Warum braucht Datenschutz eine Bedarfsanalyse?

Cloud Storage oder Datenbestände richtig schützen

| Autor / Redakteur: Wolfgang Kleinertz* / Ulrike Ostler

Nur Dummerchen kommen mit Glück und ohne Risiko-Abschätzung aus.
Nur Dummerchen kommen mit Glück und ohne Risiko-Abschätzung aus. (Bild: © alphaspirit - Fotolia)

Mit der Verbreitung des Cloud Computing geht den Menschen etwas Archaisches verloren: Das Wissen um den Platz, an dem das Eigentum lagert, in diesem Fall die eigenen Daten. Diese Ungewissheit kann man umgehen, wenn die Daten „on premise“ liegen, also auf einem Server im Unternehmen. Hilfreich ist darüber hinaus zu wissen, wie schützenswert welche Daten sind. Aufschluss darüber gibt eine Schutzbedarfsanalyse.

Früher war alles anders. Einfacher, möchte man meinen. Bei genauerem Hinsehen allerdings stellt man oft fest: Die heutigen Cloud basierten Lösungen sind keineswegs kompliziert. Im Gegenteil: Sie eröffnen neue, pragmatische Wege, um den täglich wachsenden Anforderungen im Unternehmen gerecht zu werden. Dazu gehört nicht zuletzt der sichere Austausch auch größerer Datenmengen.

Bis vor kurzem waren IT-Strukturen auf der Basis von File-Servern üblich, die sich in aller Regel physisch im Unternehmen befanden. Das war gelernt, eingespielt und hat gut funktioniert. Jetzt, mit dem Vormarsch von Cloud-Lösungen, scheint sich die IT-Welt in zwei Lager zu teilen: Die einen, die der Cloud das Wort reden und deren Vorzüge anpreisen, und die anderen, die vor den Sicherheitsrisiken warnen, die sich – tatsächlich oder vermutet – dahinter verbergen.

Fakt ist: Die IT-Abteilungen in Unternehmen müssen sich dem Thema Cloud stellen. Schließlich erfreuen sich Cloud Angebote zum Dateiaustausch wie Dropbox, Microsoft One Drive und Google Drive wachsender Beliebtheit [1]. Und nicht von ungefähr finden sie immer häufiger ihren Weg ins Unternehmensumfeld, ob von der IT abgesegnet oder nicht. Die Nutzung solcher Dienste zu verbieten, hilft nicht weiter. Die IT braucht andere Wege, mit dem Thema umzugehen und ihre Unternehmensdaten nachhaltig zu sichern.

Das Problem: Datenschutz made in USA

Natürlich stecken im Cloud Computing wie in jeder Technologie-Lösung auch Risiken, das weiß jeder, der sich damit beschäftigt. Doch wie immer bei komplexen Themen lohnt es sich, genauer hinzuschauen.

Die Diskussion um Datensicherheit und Datenschutz hat ihren Ursprung in Datenschutzbestimmungen, die vor allem zwischen Europa und den USA weit auseinander driften. Nach deutschem Verständnis sind die Bestimmungen jenseits des Atlantik deutlich zu lasch.

Man denke nur an den „Patriot Act“ und seine Konsequenzen für europäische und deutsche Unternehmen. Auf ihm basierte jenes Urteil, in dem Microsoft gezwungen wurde, sogar Daten herauszugeben, die auf Servern außerhalb der USA lagen (siehe: US-Recht greift nicht außerhalb der USA, Microsoft gewinnt Streit um US-Zugriff auf Kundendaten im Ausland. Die Begründung damals: Microsoft habe seinen Sitz in den USA und sei damit dem dortigen Recht unterworfen.

Anwender und Politik reagieren

Die Folge ist bekannt: ein öffentlicher Aufschrei in Europa und die Forderung von Verbrauchern und Datenschützern, Daten dürften auf keinen Fall den Systemen amerikanischer Anbieter anvertraut werden. Vor diesem Hintergrund wurden und werden Cloud-Angebote noch immer von vielen potenziellen Nutzern abgelehnt.

US-Behörden haben weltweit Zugriff auf Kundendaten

Immense Einbußen im Milliardenmarkt Cloud Computing?

US-Behörden haben weltweit Zugriff auf Kundendaten

05.08.14 - Harter Schlag für US-amerikanische Cloud-Anbieter: US-Behörden haben weltweit Zugriff auf Kundendaten, so ein aktueller Richterspruch aus den Vereinigten Staaten von Amerika. Dies widerspricht europäischen und deutschen Datenschutzvorschriften. Als Konsequenz empfiehlt Rechtsanwalt und NIFIS-Vorsitzender Dr. Thomas Lapp, künftig US-Firmen als Dienstleister zu meiden. lesen

Das Rennen machen derweil Angebote, die sehr stark auf Sicherheit und die Speicherung in Deutschland oder zumindest Europa setzen. Damit, so die Argumentation, sind sie den deutschen Datenschutzbestimmungen verpflichtet. Allerdings zeigt das erwähnte Urteil, dass dies allein nicht ausreicht. Einige Anbieter von Public Cloud Produkten bieten deshalb zusätzlich Lösungen mit einer End2End-Verschlüsselung.

Damit nehmen sie der Argumentation über Risiken und fehlende Transparenz der Cloud die Spitze. Allerdings ist eine End2End-Verschlüsselung eine sehr drastische Maßnahme, die nicht ganz ohne unerwünschte Nebeneffekte bleibt. Deutlich wird das an folgendem Beispiel: Wer seine Akten samt und sonders in einen Tresor legt, schafft damit zwar hohe Sicherheit, tut das aber zu Lasten der Praktikabilität. Ganz zu schweigen davon, dass eine solche Maßnahme vielfach unnötig ist.

Ist die Umgebung ausreichend gesichert und vertrauenswürdig, sind drastischere Schutzmaßnahmen nicht erforderlich.
Ist die Umgebung ausreichend gesichert und vertrauenswürdig, sind drastischere Schutzmaßnahmen nicht erforderlich. (Bild: © peshkova - Fotolia)

Schutzbedürfnis klären

Letztlich ausschlaggebend für die Sicherungsmaßnahmen sollte deshalb das Maß an Schutz sein, dessen die Informationen bedürfen. Geht der Schutz über das Bedürfnis hinaus, nimmt man unnötige Hürden und Ineffizienzen in Kauf wie eine verminderte Usability und funktionale Einschränkungen. Bei der End2End-Verschlüsselung heißt das: Der Service kann nicht auf den Daten arbeiten, um zum Beispiel Inhalt und Metadaten für eine Suche zu extrahieren, Datenkonvertierungen vorzunehmen und vieles mehr.

Früher, in der klassischen IT-Welt, wurden Akten oder Dateien auf File-Servern gespeichert. Mechanismen zur Zugriffskontrolle wie die Authentifizierung und Autorisierung von Benutzern sorgen für die erforderliche Sicherheit. Eine End2End-Verschlüsselung fehlt in der Regel. Administratoren haben Sonderrechte, um auf die Daten zu Wartungs- und Support-Zwecken zugreifen zu können.

Für die Mehrzahl der Anwendungsfälle scheint dies problemlos zu funktionieren. Selbst die Tatsache, dass viele Unternehmen IT-Dienstleistungen in den letzten Jahren massiv ausgelagert haben und zum Beispiel der File-Server gar nicht mehr im eigenen Unternehmen steht, tut diesem Modell keinen wirklichen Abbruch.

Diese räumliche Auslagerung wird kaum als Problem gesehen, aber sehr wohl immer wieder als Argument gegen die Nutzung der Cloud ins Feld geführt. Im Grunde ist es ganz einfach: Ist die Umgebung ausreichend gesichert und vertrauenswürdig, sind drastischere Schutzmaßnahmen nicht erforderlich.

Die Lösung: Private Cloud „on premise“

Eine Lösung für das Problem kann damit die Private Cloud im eigenen Unternehmen oder bei einem vertrauenswürdigen Partner sein. Was gibt es dabei zu beachten?

  • 1. 1. Sicherheitsanalyse nach VIVA (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität)
    Erster Schritt ist das Einteilen der gesammelten und in Kategorien eingeteilten Daten in Schutzklassen – zum Beispiel „öffentlich“, „vertraulich“ und „streng vertraulich“. Dabei sind Rahmenbedingungen aus Gesetzen, Compliance-Vorschriften oder Vorschriften aus Normen (zum Beispiel der ISO 27001 oder dem Grundschutzkatalog des BSI [4]) zu berücksichtigen.
  • 2. 2. Lösungsalternativen und Lösungsauswahl
    Die Lösungsoptionen ergeben sich aus den einzelnen Anforderungen und den in Schutzklassen eingeteilten Daten. Für Inhalte der Schutzklasse „vertraulich“ etwa reicht bei einer intern im Unternehmen betriebenen Cloud-Lösung oft der klassische Schutz: verschlüsselte Übertragung und eine unverschlüsselte, aber mit Authentifizierung und Autorisierung zugriffsgesicherte Ablage der Daten. Entscheidend dafür ist, dass das Cloud-Produkt als „On-Premise“-Lösung angeboten wird, also auch im eigenen Unternehmen betrieben werden kann.

Wird ein IT-Dienstleister / Hoster einbezogen, kommt es wie bisher auf dessen Auswahl und die vertragliche Absicherung an. Entweder der Partner betreibt die „On-Premise“-Lösung, oder der Produktanbieter selbst tritt als Betreiber auf und bietet die Software im SaaS-Modell an. Ein Beispiel hierfür ist die Cloud-Storage-Lösung www.calvaDrive.de. Sie wird mit beiden Betreiber-Modellen („On-Premise“ und als SaaS“) angeboten.

* Wolfgang Kleinertz (Diplom-Informatiker, FH) ist Leiter der Produktentwicklung und arbeitet seit 2001 bei Doubleslash. Als Senior Software Consultant hat er mit Kunden wie der BMW AG, EADS oder der Deutsche Post Direkt GmbH gearbeitet und bringt viel Erfahrung von der Analyse bis zur Umsetzung von IT-Projekten mit. Er verfügt über ein breites Wissensspektrum mit Fokus auf Software-Architekturen und Enterprise-Content-Management.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44184705 / Data)