Cloud Computing und Datenschutz: Wolke im Schafspelz

Dem allseits fröhlich vermarkteten Cloud Computing stehen hierzulande vor allem Sicherheitsbedenken im Weg. Dies bestätigen Umfragen von Hersteller- wie Analystenseite mit geradezu monotoner Regelmäßigkeit. Betroffen ist die Informationssicherheit in allen Facetten – von der Zugriffssicherheit über den Schutz gespeicherter Daten bis zur Frage der Einhaltung gesetzlicher Vorgaben, auf Neudeutsch „Compliance“ genannt. (Besserwissermodus ein. Liebe IT-Anbieter und PR-Agenturen: „Compliance“ bedeutet „Befolgung von…“ oder „Einhaltung von…“, nicht „gesetzliche Vorgabe“. Es gibt also keine „Compliances“ und auch keine „Einhaltung der Compliance“, weil nämlich wegen der Compliance, die wo ja selber die Einhaltung ist. Is’ irgendwie ein Stück weit logisch, oder? Besserwissermodus aus.)

Bild: (c) Wolfgang Traub 2011

Derlei Sicherheitsbedenken sind kein Symptom übertriebener „German Angst“, sondern vor allem eines: berechtigt. So warnte zum Beispiel kürzlich die Nationale Initiative für Informations- und Internetsicherheit NIFIS e.V. vor der Inanspruchnahme amerikanischer Cloud-Services. Denn der „Patriot Act“ (ein aus Terrorangst erlassenes Anti-Datenschutzgesetz) gestattet US-Ermittlungsbehörden den Zugriff auf Nutzerdaten, selbst wenn diese außerhalb (!) des US-Territoriums gespeichert sind.

Man muss aber gar nicht Willkür oder Wirtschaftsspionage durch NSA und CIA befürchten, um misstrauisch zu sein. Auch der Deutsche Anwaltverein erklärte im August 2011 in einer Stellungnahme für die EU-Kommission, Cloud Computing sei aufgrund des deutschen Datenschutzrechts und der gesetzlichen Vorgaben zur Auftragsdatenverarbeitung mit Dienstleistern außerhalb der EU ohne Mindeststandards (die es nicht gibt) unmöglich. Der deutsche Gesetzgeber sieht eben nicht vor, dass die Kundendaten „irgendwo in der Wolke“ herumlungern. Da isser irgendwie altmodisch, der Herr Gesetzgeber, aber mir auch irgendwie sympathisch.

Also am besten auf einheimische Provider vertrauen, richtig? Hier darf der Autor auf seine Erfahrungen mit deutschen Mobilfunk-Carriern verweisen. T-Mobile: Werbung an die E-Mail-Adresse erhalten, von der aus Monate zuvor eine Werbesperre ausgesprochen worden war. Datenschutz? Ungenügend. E-Plus-Tochter BASE: Nach einem Anruf durch das Call Center einen Brief erhalten, ich hätte mündlich der Datennutzung für Werbung und Marktforschung zugestimmt, was ich mir audrücklich verbeten hatte. Datenschutz? Ungenügend. Vodafone: Bei der Service-Einrichtung so viele Unzulänglichkeiten festgestellt, dass ich den Vertrag sofort wieder kündigte (inzwischen gegen Gutschrift und einem netten Telefonat mit zwei Vodafone-Pressedamen widerrufen, aber nur auf Bewährung). Würde ich einem dieser Carrier den sicheren, verlässlichen Betrieb von Cloud-Services zutrauen? Die richtige Antwort schreiben Sie bitte auf eine Postkarte und nageln diese an eine Wolke.

P.S.: Jaja, auch ich weiß, der Trend geht zur Cloud, und früher oder später geht es nicht mehr ohne. Deshalb ein kleiner Tipp aus unserer beliebten Sendereihe „Cloud-Rezepte wie zu Großmutters Zeiten“: Dateien auf File-Servern in der Cloud bleiben länger knackig, wenn man sie vor dem Upload in Frischhaltefolie der Marke „TrueCrypt“ einpackt.

Advertisements

Eine Antwort zu “Cloud Computing und Datenschutz: Wolke im Schafspelz

  1. Die Themen Datenschutz und Datensicherheit gewinnen sicherlich durch aktuelle Trends im Cloud-Computing an Bedeutung, aber auch an Brisanz, wie Ihr Beitrag eindrucksvoll zeigt. Die Anwender stehen eben nicht nur vor einer rein technischen Frage, wie dynamische und agile IT-Konzepte umgesetzt werden können, sondern müssen sehr intensiv in Betracht ziehen, wie diese technischen Varianten sich organisatorisch, rechtlich und sicherheitsrelevant gemäß allgemeiner oder unternehmenseigener Regularien am besten integrieren lassen.

    Grundsätzlich ist ein Cloud-Konzept zunächst einmal an der Frage auszurichten, ob es „intern“ betrieben wird (Private-Cloud) oder aber in die Hände eines Dienstleisters gelegt wird (Public Cloud). Letztere Variante wirft im Wesentlichen viel intensiver die in diesem Blog angesprochen Risiken auf und ein potentieller Cloud-Kunde sollte aus meiner Sicht eine Reihe von Punkten berücksichtigen, die in einem Dienstleistungsvertrag enthalten sein sollten. Im Vordergrund steht zunächst eine Risikoanalyse und hierbei sind z.B. Themen wie Datenschutz (Vertraulichkeit, Integrität – wo sind meine Daten?), regulatorische Anforderung an das Löschen von Daten, Mandantentrennung, Beachtung von Complianceanforderungen in verschiedenen Ländern, Insolvenzgefahr des Cloud Providers, Subunternehmer des Cloud Providers, Handel mit Ressourcen sowie dem Risiko von Erpressungen zu berücksichtigen.

    Ist man sich weitestgehend darüber im Klaren, welche Risiken existieren, geht es nun um das Aushandeln eines entsprechenden Vertrages mit dem Cloud Provider, folgende Punkte dienen als Anhalt, welche inhaltlichen Merkmale mit einfließen sollten:
    – Architectural Framework
    – Governance, Enterprise Risk Management
    – Compliance & Audit
    – Information Lifecycle Management
    – Portability & Interoperability
    – Security, Business Continuity, Disaster Recovery
    – Data Center Operations
    – Incident Response Issues
    – Application Security
    – Encryption & Key Management
    – Identity & Access Management
    – Virtualization

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s