BLOG

Eine offene Plattform für kontroverse Meinungen und aktuelle Analysen aus dem HuffPost-Gastautorennetzwerk

Evi Richard Headshot

Sichere Cloud: In 6 Schritten zum Erfolg

Veröffentlicht: Aktualisiert:
INTERNET
ipopba via Getty Images
Drucken

Immer mehr Unternehmen greifen im Alltag auf Cloud-Dienste zurück, die eigentlich für Verbraucher entwickelt wurden. Doch bieten diese Lösungen auch wirklich ausreichend Schutz für sensible Daten? Die Praxis zeigt: Oft wissen Unternehmen nicht, ob ihr Cloud-Service-Provider (CSP) wirklich alle Vorschriften einhält. Diese Checkliste unterstützt sie dabei, das eigene Risiko besser zu bewerten und das nötige Maß an Sicherheit, Compliance und Governance im Umgang mit Cloud-Diensten zu gewährleisten.

Die Grundregel beim Datenschutz lautet: Unternehmen tragen immer selbst die Verantwortung - egal ob eigene Server eingesetzt werden oder die Speicherung von Daten im Rechenzentrum eines externen Anbieters vollzogen wird. Konkret bedeutet das: Unternehmen müssen wissen, wie sie Datenschutz und Datensicherheit gewährleisten. Drei zentrale Begriffe sind in diesem Zusammenhang entscheidend: Das Konzept der Datenhoheit sieht vor, dass Daten den Gesetzen des Landes unterliegen, in dem sie gespeichert werden. Unternehmen tragen die Verantwortung für die Einhaltung dieser Gesetze - egal ob sie lokal oder in der Cloud abgelegt sind. Die Sicherheit Ihrer Daten muss höchste Priorität genießen. Bei sämtlichen Anwendungsfällen müssen Sicherheitsprotokolle und -prozesse berücksichtigt werden, etwa die Mechanismen für eine effektive Zugriffskontrolle, der Speicherort von Metadaten und die Verwaltung von Keys. Keine Speicherung ohne vollständige Kontrolle. Wer seine Daten einem externen Anbieter anvertraut, muss gewährleisten können, dass die Sicherheitsprotokolle und -prozesse des Kunden vollumfassend eingehalten werden.

Um den Datenschutz - und damit die IT-Sicherheit des gesamten Unternehmens sicherzustellen, sollten sich Cloud-Anwender einige kritische Fragen stellen. Die folgenden sechs:

Pointiert und meinungsstark: Der HuffPost-WhatsApp-Newsletter

2016-07-22-1469180154-5042522-trans.png

1. Wer hat die Kontrolle über die Hardware?
Sicherheit beginnt zuallererst genau hier: Wer die Kontrolle über die Hardware einem Dritten überlässt, muss selbst für die Einhaltung von Sicherheitsstandards sorgen. Außerdem sollten Anwender sicherstellen, dass Ihre Service-Level-Agreements nach Unterzeichnung weiterhin eingehalten werden. Anbieter müssen jederzeit nachweisen können, wer aus welchem Grund Zugriff auf die Server hat. Folgende Fragen helfen bei der Klärung der wichtigsten Punkte:

  • Wo befindet sich die Hardware, und wer hat Zugriff darauf?
  • Wie werden physische Zugangsrechte erteilt und entzogen?
  • Wer verfügt über Administratorzugriffsrechte, und wie werden diese verwaltet?
  • Wie erfolgen Kontrolle, Überprüfung und Protokollierung des Zugriffs?
  • Werden auch Ihre Governance-Richtlinien befolgt?
  • Welchen Gesetzen zur Datenhoheit unterliegen Sie?
  • Wie erfolgen Backup und Aktualisierung der Hardware oder das Einspielen von Patches?

2. Was passiert mit den eigenen Daten?
Die Fragen zum Netzwerk ähneln den Fragen zur Hardware, gehen jedoch noch mehr in die Tiefe. Die Netzwerküberwachung sollte nämlich alle nötigen Informationen zur Einhaltung von Complianceanforderungen liefern. Anwender sollten dabei immer daran denken, dass auch ohne eine explizite Datenschutzverletzung Risiken bestehen. Dabei reicht es schon aus, dass Unternehmen nicht wissen, ob Daten gefährdet sind. Die Fragen zur Netzwerküberwachung lauten daher:

  • Wo befinden sich die Endgeräte, und wer hat Zugriff darauf?
  • Welchen Weg nehmen Daten bei der Übertragung, und wie werden sie dabei geschützt?
  • Entspricht das Netzwerk den Richtlinien eines Unternehmens?
  • Wie erfahren Anwender von unbefugten Zugriffen?
  • Wird der Netzwerkverkehr abgehört/analysiert?
  • Welche Content-Delivery-Netzwerke (CDN) werden zur Beschleunigung des Netzwerkverkehrs eingesetzt?
  • Kann der Netzwerkverkehr im genutzten CDN verschlüsselt werden?

Ein Aspekt, der oftmals außer Acht gelassen wird, sind die bereits angesprochenen Content Delivery Networks. Diese bestehen aus einem Netz regional verteilter und über das Internet verbundener Server, mit dem Inhalte - insbesondere große Mediendateien - ausgeliefert werden. Die Nutzung von CDN´s kann dazu führen, dass eine Datei unverschlüsselt im Rechenzentrum eines externen Anbieters gespeichert wird. In diesem Fall muss ein Unternehmen alle Punkte innerhalb der Kette überprüfen und herausfinden, ob an irgendeinem Punkt ein unverschlüsselter Zugriff auf die Datei möglich ist.

3. Wo werden die Daten gespeichert?
An dieser Stelle wird es komplex, denn beim Thema Datenspeicherung müssen Anwender sich als erstes mit der Frage auseinandersetzen, wem die Daten überhaupt gehören. Manche Endbenutzer-Lizenzverträge sehen nämlich vor, dass der Serviceprovider Eigentümer der Daten ist. Dieser muss die Informationen in manchen Fällen offen legen, etwa wenn Behörden es verlangen. Bei manchen Vorschriften zur Datenhoheit liegt das Risiko auch beim Unternehmen, obwohl die Daten von einem externen Anbieter gehostet werden. Technische Aspekte sind ein zusätzlicher bedeutender Faktor. Unternehmen sollten etwa unbedingt sicherstellen, dass die Verwaltung der Keys umfassend kontrolliert wird. Auch beim Löschen von Dateien ist Vorsicht geboten - es kann zum Beispiel vorkommen, dass Dateien nicht wirklich gelöscht werden oder Dateikomponenten beim Deduplizieren erhalten bleiben. In solchen Fällen kommt es auch immer wieder zu Datenschutzverletzungen. Folgende Fragen sind in Verbindung mit dem Speicherort essentiell:

  • Wo sind die Dateien gespeichert, und wer hat Zugriff darauf?
  • Werden die Dateien vor der Speicherung überprüft?
  • Welche Methoden der Aufbewahrung und Nachverfolgung werden eingesetzt?
  • Was passiert, wenn Unternehmen Ihre Dateien nicht mehr hosten lassen, sondern wieder lokal speichern möchten?
  • Was passiert, wenn Behörden eine Offenlegung verlangen?
  • Wie werden die Daten verschlüsselt und wer verwaltet die Keys?
  • Was passiert, wenn Dateien gelöscht oder dedupliziert werden?

2017-06-02-1496389941-6737764-BildfrBeitrag.jpg
© ownCloud GmbH

4. Wer verwendet die Daten?
In der Regel schulen Serviceprovider ihre Mitarbeiter nach einem einheitlichen Schema. Diese kennen dadurch die Verfahren und Prozesse des eigenen Hauses - nicht jedoch die des Kunden. Wenn ein Unternehmen aber besondere Anforderungen an Hardware, Netzwerk, Speichersysteme, Back-up, Benutzer und Administration stellt, kann ein Provider diesen ziemlich sicher nicht gerecht werden. Daher sollte ein Unternehmen vollen Zugriff auf Benutzerprotokolle erhalten und müssen in der Lage sein, diese in Ihre eigenen Tools zu integrieren. Wer sich dabei ausschließlich auf den jeweiligen Serviceprovider verlässt, dem kann im Worst Case bei einem Audit die Nichteinhaltung von Vorschriften angelastet werden.

  • Wie erfolgt die Bereitstellung und Authentifizierung von Benutzern? Wird SSO unterstützt?
  • Wie werden Administratoren geschult, überprüft und überwacht?
  • Befolgen Administratoren Ihre Richtlinien oder eigene?
  • Wie werden Benutzer überwacht und überprüft?
  • Welche Benutzerprotokolle stehen für die Warnung vor unbefugten Zugriffen zur Verfügung?
  • Können Benutzer oder Administratoren Ihre IT-Richtlinien umgehen
  • Wie werden die Keys der Benutzer verwaltet? Wie erfolgt eine Wiederherstellung? Wer hat Zugriff auf die Keys?

5. Wie funktioniert das Zusammenspiel?
Die konsequente Einhaltung Ihrer Governance-Richtlinien, darf nicht dazu führen, dass der reibungslose Austausch von Dateien behindert wird und dadurch ein Datensilo entsteht. Es gibt zwar kein Patentrezept, aber entscheidend ist doch: Es wird immer Daten geben, die das Unternehmen nicht verlassen dürfen. Eine Trennung zwischen Cloud-Service und internen Prozessen ist daher unbedingt nötig, um den hohen Standards des jeweiligen Unternehmens gerecht zu werden.

Mehr zum Thema: Die Digitalisierung ist eine brandgefährliche Chance - wir müssen schon jetzt Zukunftsmodelle testen!

  • Werden die Governance-Richtlinien eingehalten?
  • Müssen Daten in die Cloud hochgeladen werden, damit jeder darauf zugreifen kann?
  • Wie nutzen Sie bisherige IT-Investitionen weiter?
  • Wie können vorhandene IT-Tools und Prozesse weiter genutzt werden?
  • Welche Datenbanken können verwendet werden?
  • Welche Speichersysteme können für die Daten genutzt werden?
  • Entsteht dadurch ein neues Datensilo, das verwaltet werden muss?

6. Hält das Unternehmen alle einschlägigen Gesetze ein?
Wenn ein Unternehmen einwandfrei nachweisen kann, dass es die vollständige Kontrolle über seine Daten hat, dann ist ein erster großer Schritt getan. Fehlt dieser Nachweis, könnte das bei einem Audit zum Problem werden - und bei einem Verstoß gegen Datenschutzvorschriften ernsthafte Konsequenzen nach sich ziehen. Wer alle Fragen der folgenden Checkliste mit "Ja" beantworten kann, bewegt sich rechtlich auf der sicheren Seite.

  • Ist geklärt, wer für die Sicherheit der sensiblen Daten verantwortlich ist?
  • Ist das Unternehmen international ausgerichtet und gelten in den jeweiligen Ländern auch unterschiedliche Regeln?
  • Hält der jeweilige Provider die für das Unternehmen geltenden Vorschriften ein?
  • Ist der Provider eine hundertprozentige Tochtergesellschaft eines US-Konzerns?
  • Kann der Provider die Einhaltung des BDSG/der EU-Datenschutzrichtlinie/des FISA bzw. den Schutz vor PRISM nachweisen?
  • Bleibt der Kunde Eigentümer der Dateien, die ein Provider für ihn hostet?
  • Ist das Unternehmen in der Lage, Datenschutzgesetze lückenlos einzuhalten?
  • Können das Unternehmen nachweisen, dass es die Kontrolle über die Daten hat?

Hybride Lösungen sorgen für Freiheit und Sicherheit
Für Unternehmen, für die eine vollständige Kontrolle über ihre Daten wichtig ist, die aber trotzdem nicht auf die Vorteile einer Cloud verzichten wollen, kann ein hybrides Konzept eine ideale Lösung darstellen. Bei einer solchen Lösung ist die Kontrollebene für Filesync und -share (also die Möglichkeit, digitale Informationen wie Präsentationen, Reports und alle anderen Dateien schnell auszutauschen) im unternehmenseigenen Rechenzentrum oder im Rechenzentrum eines vertrauenswürdigen lokalen Serviceproviders angesiedelt. Das bedeutet, dass die Keys für die Verschlüsselung, die Metadaten und die Zugriffskontrolle unabhängig vom Speicherort der Daten in einer lokalen Umgebung verbleiben. Selbst wenn ein Unternehmen dann zur Offenlegung von Daten verpflichtet ist, kann es nicht gezwungen werden, auch die zur Entschlüsselung benötigten Keys preiszugeben. Eine solche Lösung stellt Owncloud als einziger Anbieter zur Verfügung. Der Ansatz basiert auf einer skalierbaren Plattform mit vielen umfassenden Funktionen für das Filesharing im Unternehmen und lässt sich flexibel in die bestehenden Systeme, Richtlinien und Standards der IT-Organisation integrieren.

Anwender, die möglichst einfach Daten mit ihren Kollegen oder externen Geschäftspartnern austauschen und effizienter kommunizieren wollen, erhalten durch ein solches System den Bedienkomfort gängiger Public Cloud-Services und halten gleichzeitig alle Sicherheitsrichtlinien und Gesetze ein. Ein hybrides Konzept aus privater und public Cloud schafft damit einen Zugang für Unternehmen, wirklich von allen Vorteilen des Cloud Computing profitieren zu können.

____

Lesenswert:

Leserumfrage: Wie fandet ihr uns heute?

2017-03-08-1488965563-6721107-iStock482232067.jpg

Ihr habt auch ein spannendes Thema?
Die Huffington Post ist eine Debattenplattform für alle Perspektiven. Wenn ihr die Diskussion zu politischen oder gesellschaftlichen Themen vorantreiben wollt, schickt eure Idee an unser Blog-Team unter blog@huffingtonpost.de.