30. Juli 2009 - Cloud Computing

So trotzt der Datenschutz wolkigen Angeboten aus dem Internet

Cloud Computing gehört für den Hightech-Branchenverband BITKOM zu den aktuellen IT-Trends. Durch den flexiblen Zugriff auf externe IT-Ressourcen sollen sich Kosten einsparen lassen. Doch lassen Sie sich durch wolkige Angebote nicht den Blick verstellen: Cloud Computing stellt hohe Anforderungen an Datenschutz und Datensicherheit.

so-trotzt-der-datenschutz-wolkigen-angeboten-aus-dem-internet.jpeg
Cloud Computing stellt hohe Anforderungen an Datenschutz und Datensicherheit (Foto: gnubier/PIXELIO).

Für viele deutsche Unternehmen aus dem Mittelstand klingt der Begriff Cloud Computing noch nebulös, so das Ergebnis einer Umfrage von IDC im Frühjahr 2009.

Tatsächlich erschließt sich die Besonderheit dieser IT-Dienstleistung nicht auf den ersten Blick. Die wörtliche Übersetzung führt zu einer Wolke, die nicht unbedingt für Klarheit sorgt.

Was ist Cloud Computing?

Tatsächlich versteht man unter Cloud Computing die Möglichkeit, über das Internet auf externe IT-Ressourcen wie Rechnerleistung oder Speicher  zugreifen zu können. Anders als Software-as-a-Service (SaaS) oder Software-on-Demand (SoD) werden also nicht nur Softwareanwendungen als Dienstleistung angeboten, sondern Rechner- und Speicherkapazitäten.

Cloud Computing ist kein klassisches Outsourcing

Das klingt zwar nach klassischem Outsourcing, ist aber keines. Wenn Sie einen Server bei einem Hosting-Anbieter mieten und von diesem betreiben lassen, dann können Sie Ihren speziellen Server besuchen und in Augenschein nehmen.

Bei Cloud Computing jedoch handelt es sich um virtuelle Server. Welcher Server, welche IT-Ressourcen an welchem Ort für das Cloud Computing genutzt werden, ist dem Anwender anders als bei einer selbst durchgeführten Virtualisierung nicht ohne weiteres bekannt.

Daten werden von der konkreten IT-Infrastruktur entkoppelt

Für den Datenschutz und die Datensicherheit bedeutet dies: Die personenbezogenen Daten und ihre Verarbeitung werden von einer konkreten IT-Infrastruktur entkoppelt.

Cloud Computing braucht Anforderungskatalog und Verträge

Mit der BDSG-Novelle wird die Problematik im Cloud Computing noch verstärkt: Kommt es zu einer Datenpanne durch unzureichende Datensicherheit, besteht für den betroffenen Anwender im Rahmen der gesetzlichen Vorgaben eine Informationspflicht und es drohen höhere Bußgelder.

Doch die BDSG-Novelle II zeigt auch einen konkreten Weg auf, wie Sie einem Angebot für Cloud Computing begegnen sollten: So finden sich dort detaillierte Vorgaben für Verträge, die eine Auftragsdatenverarbeitung regeln sollen.

Pro und Contra Cloud Computing

Als Datenschutzbeauftragter sollten Sie sich umfassend mit den Vor- und Nachteilen von Cloud Computing befassen. So haben sich laut der eingangs erwähnten IDC-Studie rund 75 % der 805 befragten Unternehmen noch nicht mit Cloud Computing befasst. Doch 45 % sehen darin für die nächsten Jahre eine zusätzliche Möglichkeit bei der Beschaffung von IT-Ressourcen und nur 11 % halten bisher die Gewährleistung der Datensicherheit im Cloud Computing für wichtig.

Das sehen Sicherheitsexperten jedoch ganz anders. Den Vorteilen wie

  • Kostenersparnis,
  • Möglichkeit zur Reduzierung der eigenen IT-Ressourcen,
  • niedrige Kapitalbindung und
  • flexible Nutzung

stehen gewichtige Nachteile und Risiken entgegen. Dazu gehören

  • der Verlust der direkten Kontrolle über die eigenen Daten,
  • die Gefahr von Hackerangriffen auf die Verbindung zwischen eigenem Rechner und der Cloud (also dem IT-Dienst),
  • die Abhängigkeit von externen, oft marktbeherrschenden Dienstleistern und
  • die Schwierigkeit, die Einhaltung der Datenschutz-Vorgaben durch den Dienstleister zu überwachen.

So bekommen Sie Klarheit in die Wolke

Bevor sich Ihr Unternehmen in ein nebulöses Abenteuer im Cloud Computing stürzt, sollten Sie sich – auch im Hinblick auf die BDSG-Novelle II – ganz genau mit dem Anbieter auseinandersetzen.

Dabei hilft Ihnen die Checkliste zur Bewertung von Cloud Computing.

Prüfansätze Ja Nein
Wird der Cloud Computing Dienst in einem EU-Land erbracht?
Verfügt der Anbieter über einen Datenschutzbeauftragten und eine Datenschutz-Organisation entsprechend BDSG?
Stimmt der Anbieter der Datenschutzverpflichtung und den Sicherheitsrichtlinien, die im Unternehmen des Anwenders Gültigkeit haben, uneingeschränkt zu?
Wurden die internen Daten nach ihrem Schutzbedarf klassifiziert, um zu entscheiden, welche Daten in der Cloud verarbeitet werden dürfen?
Verfügt der Anbieter über ein Sicherheitskonzept nach dem Stand der Technik?
Bietet der Dienst die notwendige Verfügbarkeit und ein Disaster Recovery?
Werden ein zuverlässiges Identitätsmanagement, eine sichere Benutzerverwaltung und eine verschlüsselte Übertragung der Zugangsdaten eingesetzt?
Werden die Systemprotokolle anonymisiert und ausgewertet, um mögliche Angriffe erkennen zu können, ohne personenbezogene Daten zu gefährden?
Erhält der Auftraggeber alle sicherheitsrelevanten Berichte?
Stimmt der Anbieter einem Audit durch den DSB des Auftraggebers zu?
Gibt es ausführliche Benutzer- und Sicherheitsrichtlinien für die Anwender des Cloud-Dienstes?

Ihr Grundsatz sollte sein, dass der Cloud-Dienst in der Güte und Sicherheit erbracht wird, als wäre er ein Dienst Ihrer IT-Abteilung.

Mit einem zuverlässigen, sicheren Angebot werden dann auch die erstrebenswerten Kosteneinsparungen möglich, ohne Datenpannen, Imageverlust und Bußgelder zu riskieren.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln