Foto: Gartner
Die Anbieter spielen es herunter, doch die Indizien verhärten sich: Sensible Daten gehören nicht in Public Cloud-Services. Denn die Gefahren lauern überall.
von Hartmut Wiehr
Unabhängige Analysten sagen es schon länger. Und risikoscheue Anwender in der alten und in der neuen Welt verhalten sich vorsichtig, wenn es um die Verlagerung persönlicher oder geschäftskritischer Daten in externe Cloud-Services geht. Oder sie nehmen erst gar nicht daran teil. Jüngste Äußerungen kritischer Beobachter und an die Öffentlichkeit gelangte Erfahrungen weisen erneut auf die real existenten Risiken hin.
1. Die Kontrolle über die Daten gehört nicht in fremde Hände
So äußerte Apple-Mitgründer und Technik-Ikone Steve Wozniak im August seine Besorgnis darüber, dass Cloud Computing "schreckliche“ Probleme verursachen könne, wenn Nutzer die Kontrolle über ihre Daten in die Hände der Service-Provider legen würden.
Foto: EMC
Schnell waren Vertreter der IT-Industrie zur Stelle, die Wozniak vehement widersprachen. Rob May, CEO von Backupify, einem Provider für Secondary Backup-Lösungen im Cloud-Umfeld, meinte: "Wir sind entschieden einer anderen Meinung als Wozniak.“ Der Apple-Kämpe übersehe schlicht, dass es eine einfache Lösung gäbe: Man müsse nur eine zweite Kopie der Daten bei einem anderen Provider deponieren oder sich gleich für eine breitere Streuung entscheiden.
2. Apple und Amazon sind nicht sicher
In dem angesehenen US-Magazin „Wired“ berichtete der Journalist Mat Honan darüber, wie es ihm bei Apple und Amazon ergangen ist. Hackern war es gelungen, in die Kundenbetreuungsprogramme beider Unternehmen einzudringen. Mit dem Resultat, dass sie schließlich auch seine Accounts bei Google und Twitter manipulierten und alle seine persönlichen und beruflichen Daten verloren waren. Seine Accounts wurden stattdessen dafür benutzt, Schadprogramme über den Äther in alle Welt zu versenden.
3. Verschlüsselung hilft mehr als ein bloßes Backup
Lediglich ein Backup einzurichten für die Daten, die man außer Haus gibt, ist nicht der Weisheit letzter Schluss. Sicher, man kann sich so vor Verlust geschäftskritischer, privater oder geringwertiger digitaler Informationen schützen. Ungeklärt bleibt aber, was unbefugte Hände mit solchen Daten anfangen – zumal man ja in der Welt der Vernetzung und des Überschreitens staatlicher Grenzen nur im Ausnahmefall merkt, dass jemand eine schlichte Kopie angefertigt hat.
- Checkliste für sicheres Cloud Computing
Anwender, die Leistungen von einem externen Cloud-Provider beziehen, bleiben für den Schutz von übertragenen Daten stets haftbar. Sie sollten daher entsprechende Vorsorge treffen. Einige Tipps dazu finden Sie auf den folgenden Seiten. - Tipp 1:
Unerlässlich für jeden Cloud-Anwender ist es, einen Vertrag über Auftragsdatenverarbeitung gemäß Paragraph 11 des Bundesdatenschutzgesetzes abzuschließen. - Tipp 2:
Der Cloud-Provider muss angemessene technische und organisatorische Maßnahmen vorweisen können, um die Daten vor unbefugten Zugriffen zu schützen. Gegebenenfalls sollten sich Kunden Zertifikaten unabhängiger Zertifizierungsstellen vorlegen lassen (etwa EuroPriSe, das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz aus Schleswig-Holstein). - Tipp 3:
Die Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer sollte immer verschlüsselt sein. - Tipp 4:
Die Cloud-Lösung benötigt zwingend verbindlich und verlässliche Authentizierungsmechanismen und -richtlinien. - Tipp 5:
Die Partner müssen den Umfang der Datenverarbeitung und den Datenverarbeitungszweck festlegen. - Tipp 6:
Für Kunden ist es immens wichtig, dass Sie schon zum Start des Services auch ein mögliches Ende im Blick haben. Sie sollten daher Ausstiegsszenarien prüfen. - Tipp 7:
Werden Cloud-Anbieter oder Unterauftragnehmer mit Sitz in unsicheren Drittstaaten mit dem Betrieb des Cloud-Service betraut, sollten sich Anwender mit ausreichenden Garantien absichern. Dafür eignen sich beispielsweise die von der EU-Kommission verabschiedeten Standardvertragsklauseln. - Tipp 8:
Ein Blick auf die Beteiligungsverhältnisse eines Cloud-Anbieters verschafft oft eine gute Übersicht über das geschäftliche Umfeld des Partners. - Checkliste für sicheres Cloud Computing
Anwender, die Leistungen von einem externen Cloud-Provider beziehen, bleiben für den Schutz von übertragenen Daten stets haftbar. Sie sollten daher entsprechende Vorsorge treffen. Einige Tipps dazu finden Sie auf den folgenden Seiten. - Tipp 1:
Unerlässlich für jeden Cloud-Anwender ist es, einen Vertrag über Auftragsdatenverarbeitung gemäß Paragraph 11 des Bundesdatenschutzgesetzes abzuschließen. - Tipp 2:
Der Cloud-Provider muss angemessene technische und organisatorische Maßnahmen vorweisen können, um die Daten vor unbefugten Zugriffen zu schützen. Gegebenenfalls sollten sich Kunden Zertifikaten unabhängiger Zertifizierungsstellen vorlegen lassen (etwa EuroPriSe, das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz aus Schleswig-Holstein). - Tipp 3:
Die Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer sollte immer verschlüsselt sein. - Tipp 4:
Die Cloud-Lösung benötigt zwingend verbindlich und verlässliche Authentizierungsmechanismen und -richtlinien. - Tipp 5:
Die Partner müssen den Umfang der Datenverarbeitung und den Datenverarbeitungszweck festlegen. - Tipp 6:
Für Kunden ist es immens wichtig, dass Sie schon zum Start des Services auch ein mögliches Ende im Blick haben. Sie sollten daher Ausstiegsszenarien prüfen. - Tipp 7:
Werden Cloud-Anbieter oder Unterauftragnehmer mit Sitz in unsicheren Drittstaaten mit dem Betrieb des Cloud-Service betraut, sollten sich Anwender mit ausreichenden Garantien absichern. Dafür eignen sich beispielsweise die von der EU-Kommission verabschiedeten Standardvertragsklauseln. - Tipp 8:
Ein Blick auf die Beteiligungsverhältnisse eines Cloud-Anbieters verschafft oft eine gute Übersicht über das geschäftliche Umfeld des Partners. - Checkliste für sicheres Cloud Computing
Anwender, die Leistungen von einem externen Cloud-Provider beziehen, bleiben für den Schutz von übertragenen Daten stets haftbar. Sie sollten daher entsprechende Vorsorge treffen. Einige Tipps dazu finden Sie auf den folgenden Seiten. - Tipp 1:
Unerlässlich für jeden Cloud-Anwender ist es, einen Vertrag über Auftragsdatenverarbeitung gemäß Paragraph 11 des Bundesdatenschutzgesetzes abzuschließen. - Tipp 2:
Der Cloud-Provider muss angemessene technische und organisatorische Maßnahmen vorweisen können, um die Daten vor unbefugten Zugriffen zu schützen. Gegebenenfalls sollten sich Kunden Zertifikaten unabhängiger Zertifizierungsstellen vorlegen lassen (etwa EuroPriSe, das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz aus Schleswig-Holstein). - Tipp 3:
Die Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer sollte immer verschlüsselt sein. - Tipp 4:
Die Cloud-Lösung benötigt zwingend verbindlich und verlässliche Authentizierungsmechanismen und -richtlinien. - Tipp 5:
Die Partner müssen den Umfang der Datenverarbeitung und den Datenverarbeitungszweck festlegen. - Tipp 6:
Für Kunden ist es immens wichtig, dass Sie schon zum Start des Services auch ein mögliches Ende im Blick haben. Sie sollten daher Ausstiegsszenarien prüfen. - Tipp 7:
Werden Cloud-Anbieter oder Unterauftragnehmer mit Sitz in unsicheren Drittstaaten mit dem Betrieb des Cloud-Service betraut, sollten sich Anwender mit ausreichenden Garantien absichern. Dafür eignen sich beispielsweise die von der EU-Kommission verabschiedeten Standardvertragsklauseln. - Tipp 8:
Ein Blick auf die Beteiligungsverhältnisse eines Cloud-Anbieters verschafft oft eine gute Übersicht über das geschäftliche Umfeld des Partners.
Sicherer ist es also allemal, erst gar nicht das Lesen eigener digitaler Daten zuzulassen. Mit Encryption kann man dem prinzipiell vorbeugen. Vorausgesetzt, der verwendete Verschlüsselungsalgorithmus genügt modernen Standards. Steve Wozniak wäre also zu widersprechen, meint Kevin Bocek, Mareketing-Mann bei CipherCloud: "Das Verwenden von Verschlüsselung ist ideal, wenn es um den Schutz privater oder geschäftlicher Daten geht. Backup allein reicht nicht.“
4. Falsche Prioritäten vermeiden
Mark O’Neill, CTO des Cloud-Brokers Vordel, verweist auf eine weitere, eher simple Lösung: Die wirklich geschäftskritischen Daten erst einmal außen vor lassen und nicht in einen Cloud-Service verlagern. Er wird sekundiert von Chuck Hollis, Global Marketing Manager bei EMC: "Wir sehen unsere Firma als Pionier bei der Anwendung von Cloud Computing und Virtualisierung. Wir vermeiden es aber strikt, wirklich sensible Unternehmensdaten an externe Dienstleister zu vergeben.“
5. Sich nicht auf Hype- und Marketing-Gehabe einlassen
Die Analysten von Gartner betonen in ihrem jüngsten Hype-Cycle-Report, dass sich die Anwender generell vorsichtig verhalten sollten. Der Hype um Cloud Computing sei auf dem besten Wege, kontraproduktiv zu werden, weil viele Hersteller inzwischen das Blaue vom Himmel herunter versprechen. Gartner spricht von "Cloud Washing“: Alles Mögliche werde unter dieses Etikett subsumiert, mit dem Resultat, dass sich viele IT-Verantwortliche nicht mehr ernst genommen fühlen. Was das Wissen um die Cloud-Varianten angeht, ist allgemeine Verwirrung inzwischen zur Norm geworden, meint Gartner.
Wer der Ansicht ist, Cloud Computing spare per se Geld, weil man nur limitierte und zeitlich begrenzte Leistungen einkauft, liegt daneben. Erst einmal muss man ja, wie schon bisher bei neuen IT-Angeboten, investieren. Wer sich für Cloud-Lösungen entscheidet, sollte deshalb genau prüfen, welche Up- und Downskalierungen ein Provider anbietet. Wer sich darüber nicht rechtzeitig informiert, wird – so Gartner – womöglich mehr zahlen als in seinem bisherigen, klassischen Umfeld.
(Der Beitrag wurde von der CP-Schwesterpublikation
Computerwoche
übernommen / rb)