Stein auf Stein Datenschutz braucht mehr als eine Maßnahme

Autor: Elke Witmer-Goßner

Mit Cloud Computing, aber auch den neuen Hypes Big Data und Industrie 4.0, stellen nicht wenige Anwender den Anbietern die Gretchenfrage: Wie hältst du es mit Datenschutz und Datensicherheit?

Firma zum Thema

Nur Anbieter von Cloud-Services, die verzahnte Sicherheitsmaßnahmen nachweisen können, sind wirklich vertrauenswürdig.
Nur Anbieter von Cloud-Services, die verzahnte Sicherheitsmaßnahmen nachweisen können, sind wirklich vertrauenswürdig.
(Bil: Romoli Tavani, Fotolia)

Die vermutlich in Kürze endlich ratifizierte EU-Datenschutzgrundverordnung soll hier zumindest auf europäischer Ebene Anwendern wie Anbietern eine rechtliche Grundlage sichern für den Schutz personenbezogener Daten im freien Datenverkehr. Christoph Kull, Regional Vice President DACH & Country Manager Germany bei Workday, weist allerdings darauf hin: Auf Gesetze alleine sollte man sich nicht verlassen. Mit einem gewissen Misstrauen, aber auch durch sorgfältige Auswahl des Anbieters, sind Nutzer eher auf der sicheren Seite.

CloudComputing-Insider: Bei der Diskussion um Cloud Services geht es unweigerlich auch immer um die Datensicherheit. Worauf sollten Unternehmen bei der Auswahl eines Cloud-Anbieters achten?

Christoph Kull: Cloud-basierte Services sind heute aus den meisten Unternehmen nicht mehr wegzudenken: Auch deutsche Unternehmen setzen, nach anfänglichem Zögern, verstärkt auf Cloud und Cloud-Services für eine flexible, effiziente und kostensparende IT-Infrastruktur. Entscheidend ist dabei natürlich, wie sorgsam Anbieter mit den bereitgestellten Daten umgehen und ob sie über umfassende Sicherheitsvorkehrungen verfügen.

Die aktuelle Diskussion über Safe Harbour und den sicheren Transfer personenbezogener Daten zwischen der EU und den USA hat die Unsicherheit diesbezüglich noch verstärkt. Doch worauf sollten Unternehmen achten? Zertifizierungen, Audits, Verschlüsselung – es gibt einige zentrale Maßnahmen der Cloud-Anbieter, die Aufschluss darüber geben, ob die Daten beim Partner sicher sind.

Und welche Maßnahmen sind das konkret?

Christoph Kull: Für eine sichere Cloud müssen individuelle Maßnahmen auf jeden Fall staatliche Regularien ergänzen: Staatliche Institutionen bemühen sich aktuell, geeignete Regularien für die IT-Sicherheit und insbesondere für den länderübergreifenden Datentransfer zu schaffen, etwa im Rahmen von Safe Harbour, TTIP oder der EU-Datenschutzverordnung. Diese Regularien sind notwendige, aber noch keine hinreichenden Bedingungen, die alle Anbieter cloud-basierter Lösungen erfüllen sollten.

Worauf kommt es dann bei einem guten Anbieter an?

Christoph Kull: Vertrauenswürdige Anbieter verlassen sich nicht nur auf die Gesetzgebung. Sie werden selbst aktiv und tun etwas, um den verantwortungsvollen Umgang mit Daten zu gewährleisten, wobei sie sich an etablierten Standards ausrichten. So sind etwa die Zertifizierungen nach den ISO-Normen 27001 und 27018 und der Nachweis von Audits wie SOC-1, SOC-2 und SOC-3 wichtige Maßnahmen und Nachweise für die Sicherheit.

Die ISO-Norm orientiert sich an dem Datenschutz-Rahmenwerk ISO/IEC 29100 und umfasst anerkannte Kontrollmechanismen und Richtlinien für Sicherheitsmaßnahmen zum Schutz personenbezogener Daten in Public-Cloud-Umgebungen. Regelmäßige, durch unabhängige Dritte durchgeführte umfassende Audits ergänzen diese.

Was sind weitere Aspekte?

Christoph Kull: Zudem spielt die Architektur der Services insgesamt eine wichtige Rolle. Native Cloud-Anwendungen, die nicht aus zusammengekauften Einzellösungen bestehen und auch nicht ihre Wurzeln im On-Premise-Bereich haben, benötigen deutlich weniger Schnittstellen und bieten damit auch weniger Einfallstore. Zugleich erhalten alle Anwender zeitgleich das Update auf die neueste Version, so dass Schwachstellen durch veraltete Software vermieden werden können. Ein wichtiger Faktor, auf den Unternehmen bei der Auswahl achten sollten.

Bei einem ganzheitlichen Sicherheitskonzept geht es ja nicht nur um das Addieren einzelner Maßnahmen – vielmehr müssen verschiedene Faktoren ineinandergreifen. Welche Rolle spielt hier das Thema „Lage von Rechenzentren“?

Christoph Kull: Nutzer von Cloud-Diensten sollten sich in der Tat vergewissern, wo ihre Daten gespeichert werden, aber auch, welche Verfahren zur Sicherung und zum Transfer eingesetzt werden. Datacenter innerhalb der EU sind heute eine wesentliche Voraussetzung, dass sensible Informationen wie Finanz- und HR-Daten bestmöglich vor nicht autorisiertem Zugriff geschützt sind, da hier wesentlich striktere Datenschutzrichtlinien als in den meisten anderen Ländern Gelten.

Eine Verschlüsselung ist ebenfalls ein absolutes Muss, für den Datentransfer und bei der Speicherung im Rechenzentrum. Idealerweise erfolgen Zugang und Entschlüsselung ausschließlich über den Applikations-Server, außerdem sollte nur der Kunde und nicht der Cloud-Anbieter über den Encryption Key verfügen. Strenge physische Sicherungen der Datenzentren, etwa durch Zugangsberechtigungen über Iris-Scan, komplettieren die Sicherheitsarchitektur.

Was sollten Unternehmen darüber hinaus tun?

Christoph Kull: Unternehmen können sich absichern, indem sie weiterhin „Owner“ ihrer Daten bleiben und der Dienstleister ausschließlich als „Processor“ der Daten fungiert. Dies ist wichtig, da etwa US-Gerichte unter bestimmten Bedingungen – wie zuletzt gegenüber einigen Telekommunikationsprovidern – die Herausgabe von Kundendaten einfordern können. Dafür müssen sie sich allerdings stets an den Besitzer, sprich den „Owner“, wenden. Im Übrigen bietet beispielsweise Workday, wenn gewünscht, im Rahmen seiner „EU Support Policy“ europäischen Unternehmen einen Kundensupport durch ausschließlich in Europa ansässige Mitarbeiter an.

Was sind weitere Grundvoraussetzungen, die für eine erfolgreiche Zusammenarbeit zwischen Unternehmen und Cloud-Anbieter gegeben sein sollten?

Christoph Kull: Ein „weicher“, aber entscheidender Faktor für eine effiziente Zusammenarbeit ist letztlich, wie transparent und unkompliziert Cloud-Anbieter hinsichtlich der hier besprochenen Themen agieren. Wie positionieren sich Cloud-Anbieter beim Thema IT-Sicherheit? Wer hier aussagekräftig ist, Maßnahmen zur Datensicherheit sowie die erfolgreiche Umsetzung des aufgezeigten Sicherheitskonzepts vorweisen und damit Vertrauen schon in der Auswahlphase aufbauen kann, ist klar zu bevorzugen.

Cloud-Anbieter sollten ihre Kunden in die Planung individueller Sicherheitsmaßnahmen mit einbeziehen und sie regelmäßig über den Status quo informieren. Wer dies zusammen mit den weiteren genannten Punkten berücksichtigt, findet den richtigen Partner für eine vertrauensvolle und langfriste Zusammenarbeit, die entscheidend zum Unternehmenserfolg beitragen kann.

Christoph Kull, Workday.
Christoph Kull, Workday.
(Bild: Workday)

Christoph Kull leitet als Regional Vice President DACH bei Workday die Geschäfte in Deutschland, Österreich und der Schweiz. Er kann auf über 15 Jahre Erfahrung in der Software Branche zurückblicken. Vor seiner jetzigen Position bei Workday war er acht Jahre bei SAP als Vice President Database & Technology DACH und in verschiedenen anderen Führungsrollen im Vertrieb tätig. Davor gründete und leitete Christoph Kull die Management Beratungsfirma Alsus.

(ID:44044981)

Über den Autor

 Elke Witmer-Goßner

Elke Witmer-Goßner

Redakteurin, CloudComputing-Insider.de