Datenschutz in der Cloud

Zahlreiche und häufig auch kostenlose Cloud-Speicherdienste sind für den Nutzer sehr praktisch – doch es lauern Fallstricke. Beginnend bei modernen Textverarbeitungsprogrammen über virtuelle Server bis hin zu CRM-Suiten wächst die Anzahl der Cloud Angebote, die per Mausklick aus dem Internet beziehbar sind. Insbesondere bei der geschäftlichen Nutzung solcher Dienste können rechtliche Probleme wegen mangelhaftem Datenschutz entstehen. Deshalb ist es wichtig zwei Arten der Speicherdienste zu unterscheiden: Private Cloud Angebote und Public Cloud Lösungen. Die Private Cloud Angebote stehen nur einem bestimmten Nutzerkreis offen – z.B. Angehörigen einer Firma. Auf der anderen Seite können alle Interessenten die Public Cloud Lösungen verwenden. Achten Sie deshalb bei der Providerwahl darauf, dass es sich zumindest um einen bekannten und seriösen Anbieter handelt. Zahlreiche Risiken, die sich nur zum Teil abschätzen lassen, stellen für sensible Nutzerdaten eine richtige Bedrohung dar.

Heutzutage sind 3 verschiedene Service Modelle der Cloud im Einsatz:

  1. Iaas (Infrastructure as a Service) stellt dem Anwender Speicherplatz oder eine virtuelle Maschine zur Verfügung.
  2. PaaS (Platform as a Service) offeriert eine Entwicklungs- und Ausführungsumgebung.
  3. Saas (Software as a Service) wird vom Cloud Provider als eine Software- Komplettlösung angeboten, die für den Anwender über einen Webbrowser bedienbar ist. Zahlreiche Office-Suiten sind ein Beispiel für Saas-Angebote.

Cloud Services sind zahlreichen Gefahren und Angriffsmöglichkeiten ausgesetzt, und zwar wegen ihrer öffentlicher Exponiertheit im Internet. Die ganze Infrastruktur ist öffentlich erreichbar und wird meistens von dritten betrieben, was für den Nutzer gewisse Sicherheitsrisiken mitbringt. Die CSA (Cloud Security Alliance) hat dazu die sieben größten Gefahren aus ihrer Sicht beschrieben:

  1. Schädliche Nutzung und Missbrauch von Cloud-Computing: Wegen grundlegender Eigenschaften der Cloud-Infrastrukturen ist die Nutzung von Cloud-Ressourcen für Angreifer besonders interessant.
    2. APIs und unsichere Schnittstellen: Management-Schnittstellen und Cloud-Services sind über das Internet leicht angreifbar.
    3. Böswillige Insider: Hier verschaffen sich Mitarbeiter von Cloud-Anbietern unbefugten Zugriff zu sensiblen Kundendaten.
    4. Risiken wegen geteilter Technologien: Mögliche Probleme bei zuverlässiger Trennung der Nutzerdaten.
    5. Kompromittierung und Datenverlust: Durch technische Probleme kommt es auch häufig zu Datenverlusten.
    6. Diebstahl von Cloud-Diensten oder Benutzerkonten: Häufiger Missbrauch von Ressourcen, weil Anwender auf simple Anmeldeprozesse setzen.
    7. Neue unbekannte Risiken: Nicht einschätzbares Restrisiko, weil eine Risikoanalyse nur unzureichend oder gar nicht stattfindet.

Anforderungen an Cloud-Infrastrukturen
Eine sichere Mandantentrennung und eine solide Sicherheitsarchitektur sind wichtige Anforderungen an die Cloud-Infrastruktur. Ein Notfallmanagement muss als Absicherung der Cloud gegen Notfälle und Störungen existieren. Als Nutzer sollten Sie jedoch selbst darauf achten, dass der Cloud-Anbieter nach einem definierten Vorgehensmodell arbeitet – wie z.B. COBIT oder ITIL. Nur so können die vielen Aufgaben des Sicherheitsmanagements auch strukturiert durchgeführt werden. Auch Zertifizierungen wie z.B. ISO 27001 können Ihnen signalisieren, dass der Cloud-Anbieter solche Prozesse etabliert hat. Solche Vorgehensmodelle und Zertifizierungen sorgen schon mal für eine sichere Verarbeitung und Speicherung Ihrer Daten in der Cloud. Auch der Datentransfer ist ausschließlich über sichere HTTPS-Verbindungen anzuraten. Schlussendlich gehört zum vollkommenen Datenschutz in der Cloud auch eine sichere Datenarchivierung und Datenvernichtung.

Bookmark the permalink.

Teilen:

Comments are closed