Das Dell Insider-Portal: Für alle, bei denen die Umsetzung mehr zählt als die Theorie:
Mit echten Fallbeispielen und Erfahrungsberichten zu den aktuellsten IT-Themen

 

Daten in der Cloud – deutlich sicherer als viele glauben

Zwei Herzen schlagen in meiner Brust: das des Programmierers und Technikers und das des Vollblut-Journalists und Content-Junky. Seit 30 Jahren schreibe ich Programme, Artikel, Kompendien, Web-Seiten-Inhalte und Social-Media-Schnipsel und habe immer noch Spaß dran. Derzeit befasse ich mich - nicht nur für Dell - intensiv mit den Themen Cloud und Security.
Viele Firmen stehen einem Cloud-Einsatz mit gemischten Gefühlen gegenüber, insbesondere nachdem die Enthüllungen von Edward Snowden klar gemacht haben, wie massiv auch Geheimdienste versuchen, alle möglichen Daten abzugreifen. Diese Fragen sollten Sie Ihrem Cloud-Anbieter stellen.

Eine Cloud hat unbestreitbare Vorteile und privat nutzen viele Menschen Cloud-Dienste, ohne sich über die Sicherheit Gedanken zu machen oder machen zu müssen. Als IT-Verantwortlicher steht diese Frage allerdings zentral im Mittelpunkt und kann aus rechtlichen, strategischen und Wettbewerbsgründen keinesfalls einfach ignoriert werden. Viele Firmen stehen einem Cloud-Einsatz mit gemischten Gefühlen gegenüber, insbesondere nachdem die Enthüllungen von Edward Snowden klar gemacht haben, wie massiv auch Geheimdienste versuchen, alle möglichen Daten abzugreifen.

Die Daten lagern beim Cloud-Computing nicht mehr direkt auf dem Arbeitsplatz-Rechner, sind aber trotzdem schnell verfügbar und vor allem sicher.
Die Daten lagern beim Cloud-Computing nicht mehr direkt auf dem Arbeitsplatz-Rechner, sind aber trotzdem schnell verfügbar und vor allem sicher.
Foto: Dell

Der zentrale Punkt ist also: Wie sicher sind meine Firmendaten in der Cloud gespeichert, wie hoch ist das Risiko, dass sie ausspioniert werden, und wie schützen Techniken und das Datenschutzrecht den Zugriff darauf ein? Diese Bedenken werden auch von Cloud-Hostern sehr ernst genommen und Sie sollten schonungslos bei einem potenziellen Cloud-Provider nachhaken und auf klaren Antworten zu Ihren Fragen bestehen.

Rechtliche Rahmenbedingungen

Jedes Datenunternehmen wie ein Cloud-Hoster ist verpflichtet, verschiedene Sicherheitsstufen zu erfüllen. Spezialisiert wird das mit entsprechenden Normen. Dazu gehören beispielsweise die Überwachungsnormen SSAE 16 SOC 1 Type 2 und ISO/IEC 27001. Sie regeln genau, welche Standards einzuhalten sind und wie mit verschiedenen Situationen umzugehen ist. Hinzu kommt, dass die Einhaltung der geforderten Vorschriften zur Sicherheit auch regelmäßig überprüft wird. Für alle Sicherheitsmaßnahmen gilt zudem, dass diese rund um die Uhr aktiv sind, also 24 Stunden sieben Tage pro Woche.

Umfrage zu CRM in der Cloud

Die Sicherheit beginnt bereits beim Zutritt von Personen zu einem Rechenzentrum, zum Beispiel bei einem Cloud-Anbieter. So werden Eingänge des Datencenters streng von einem qualifizierten Sicherheitspersonal kontrolliert und mit Videokameras überwacht. Sensible Bereiche innerhalb des Datencenters werden darüber hinaus zusätzlich mit Videokameras kontrolliert. Auch der Brandschutz erfüllt die in einem Datencenter speziellen und besonders hohen Anforderungen. Die Sicherheitsmaßnahmen betreffen natürlich auch die Stromversorgung. Im Falle eines Ausfalls gewährleisten leistungsstarke Dieselgeneratoren, dass eine Notstromversorgung in Gang gesetzt wird und garantieren den weiteren Betrieb des Datacenters.

Sicherheit der Daten

Für die Daten selbst gelten ebenfalls etliche Sicherheitsmaßnahmen, die ein Cloud-Provider mit seinem Datencenter erfüllt. Das beginnt bereits bei der Hardware und setzt sich entsprechend bei den Daten der Nutzer fort. So erfolgt immer ein Monitoring der Hardware-Firewalls rund um die Uhr - 24 Stunden, sieben Tage pro Woche. Sollte irgendjemand versuchen ins Cloud-System einzudringen, erkennt und blockt das Sicherheitssystem diesen Versuch augenblicklich. Um solchen Aktionen vorbeugend entgegenzuwirken, erfolgt turnusmäßig ein Scannen des gesamten Systems auf eventuelle Schwachstellen, beispielsweise einmal pro Woche. Was geschieht aber nun mit den Firmendaten? Können diese auf dem Weg zwischen der Cloud und dem Arbeitsplatz-PC von Fremden abgefangen und gelesen werden? Und könnte der Provider die Inhalte der Firmendaten lesen, wenn er das möchte?

Fremdzugriff unterbinden

Der Cloud-Anbieter stellt seinen Nutzern die Möglichkeit zur Verfügung, die Daten zu verschlüsseln. Das erfolgt meist nach mit einer 256-Bit-AES-Verschlüsselung, die auch Geheimdienste selbst nutzen. Das Entschlüsseln der Daten kann nur von einem autorisierten Nutzer erfolgen. Dazu zählt aber nicht der Cloud-Betreiber. Zwar kann er die (verschlüsselten) Daten auslesen, um etwa ein Backup davon anzulegen, aber die Verschlüsselungstechnologie erlaubt es nicht, dass er die Daten wieder in eine lesbare Form bringt. Das kann nur der autorisierte Nutzer. Der Cloud-Anbieter kann also nichts mit ihren Firmendaten anfangen. Zudem werden die Daten nicht nur auf dem Speicher der Cloud verschlüsselt. Auch der Datenverkehr zwischen Cloud und Arbeitsplatz-PC erfolgt kodiert. Selbst wenn jemand den Datentransfer mitliest, würde er nur die verschlüsselten Daten bekommen und könnte diese nicht entschlüsseln. Das trifft auch für den Anbieter der verwendeten Verschlüsselungstechnologie zu.

Die Daten in der Cloud sind durch diverse Sicherheitssysteme, Kontrollen und auch durch Gesetze bestens geschützt.
Die Daten in der Cloud sind durch diverse Sicherheitssysteme, Kontrollen und auch durch Gesetze bestens geschützt.
Foto: Dell

Nationale Gesetzgebung

Rechtlich gesehen gilt für die auf dem Cloud-System gespeicherten Daten zunächst das geltende Recht des Landes, in dem sich der Datenspeicher befindet. Allerdings muss dabei beachtet werden, dass das deutsche Recht wiederum gilt, wenn das Unternehmen eine Niederlassung, Tochtergesellschaft in Deutschland hat. Genauso findet das deutsche Recht Anwendung, wenn die Daten in Deutschland verarbeitet oder genutzt werden. Hier spricht der Gesetzgeber vom Territorialrecht. Gerade dieser Umstand führt dazu, dass deutsches Recht durchaus auch für im Ausland ansässige Cloud-Provider angewendet werden kann.

Da Deutschland ein relativ restriktives Datenschutzrecht besitzt und auch durchsetzt, ist es von Vorteil, bei Cloud-Systemen darauf zu bestehen, dass die Daten in Deutschland gehostet werden. Bei Hosting-Anbietern, die eine Tochtergesellschaft einer Firma aus den USA oder UK sind, ist allerdings nicht klar, ob die Geheimdienste dieser Länder einen Zugriff auf Daten der Tochtergesellschaft erzwingen können. Wer hierzu Bedenken hat, sollte sich mit einem Fachanwalt beraten.

Fazit

Jeder Cloud-Provider ist sehr daran interessiert, dass die Daten seiner Nutzer bei ihm absolut sicher gelagert sind. Neben der Datensicherheit steht natürlich auch die Ausfallsicherheit an oberster Stelle. Jeder Cloud-Betreiber strebt deshalb eine 100prozentige Verfügbarkeit rund um die Uhr an. Dafür hat er viel in sein System investiert und beschäftigt zudem immer auch ein Team an Sicherheits- und IT-Spezialisten. Wollte man in der eigenen IT den gleichen Sicherheitsstandard aufbauen, würde dies oft enorme Kosten nach sich ziehen.

Auch wenn die Wahrscheinlichkeit sehr gering ist, wegen eines Systemausfalls für eine gewisse Zeit keinen Zugriff auf seine Daten zu bekommen, die Vorteile einer Cloud-Lösung rechtfertigen deren Einsatz im Unternehmen allemal - gerade auch im Hinblick auf die Sicherheit der Firmendaten.

Weitere Informationen zum Thema Cloud, passende Hoster in Deutschland und die Vorteile der Cloud-Nutzung finden Sie auf unserem Insider-Portal.

Sie haben noch Fragen? Nehmen Sie Kontakt auf.