Was Experten raten

Cloud-Daten sicher löschen

01.01.2014

Von

Dr. Klaus Manhart hat an der LMU München Logik/Wissenschaftstheorie studiert. Seit 1999 ist er freier Fachautor für IT und Wissenschaft und seit 2005 Lehrbeauftragter an der Uni München für Computersimulation. Schwerpunkte im Bereich IT-Journalismus sind Internet, Business-Computing, Linux und Mobilanwendungen.

Alle Posts des Autors Email:

Datenüberschreibung ist Zeitfrage

Ist dies eine ernste und relevante Sicherheitslücke? Hier ist wohl Entwarnung angesagt. Um an die physikalisch noch nicht gelöschten Daten zu kommen, müsste unter hohem Aufwand rekonstruiert werden, welche SAN-Blöcke wie zusammenhängen. "Abgesehen davon, dass jemand in das Cloud-Rechenzentrum einbricht und das gesamte SAN stiehlt, sehe ich kein eindeutiges Szenario, wie man an die gelöschten Daten herankommt", sagt BSI-Experte Grete.

Das BSI rät jedoch, sich von den Providern die Zeit nennen zu lassen, bis zu der die Kundendaten mit hoher Wahrscheinlichkeit überschrieben worden sind. Diese Zeit hängt vor allem von der Größe des SAN ab. Eine Aussage wie "Nach 1,5 Jahren können wir mit 95-prozentiger Wahrscheinlichkeit sagen, dass die Kundendaten gelöscht sind", ist etwas anderes als die Aussage "Unser SAN ist so klein, nach zwei Monaten ist alles sicher überschrieben."

Das klingt theoretisch, ist jedoch ein weiterer Baustein, die Sicherheit für den Cloud-Kunden zu erhöhen. "Diese Wahrscheinlichkeiten kennen alle Cloud-Provider, und wir halten die Nutzer der Cloud-Dienste auch an, genau diese Daten zu erfragen", kommentiert Grete.

Drei Wochen Zeit für Sicherungsdaten

Mehr Sorgen als eine wasserdichte Löschung der Kundendaten aus den produktiven Storage-Systemen bereiten Eurocloud-Vorstand Becker die Sicherungskopien. Um Ausfallschutz zu gewährleisten, sind die Provider bekanntlich dazu verpflichtet, Backups der Kundendaten anzulegen. Diese müssen eine Zeitlang vorgehalten werden, um im Notfall den regulären Zustand wieder herstellen zu können.

Theoretisch müsste der Provider mit Vertragsende die Kundendaten auch aus den Sicherungskopien sofort entfernen. "Nach dem BDSG gibt es einen Anspruch, dass die Daten sofort von den Medien entfernt werden", sagt Becker. Das ist aber in der Praxis bei den Backups nicht möglich, da die Sicherung ein nicht isoliert herausnehmbarer Teil des Backups der gesamten Kundendaten ist.

"Aus praktischer Sicht ist es deshalb akzeptabel, wenn für einen begrenzten Zeitraum nach Vertragsende die Sicherungsdaten noch bestehen bleiben", erklärt Becker. Dieser Zeitraum sollte aber vertraglich definiert sein. "Üblicherweise sind diese Sicherungen in einem rollierenden Verfahren - meist von 21 Tagen - verfügbar. In diesem Fall ist es aus unserer Sicht in Ordnung, wenn die Sicherung bis zu den drei Wochen nach Vertragsende noch besteht." Dann aber, so Becker, sollte sie gelöscht sein.

Fazit

Wer absolut sichergehen will, dass seine Daten nach Vertragsende sofort und restlos gelöscht werden, sollte seine Informationen nicht in die Public Cloud geben. Das ist die Auffassung des BSI. Für alle anderen gilt: Wer kritische Geschäftsdaten in der Cloud speichert, sollte sich vor Vertragsabschuss über die technische Machbarkeit der Löschung informieren und diese vertraglich absichern lassen. Darüber hinaus muss der Kunde auf einem expliziten Löschprocedere bestehen und sich die Ausführung der physikalischen Datenlöschung bestätigen lassen. Eine weitere Option ist, dass sich der Auftraggeber einem von einer anerkannten Institution wie Eurocloud zertifizierten Cloud Provider anvertraut. (pg)

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren