Durch die Verbreitung von Cloud Computing weiß man nicht unbedingt, wo die eigenen Daten lagern, sofern diese nicht im eigenen Rechenzentrum oder Server im Unternehmen liegen. Zudem sollten man niemals vergessen, welche Daten schützenswert sind. Dazu ist eine Bedarfsanalyse unbedingt notwendig.

In der Vergangenheit scheint es so, als ob es einfacher war, aber betrachtet man die Situation heute genauer, so stellt man fest, dass die cloudbasierenden Lösungen keineswegs kompliziert sind. Eigentlich erlauben diese einem, neue und pragmatischere Wege zu gehen, um den täglich wachsenden Anforderungen im Unternehmen gerecht zu werden. Dazu gehört unter anderem auch der Austausch größerer Datenmengen.

Diese Datenmengen waren bis vor kurzem noch auf den File-Servern, die sich meist physisch im Unternehmen befunden haben. Das war „einfach“ und hat auch gut funktioniert. Jetzt wo vermehrt Cloud-Lösungen gibt, reden die einen nur von den Vorzügen der Cloud und andere reden alles schlecht und warnen vor den Sicherheitsrisiken, die sich dahinter verbergen könnten.

Fakt ist:

Als IT Abteilung/Verantwortlicher muss man sich dem Thema Cloud stellen. Cloud-Angebote, wie Dropbox, MS OneDrive, GoogleDrive & Co erfreuen sich immer größerer Beliebtheit, da sie einem einfachen Datenaustausch dienen. Auch wenn diese häufig nicht von der IT abgesegnet werden finden sie immer häufiger den Weg ins Unternehmensumfeld. Diese zu verbieten bringt meist nur wenig. Deshalb bedarf es anderer Wege, um mit dem Thema umzugehen und Unternehmensdaten nachhaltig zu sichern.

Datenschutz USA vs Europa

Wie jede Technologie birgt auch Cloud Computing Risiken. Aber wie bei jedem komplexen Thema lohnt es sich genauer hinzuschauen.

Bei der Diskussion um Datensicherheit und Datenschutz hat vor allem damit zu tun, dass sich die Datenschutzbestimmungen von Europa und den USA sehr stark unterscheiden. Nach europäischen insbesonders österreichischen Verständnis sind diese deutlich zu wenig stark ausgeprägt.

Vor allem der „Patriot Act“ hat Konsequenzen für österreichische und europäsiche Unternehmen. Auf dem basiert ein Urteil das Microsoft gezwungen hat, auch Daten, die auf Servern außerhalb der USA lagen, herauszugeben. Die Begründung für das Urteil damals: Microsoft ist eine US-Firma und hat sich dem dortigen Recht zu unterwerfen.

Reaktion der Politik

In Europa wurden von Verbrauchern und Datenschützern gefordert, dass Daten niemals den Systemen eines amerikanischen Anbieter anvertraut werden dürfen. Aus diesem Grund werden Cloud-Angebote immer noch von vielen potentiellen Nutzern abgelehnt.

Angebot, die stark auf Sicherheit setzten und diese innerhalb von Europa speichern, machen das Rennen. Somit ist auch gewährleistet, dass die österreichischen Datenschutzbestimmungen eingehalten werden. Aber wie das Urteil zeigt, ist das noch nicht ausreichend, deshalb bieten einige Public Cloud Anbieter auch Lösungen mit End2End-Verschlüsselung an.

Durch solche Angebote fehlen der Argumentation über Risiken und fehlende Transparenz der Cloud die Grundlage. Die End2End-Verschlüsselung ist eine drastische Maßnahme, die auch nicht ohne Nebeneffekte bleibt. Ein Beispiel um es zu verdeutlichen: Werden Akten in einen Safe gelegt, so schafft das schon mal eine hohe Sicherheit, jedoch beeinträchtigt dass die Praktikabilität. Oft sind solche Maßnahmen auch gar nicht notwendig.

Notwendige Schutzmaßnahmen abklären

Ausschlaggebend für die Sicherungsmaßnahmen sollte immer das Maß an Schutz sein, dass die zu schützenden Informationen verlangen. Ist der Schutz höher als das Bedürfnis, so werden unnötige Hürden auferlegt und vermindert die Bedienbarkeit. End2End-Verschlüsselung heißt, das Service kann nicht an den Daten arbeiten, um z.B. Metadaten oder Inhalte für eine Suche zu extrahieren, Datenkovertierungen vornehmen, ….

Für viele Fälle war es zu ausreichend, dass Akten oder Dateien auf File-Servern gespeichert wurden, die mittels Mechanismen zur Zugriffskontrolle, vor unbefugten Zugriff geschützt haben. Der Administrator hatte Sonderrechte, um auf die Daten für Wartungs- und Supportzwecke zugreifen zu können.

Dienstleistungen werden in den letzten Jahren vermehrt ausgelagert und so steht der File-Server gar nicht mir im eigenen Unternehmen, sondern irgendwo in einem Rechnezentrum, was aber dem Modell der Zugriffskontrolle keinen Abbruch tut. Die räumliche Auslagerung wird auch kaum als Problem wahrgenommen, wird aber häufig als Argument gegen die Nutzung der Cloud angeführt. Im Grunde ist es einfach, wenn die Umgebung ausreichend gesichert und vertrauenswürdig ist, so sind drastische Maßnahmen zum Schutz unnötig.

Lösungsansätze

Ein Lösungsansatz wäre anstelle der Public Cloud eine Private Cloud im eigenen Unternehmen oder bei einem vertrauenswürdigen Partner.

Bevor Sie Ihre Cloud-Strategie entwickeln,, müssen Sie unbedingt beachten:

• Führen Sie dazu eine Sicherheitsanalyse durch und beachten Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität.
• Teilen Sie die gesammelten Daten in Schutzklassen – z.B. öffentlich, vertraulich und streng vertraulich. Bei der Einteilung sind gesetzliche Rahmenbedingungen, Compliance-Vorschriften sowie andere Vorschriften (Aufbewahrungsplichten, …) ein.
• Aufgrund der durch die Sicherheitsanalyse gewonnene Daten und der Einteilung der Daten in Schutzklassen ergibt sich die Lösungsoptionen. Für Inhalte der Schutzklasse „vertraulich“ recht bei einer Private Cloud Lösung oft der klassische Schutz: Verschlüsselte Übertragung mit Authentifizierung und Autorisierung der Daten. Entscheidend für die Lösung ist, ob das Cloud-Produkt auch als „On-Premise“-Lösung angeboten wird, damit es auch im eigenen Unternehmen oder bei einem vertrauenswürdigen Partner betrieben werden kann.

Wird ein IT Dienstleister also Service Provider hinzugezogen, dann kommt es immer auf desse Absicherung an. Der Partner kann entweder eine „On-Premise“-Lösung betreiben oder der Produktanbieter ist selbst Anbieter und bietet seine Lösung als SaaS-Modell (Software as a Service) an.
end853_()