Suchen

Bekannte und unbekannte Risiken des Cloud Computing Wer kontrolliert die Daten in der Cloud?

Autor / Redakteur: Monika Schaufler / Peter Schmitz

Cloud Computing und Cloud Storage sind wirtschaftlich interessant und steigern in vielen Fällen die Produktivität der Mitarbeiter. Aber welche Regelungen gelten für Daten in der Cloud? Geben Anbieter Behörden und Dritten Einsicht in Daten? CIOs müssen die Risiken rund um den Datenschutz in der Cloud kennen und wissen wie sie ihre Daten vor Zugriffen schützen können.

Firmen zum Thema

Berichte über behördliche Datenanfragen, Datenschutzverletzungen und die unbeabsichtigte Offenlegung der Daten von Cloud-Anbietern machen die Probleme des Cloud-Datenschutzes deutlich.
Berichte über behördliche Datenanfragen, Datenschutzverletzungen und die unbeabsichtigte Offenlegung der Daten von Cloud-Anbietern machen die Probleme des Cloud-Datenschutzes deutlich.
(Bild: Proofpoint)

Cloud-Computing ist eindeutig einer der lukrativsten Technologiebereiche der heutigen Zeit. Dennoch war und ist die Datensicherheit weiterhin Thema Nummer eins für IT-Manager, die eine Übertragung der Unternehmensdaten in die Cloud in Betracht ziehen. Die einfache Verschlüsselung ist zwar ein Anfang, doch Pressemeldungen über PRISM und das US-amerikanische „Gesetz zum Abhören in der Auslandsaufklärung“ haben einen ganz neuen Katalog an Fragen zum Thema Datenzugriff aufgeworfen.

Zudem werden immer mehr Fragen zum Zugriff auf in der Cloud gespeicherte Daten laut, seitdem zahlreichen Medienberichten zufolge namhafte Technologieunternehmen – wie Microsoft – entsprechende Gerichtsbeschlüsse erhalten haben.

Zusätzlicher Druck lastet auf IT-Managern, die eine Cloud-Migration unter der geplanten Datenschutz-Grundverordnung der EU in Betracht ziehen. Gemäß den darin enthaltenen Bestimmungen würden Akteure mit „Kontrolle“ über Daten das Recht verlieren, Daten abzufragen, die gegen EU-Recht verstoßen.

Dieser Punkt ist noch nicht endgültig entschieden und wird wahrscheinlich weiter diskutiert, da multinationale Unternehmen mit Sitz in den USA entsprechenden Druck ausüben und die Möglichkeit haben, über die grenzüberschreitende Offenlegung elektronischer Daten zu verhandeln.

Zweifellos wirft das für IT-Manager, die eine Umlagerung in die Cloud anvisieren, eine Menge Fragen auf: Wer kontrolliert die Daten in der Cloud und welche Regelungen gelten für die Daten? Darüber hinaus wollen IT-Manager wissen, wie ein Cloud-Anbieter auf Anfragen seitens Behörden oder Dritter bezüglich seiner Daten reagiert, wie häufig Datenanfragen auftreten und welche Schutzmechanismen eingesetzt werden können, um die unbeabsichtigte Offenlegung von Daten zu verhindern, wenn Daten eines anderen Unternehmens abgefragt werden.

Wer ist der Eigentümer Ihrer Daten in der Cloud?

Jüngste Berichte über behördliche Datenanfragen, Datenschutzverletzungen und die unbeabsichtigte Offenlegung der Daten von Multi-Tenant-Cloud-Anbietern haben die Probleme des Cloud-Datenschutzes in das Licht der Öffentlichkeit gerückt. Eine Grundverschlüsselung ist ein erster Schritt – doch Unternehmen suchen verstärkt nach Lösungen, um die Kontrolle über die Daten in der zu Cloud behalten.

Die Cloud bringt eine neue Komplexität im Hinblick auf die begriffliche und inhaltliche Abgrenzung von Eigentum und Besitz mit sich. Dies ist eines der großen Probleme von Cloud-Hosting-Diensten und Unternehmen, da die gesetzlichen Regelungen für Daten nicht einheitlich sind.

Unternehmen und Regierungen befinden sich darüber im Konflikt, unter welche Gesetze die Daten fallen, die in anderen Ländern aufbewahrt werden. Unternehmen und Cloud-Hosting-Anbieter sehen sich mit Durchsuchungsbeschlüssen von Regierungsbehörden konfrontiert, was wiederum Bedenken bei den Unternehmen über die Sicherheit ihrer gespeicherten Daten in der Cloud hervorruft.

Wie häufig sind Datenanfragen und Datenschutzverletzungen?

Datenanfragen treten mit steigender Tendenz sehr häufig auf. Im September 2014 berichtete Dropbox, das die Zahl der behördlichen Auskunftsgesuche über Benutzerdaten stetig zunimmt. In der ersten Jahreshälfte von 2014 erhielt das Unternehmen in den USA insgesamt 268 Anfragen bezüglich Benutzerdaten – diese umfassten Haftbefehle, gerichtliche Vorladungen, Gerichtsbeschlüsse und Anfragen aus anderen Ländern. Bei jeder Anfrage wurden in der Regel unterschiedliche Datentypen gesucht.

Im Gegensatz dazu erhielt Google 20.938 Datenanfragen in der ersten Hälfte von 2012 – und beantwortete 89 Prozent davon. Zum Vergleich: Microsoft reagierte nur auf 79 Prozent dieser Anfragen, prozentual jedoch mehr von ausländischen Regierungsbehörden. Wenn man die Informationsanfragen von den Exekutivorganen auf US-bundesstaatlicher und lokaler Ebene hinzuzählt, wird deutlich, dass Datenanfragen von Regierungsbehörden einen steigenden Trend aufweisen.

Über neue Fälle von Datensicherheitsverletzungen und der unbeabsichtigten Offenlegung von Daten wird fast täglich berichtet. Alle Unternehmen müssen davon ausgehen, dass sie Ziel von Angriffen sein können, und ihre Daten daher entsprechend schützen.

Risiken für die Datensicherheit in der Cloud

Cloud-Dienste werden in der Regel in einer Multi-Tenant-Umgebung, also einer Cloud-Umgebung mit vielen Nutzern, bereitgestellt. Im Vergleich zu Single-Tenant-Umgebungen, in denen die Datenbanken und Infrastruktur von nur einem Nutzer verwaltet werden, weisen Multi-Tenant-Umgebungen ein höheres Offenlegungspotenzial auf, was sich auf die Datensicherheit auswirken kann.

Eine Verschlüsselung bietet zwar Schutz für ruhende Daten, doch bleiben potenzielle Bereiche, die preisgegeben werden können, bestehen. Ein Grund dafür ist, dass die Handhabung der Schlüsselverwaltung und die Speicherung von Benutzeranmeldedaten von Betreiber zu Betreiber unterschiedlich aussehen kann.

Da der Cloud-Betreiber jedoch sowohl die Kundendaten als auch die Verschlüsselungsschlüssel besitzt, besteht ein erhöhtes Risiko, dass kundenspezifische Informationen für den Cloud-Betreiber, seine Mitarbeiter – und auch Cyberkriminelle – zugänglich sind.

Falls im Zuge einer behördlichen oder anderen gerichtlichen Maßnahme lesbare, unternehmensspezifische Informationen gesucht werden, müssen Cloud-Archiv-Anbieter der Anweisung Folge leisten und sowohl die Daten als auch die Verschlüsselungsschlüssel preisgeben, zum Teil ohne Inkenntnissetzung des betreffenden Unternehmens.

Die Suche nach einer Lösung

Die Situation hinsichtlich des Eigentums von Cloud-Daten ist bis dato nicht geklärt. Da es sich um eine neue Technologie handelt und Unternehmen und Regierungen noch damit beschäftigt sind, die Umgebung zu regulieren gab es bisher keine klare Linie bei der Beilegung bestimmter Streitfälle.

Es gibt jedoch einige Schritte die Unternehmen helfen können, die Aufweichung ihrer Sicherheitssysteme zu minimieren, damit die Daten ihrer Kunden nicht gefährdet werden. Dazu gehören:

  • Verwendung eines Archivs, in dem Daten zu keinem Zeitpunkt unverschlüsselt sind – Verschlüsselung von aktiven und ruhenden Daten, solange diese im Besitz eines Cloud-Speicher-Betreibers sind.
  • Nutzung von Anbietern, die Ihnen die exklusive Kontrolle Ihrer Verschlüsselungsschlüssel überlassen – die exklusive Kontrolle der Schlüssel ist abhängig von:
  • 1. den vom Betreiber eingesetzten Technologien,
  • 2. den dokumentierten Prozessen mit SSAE-16-Zertifizierung und
  • 3. den vertraglichen Bestimmungen, die die Rechte des Betreibers über den Zugang zu kundenspezifischen Daten regeln. Alle sind notwendig.
  • Lösungen, die einen sicheren Austausch von Daten in der geschützten Enterprise Cloud gewährleisten.

* Monika Schaufler ist Regional Sales Director CEMEA bei Proofpoint. Sie blickt auf mehr als 25 Jahre Erfahrung in der IT-Branche zurück, davon zwei Jahre bei Riverbed Technolgy und davor 17 Jahre bei Cisco.

(ID:43059994)