computerwoche.de

Security

Ratgeber

Sichere und rechtskonforme Cloud-Umgebungen

24.02.2013
Von Roger  Scheer

Compliance und Clouds

Clouds sind ein Outsourcing-Modell im Zeitalter der Virtualisierung. Genau wie beim klassischen Outsourcing profitieren Unternehmen von Skaleneffekten – insbesondere, weil sie frühzeitig an technologischen Innovationen partizipieren, die sich Einzelunternehmen unter Umständen nicht leisten könnten. Für den infrastrukturweiten Schutz sensibler Daten, empfehlen sich moderne, intelligente Datenschutzmechanismen wie Data Loss Prevention (DLP). Die Technologie identifiziert sensible Daten per Richtlinien und basiert auf einem dezidiert informationszentrierten Security-Ansatz. Das heißt, Informationen werden gemäß ihrem Schutzbedürfnis klassifiziert und die unterschiedlichen Datenklassen dann richtliniengesteuert behandelt. Worauf es dabei besonders ankommt, ist die enge Verzahnung mit einem effektiven Policy-Management. Nur so lassen sich firmenspezifische Compliance-Regeln überall in gleicher Weise umsetzen – auf den Speichersystemen beim Cloud-Provider ebenso wie im Netzwerk und auf Endgeräten.

Rechtliche Fallstricke berücksichtigen

Bevor Daten an einen Cloud-Provider übergeben werden, sollten detaillierte Service Legel Agreements für die Sicherheitsbelange mit dem Anbieter und dessen Subunternehmern vereinbart werden. Ebenso sollte dieser offen legen, wo die ausgelagerten Daten gespeichert werden, und wie der Zugriff durch Dritte geregelt ist, damit die Prüfung durch den Cloud-„Nehmer“ überhaupt praktikabel ist. Die Herausforderung für die Unternehmen liegt nämlich darin, die Compliance-Anforderungen für die eigenen Daten nachweislich umzusetzen – auch wenn die Informationen einem Provider anvertraut wurden. Dazu müssen sie Letzteren auditieren. Am einfachsten geht dies, wenn die Daten auf Servern und Speichersystemen in Deutschland oder innerhalb der EU verarbeitet werden. Es gibt Anbieter, die das garantieren. Außerhalb der EU-Grenzen steigen die Risiken eines Datenverlustes oder fehlender Verfügbarkeit der Daten etwa für Zugriffe durch das Finanzamt. Vorsicht gilt besonders bei personenbezogenen Daten: Das deutsche Datenschutzrecht lässt deren Verarbeitung außerhalb der EU nicht zu.