feuer goss natürlich der NSA-Skandal.

Bertram Dorn: Unabhängig von der Entscheidung des EuGH hat die Sicherheit der Daten unserer Kunden für uns oberste Priorität. Die EU-Datenschutzbehörden (bekannt als Artikel-29-Arbeitsgruppe) haben unsere Datenschutzvereinbarung sowie die Vertragsklauseln genehmigt, auf deren Basis ein Transfer von Daten aus Europa heraus ermöglicht wird, einschließlich der USA. Mit unseren von der EU genehmigten Datenschutzabkommen sowie den „Model Clauses“ können Kunden unsere Cloud-Services auch weiterhin nutzen – unter voller Entsprechung der EU-Gesetzgebung. Auf unsere Datenschutzvereinbarung können sich all jene AWS-Kunden berufen, die personenbezogene Daten verarbeiten, unabhängig davon, ob sie in Europa angesiedelt oder ein internationales Unternehmen sind, das im europäischen Wirtschaftsraum tätig ist.

ITM: Manche Experten empfehlen die Daten zu verschlüsseln, bevor sie in die Cloud gehen. Was halten Sie davon? Ist das sicher und praktikabel?
Dorn:
Wir empfehlen unseren Kunden grundsätzlich immer, ihre Daten zu verschlüsseln. Allerdings hängt es vom speziellen Anwendungsfall bzw. von der spezifischen Workload ab, welche Art von Verschlüsselung die richtige ist. Sofern Daten in der Cloud nur gespeichert und transferiert werden sollen, ist eine Vorabverschlüsselung praktikabel. Soll auf den Daten gerechnet werden, so bieten sich verschiedenste Verschlüsselungsmethoden an, welche die Daten bei der Übertragung und Speicherung unleserlich machen.

AWS ermöglicht Kunden für fast alle Dienste, ihre eigenen Verschlüsselungsmechanismen zu verwenden, etwa S3, EBS, SimpleDB und EC2. VPC-Sessions sind ebenso verschlüsselt. Kunden steht es zudem frei, Verschlüsselungstechnologien von Drittanbietern einzusetzen. Unsere Verschlüsselungsprozesse werden regelmäßig von unabhängigen Auditoren überprüft, um eine fortwährende Übereinstimmung mit den Standards SOC, PCI DSS und ISO 27001 zu gewährleisten.

Chaar: Wir dürfen hier die Themen Datenschutz und Datensicherheit nicht miteinander vermischen. Die Verschlüsselung ist ein rein technisches Thema. Personenbezogene Daten dürfen nach der Entscheidung gegen Safe Harbor nicht mehr in die USA transferiert werden – egal ob verschlüsselt oder nicht!

In der Praxis werden Verschlüsselungsverfahren vor allem bei der Nutzung von Public-Cloud-Diensten wie Dropbox, Microsofts One Drive oder Google Drive angewendet. Die meisten Provider dieser Speicherdienste können auf die Daten ihrer Nutzer jedoch problemlos zugreifen, da eine Verschlüsselung meistens erst auf dem Server selbst stattfindet.

Um Dateien einigermaßen sicher in der Public Cloud zu lagern, sollten Unternehmen die Daten daher schon vorab verschlüsseln – und zwar mit einem Schlüssel, der dem Provider nicht bekannt ist. Dabei gilt es jedoch, zwei Dinge zu bedenken: Erstens sollten sich die IT-Verantwortlichen genau überlegen, welche Daten sie auf diesem Wege schützen wollen und wie hoch das Schutzniveau sein soll. Denn je sicherer ein Verfahren ist, mit desto mehr Einschränkungen müssen in der Regel die Nutzer leben. Zum anderen sollte man sich vor Augen halten, dass auch das vermeintlich sicherste Verschlüsselungsverfahren nie einen vollkommenen Schutz bieten kann. Für besonders sensible Daten, etwa aus Forschung und Entwicklung, ist die öffentliche Cloud daher unserer Ansicht nach nicht der richtige Ort.

ITM: Was raten Sie mittelständischen Kunden aus Sicherheitsperspektive generell bei der Nutzung von Cloud-Services? Gibt es hier wirksame Maßnahmen, die vor Datenverlust und Ausspähung schützen?
Dorn:
Kurz zusammengefasst: dass sie sich Wissen über unser sogenanntes „Shared Responsibility Model“ aufbauen, unsere Empfehlungen über die Sicherung von administrativen Zugängen (Stichwort „Identity und Access Management“) konsequent umsetzen, alle verfügbaren Sensoren (Cloud Trail/VPC-Flow-Logs) auswerten sowie überall da konsequent verschlüsseln, wo es aus ihrer Sicht Sinn ergibt.

Beim Schutz vor Datenverlust und Ausspähung kommen vollkommen unterschiedliche Maßnahmen zum Tragen. Bezüglich der Prävention von Ausspähung ist wichtig zu beachten, dass einzig der Kunde die Kontrolle über seine Daten hat – nicht wir. Wir als Provider haben auch keinen Einblick in die Inhalte, die der Kunde einstellt – und ändern ebenso wenig die Einstellungen des Kunden. Diese werden einzig durch den Kunden festgelegt und stehen vollständig unter dessen Kontrolle.

Da es der Kunde ist, der darüber entscheidet, welchen Inhalt er in die Cloud stellt, kann auch nur der Kunde entscheiden, welches Sicherheitsniveau für die dort gespeicherten Daten angemessen ist. In Bezug auf Datenverlust lässt sich sagen, dass es für jede der 30 Verfügbarkeitszonen entsprechende „Failure Zones“ gibt. Das heißt: Für den Fall einer Unterbrechung werden Datenströme automatisiert in alternative Verfügbarkeitszonen in derselben Region umgeleitet.

Chaar: Wer auf Nummer Sicher gehen will, sollte für kritische Daten auf eine europäische oder noch besser auf eine deutsche Cloud setzen. Denn hiesige Provider unterliegen den äußerst strengen deutschen Datenschutzbestimmungen.

Vorsicht ist allerdings geboten, wenn ausländische Provider ihre Rechenzentren in Deutschland betreiben, um ihren Kunden ein vermeintlich besseres Datenschutzniveau zu bieten. Diese Rechnung geht nicht auf. Denn US-Gerichte haben entschieden, dass US-Behörden auch dann Zugriff auf die Rechenzentren eines amerikanischen Providers haben, wenn sich diese außerhalb der USA befinden. Zum Thema Datenverlust kann man nicht oft genug das Mantra „Backup, Backup, Backup!“ wiederholen. Möglichst in örtlich getrennten Lokationen. 

 

 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok