11. Januar 2016 - Datenschutzkontrolle von Cloud-Verknüpfungen

So spüren Sie Datenübermittlungen in die Cloud auf

Spätestens seit dem Safe-Harbor-Urteil sollte klar sein, dass Datenübermittlungen in Drittstaaten nicht ungeprüft stattfinden dürfen. Die Vielzahl an Cloud-Schnittstellen zum Beispiel bei Betriebssystemen macht es aber nicht leicht, die Übersicht über alle Datenübermittlungen zu behalten.

Cloud-Verknüpfungen finden sich auch in Betriebssystemen Auch Betriebssysteme und Hardware können Cloud-Verknüpfungen aufweisen (Bild: Boarding1Now / iStock / Thinkstock)

Viele Studien warnen davor, dass Unternehmen in Deutschland nicht genau genug informiert sind, welche Cloud-Services und Cloud-Anwendungen betrieblich im Einsatz sind. Vor allem die ohne Genehmigung genutzten Cloud-Apps stehen im Fokus. Denn sie gehören zur gefürchteten Schatten-IT, die ein gefährliches Eigenleben jenseits der Kontrolle der IT-Administration und abseits der zentralen Schutzmaßnahmen führt. Doch auch freigegebene Anwendungen und sogar Betriebssysteme können eine Cloud-Verknüpfung aufweisen.

Cloud-Verknüpfungen aufspüren und prüfen

Es sind inzwischen verschiedene Tools auf dem Markt, um Cloud-Verbindungen aufzudecken und auf Risiken hin zu untersuchen. Meist werden diese Tools „Cloud Access Security Broker (CASB)“ genannt. Wirken Sie als Datenschutzbeauftragter darauf hin, dass nicht nur die Cloud-Apps aus der Schatten-IT, sondern alle IT-Systeme auf Cloud-Verknüpfungen hin untersucht und auf mögliche Datenübermittlungen hin überprüft werden. Die aktuelle Checkliste hilft Ihnen bei der notwendigen Übersicht.


Download: Checkliste Cloud-Verknüpfungen


Aufsichtsbehörden: Cloud-unterstützte Betriebssysteme sind Datenrisiko

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat in einer Entschließung ausdrücklich auf die Datenschutzrisiken durch sogenannte Cloud-unterstützte Betriebssysteme hingewiesen. Solche Betriebssysteme sind zum Beispiel Microsoft Windows 10 und Google Chrome OS. Den Benutzern der neuen Betriebssysteme empfehlen die Datenschutzbeauftragten von Bund und Ländern, sich möglichst schon vor dem Kauf detailliert über die Funktionsweise zu informieren und alle Möglichkeiten der datenschutzfreundlichen Einstellungen der Betriebssysteme zu nutzen.

Insbesondere die Verantwortlichen im behördlichen und kommerziellen Umfeld sind angehalten, vor der Entscheidung für einen Einsatz zu prüfen, ob für ihr Umfeld zugeschnittene Betriebssystemversionen verfügbar sind und ob sie mit den neuen Betriebssystemen ihrer datenschutzrechtlichen Verantwortung als Daten verarbeitende Stelle gerecht werden können.

Viele IT-Systeme haben Cloud-Schnittstellen

Nicht nur Betriebssysteme können ungewollt Informationen in eine Cloud und damit oftmals auch in einen Drittstaat übermitteln, obwohl die verantwortliche Stelle im Unternehmen sich dessen gar nicht bewusst ist. Auch Hardware-Systeme, lokal installierte Fachanwendungen und IT-Sicherheitslösungen kommunizieren mit Cloud-Diensten und übermitteln womöglich Daten der Nutzer.

So hat sich die Verbraucherschutzorganisation Electronic Frontier Foundation (EFF) in den USA über die sogenannten Google Chromebooks beschwert. Diese Google-Notebooks nutzen Chrome OS, ein Cloud-unterstütztes Betriebssystem. Die EFF wirft Google vor, die Standardeinstellungen bei den Chromebooks so gewählt zu haben, dass sie Nutzerdaten sammeln, in die Google Cloud übertragen und dass die Daten dort ausgewertet werden. Dazu sollen neben Suchbegriffen und aufgerufenen Videos auch gespeicherte Passwörter der Nutzer zählen.

Auch wenn Google in einer Stellungnahme eine missbräuchliche Verwendung der Daten ausschloss und die Standardeinstellungen ändern will, zeigt das Beispiel doch, wie schnell auch Hardware Informationen in eine Cloud übermitteln kann.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Das Fachmagazin Datenschutz PRAXIS gibt Monat für Monat zahlreiche weitere Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln