1. Einleitung
Durch die wachsende Mobilität und teils aus Kostengründen verlagern viele Unternehmen ihre Daten in die Cloud. Dadurch entsteht gleichzeitig ein neuer Datenraum, den es zu schützen gilt. Die Wahl eines geeigneten und zuverlässigen Cloud Anbieters spielt für Unternehmen daher eine große Rolle. Die Entscheidung welchem Cloud Anbieter man vertraut, sollte von verschiedenen Faktoren abhängig gemacht werden.
2. Welchem Anbieter vertraue ich meine Daten an?
Entscheidend sind zunächst folgende Anforderungen:
- Werden die Daten vor der Übertragung verschlüsselt? Kann ein eigener Schlüssel verwendet werden?
- Werden die Daten über einen verschlüsselten Übertragungsweg übertragen?
- Findet der Datenabruf wiederum verschlüsselt statt?
- Wie wird die Datensicherung vom Anbieter durchgeführt?
- Werden die Daten auf einem redundanten System vorgehalten?
- Was passiert bei einem Datenverlust oder DDoS-Angriff auf den Anbieter?
Zu den Anforderungen gesellen sich noch Fragen zum Datenschutz:
- Ist der Anbieter aus Deutschland oder ein ausländischer Anbieter?
- Welchen Datenschutzbestimmungen unterliegt ein Anbieter im Ausland?
- Dürfen Behörden auf die Daten zugreifen? (Besipiel: Patriot Act – USA)
Update
10.07.2014: Der Artikel stammt von Anfang 2012 und berücksichtigt die grenzenlose Massenüberwachung durch den amerikanischen Geheimdienst (NSA-Affäre) nicht. Ausgehend vom derzeitigen Wissensstand ist von Cloud-Lösungen bzw. externem Daten-Hosting klar abzuraten. Dem Wort »Vertrauen« sollten wir eine ganz neue Bedeutung beimessen…Es ist keine einfache Entscheidung, den »richtigen« Anbieter zu finden. Sofern die grundsätzlichen Anforderungen geklärt sind, geht es an die Details.
3. Unternehmensanforderungen an die Cloud
Je nach Unternehmen sind die Anforderungen sehr unterschiedlich. Der klassische Perimeterschutz mit Firewalls und anderen Sicherheitstechnologien rückt dabei etwas in den Hintergrund. Wenn ein Teil oder alle Unternehmensdaten online vorgehalten werden rückt der Schutz einzelner Systeme bzw. mobiler Endgeräte in den Vordergrund. Mitarbeiter sind mobil. Mobilität bedeutet wiederum den Einsatz von Laptops, Smartphones und Tablets.
Was sind also spezielle Unternehmensanforderungen im Umgang mit Daten in der Cloud?
- Wie lassen sich die Daten in der Cloud in das Unternehmensnetzwerk integrieren?
- Werden alle im Unternehmen eingesetzten Betriebssysteme bzw. mobilen Endgeräte unterstützt?
- Exisitert ein Webfrontend für den Datenzugriff?
- Lässt sich der Datenabruf bzw. dessen Bearbeitung nahtlos in das Smartphone integrieren?
- Existiert eine App vom Hersteller die sich um den Zugriff und Verschlüsselung der Daten kümmert?
- Wie gestaltet sich die Bedienung der Anwendung? Ist sie leicht zu verstehen oder zu umständlich?
- …
Die Liste lässt sich beliebig fortsetzen und richtet sich im Allgemeinen nach den Bedürfnissen des Unternehmens.
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
4. Fazit
Die Wolke ist da. Sie schwebt allerdings noch nebulös durch die IT-Welt. Unternehmen stehen vor der Herausforderung welchem Anbieter sie ihre Daten anvertrauen möchten. Allein wegen dem Thema Datenschutz ist hierbei ein deutscher Anbieter klar zu bevorzugen. Eine Alternative kann ebenfalls die ownCloud darstellen bzw. eine Lösung die im Unternehmen selbst gehostet wird. Sofern das technische KnowHow für das firmeninterne Hosting verfügbar ist, stellt dies in jedem Fall die zu bevorzugende Variante dar.
Bildquellen:
Wolke: Nemo, Creative Commons CC0
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Online Backup – Worauf muss ich achten?
Projekt arkOS: Raus aus der Cloud!
Nach Greenwashing kommt jetzt Safewashing
Contentpass: Die trackingfreie Flatrate im ausführlichen Check
Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2
1 Ergänzungen zu “Daten in der Cloud • Grundsätzliche Fragestellungen bei der Anbieterwahl”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit.
Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Durch die aktuellen News des BND und ähnlichem gerät der deutsche Datenschutz auch mehr und mehr in Verruf. Wäre es daher nicht sinnvoller sich einem Anbieter bzw. ein Rechenzentrum in der Schweiz oder Island zu wählen welche unabhängig von EU und US Behörden sind?