So werden Kundendaten gelöscht
In der Praxis verläuft das Procedere zum Löschen der Kundendaten überall ähnlich. "Gängige Praxis ist es, dass uns der Kunde per E-Mail über den Wunsch nach Datenlöschung informiert", schildert Weclapp-Geschäftsführer Özdil. Dann werde für sämtliche Informationen, die mit einem Kunden zusammenhängen, ein Löschauftrag erstellt und der Prozess nachts ausgeführt. Nach erfolgter Annullierung wird der Kunde automatisch per E-Mail benachrichtigt."
Mit der Eliminierung der Kundendaten gibt die Datenbank den Speicherplatz frei, so dass er komplett wieder mit anderen Daten überschrieben werden kann. "Mit jedem neuen Kunden wird dann die Wahrscheinlichkeit größer, dass die abgelegten Daten wieder überschrieben werden", so Özdil. "Wir kommen dann an die Daten nicht mehr heran."
Theoretisch könnte sich der Kunde selbst überzeugen, dass die Daten gelöscht wurden oder dass zumindest alle technischen und organisatorischen Maßnahmen ordnungsgemäß eingehalten werden. Dazu müsste er sich aber vertragsrechtlich Audit-Rechte einräumen lassen.
Doch das ist pure Theorie. Abgesehen davon, dass es technisch kaum machbar ist, sich von der Datenlöschung zu überzeugen, würde kein Cloud-Anbieter einem Kunden ein solches Recht einräumen. "Solche Audit-Rechte und damit Prüfrechte hinsichtlich ordnungsgemäßer Löschung will kein Provider im Vertrag haben", sagt IT-Rechtsexperte Rath. Schließlich wolle kein Cloud-Anbieter mit seinen stark standardisierten Services, dass Heerscharen von Kunden durchs Rechenzentrum laufen. Ohne ausreichende Detailkenntnisse würde ein Kunde dies selbst auch kaum überblicken können, zum anderen würde ein solcher Nachweis für die Cloud-Anbieter einen erheblichen Zusatzaufwand bedeuten.
Sinnvoll kann es jedoch sein, sich Audit-Rechte auf Dokumente, Beschreibungen und Protokolle einräumen zu lassen, um zum Beispiel den korrekten Ablauf von Löschprozessen nachvollziehen zu können. Zudem können Zertifizierungen gefordert werden, die einen Mindeststandard bezüglich der Informationssicherheit gewährleisten. Eurocloud bietet beispielsweise mit dem "Eurocloud Star Audit" solche Zertifizierungen an. "Dadurch wird ein Prozess etabliert, womit die Kundendaten komplett gelöscht werden, sobald ein Kunde ausscheidet", sagt Eurocloud-Chef Becker.
- Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen: - Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung. - Punkt 2:
Version in der Landessprache des Kunden. - Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn. - Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden"). - Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!). - Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen). - Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte). - Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail). - Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?). - Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden). - Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden). - Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier. - Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren. - Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).
"Sicheres Löschen in Public Clouds gibt es nicht"
Den Security-Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ist dies freilich zu wenig. Sie geben zu bedenken, dass mit dem gängigen Löschprocedere, wie eben beschrieben, die Daten keineswegs "sicher" gelöscht würden. "In Public-Cloud-Umgebungen gibt es nach unserer Kenntnis keine Vorgehensweisen, die sicheres Löschen ermöglichen", sagt Patrick Grete vom BSI. "Natürlich können alle Daten gelöscht werden, aber das ist nicht das, was wir unter sicherem Löschen verstehen."
Der Hintergrund: Werden in Cloud-Umgebungen Datenbanken oder virtuelle Festplatten gelöscht, wird in der Regel nur die Referenz auf die Daten entfernt, die Daten sind aber weiterhin physikalisch auf den Speichersystemen vorhanden. "Bis die Daten wirklich von dem Speichersystem gelöscht sind, dauert es, und es gibt kaum Methoden, dies vorherzusagen und sicherzustellen", erklärt Grete.
Methoden zum sicheren Löschen, wie etwa das x-fache Überschreiben mit willkürlichen Daten, funktionieren in Cloud-Umgebungen schon allein deshalb nicht, weil der Speicher virtualisiert ist. Meist verteilt ein blockbasierendes SAN-Speichernetz die Daten auf die physikalischen Festplatten. Dabei werden die Daten aktivitätsabhängig auf schnellere SSDs oder langsameren Magnetspeicher verteilt. Ein mehrfaches Überschreiben nützt nichts, weil man nie genau weiß, wo sich die Daten physikalisch befinden. Vor allem würde ein intelligentes SAN bei mehrfachem Löschen hohe Schreibaktivitäten registrieren und die Daten auf schnelle SSDs verschieben. In diesem Fall sind sie dann von der Festplatte oder dem physischen Bereich, auf dem sie vorher waren, natürlich nicht gelöscht.