Die Anbieter spielen es herunter, doch die Indizien verhärten sich: Sensible Daten gehören nicht in Public Cloud-Services. Denn die Gefahren lauern überall.
von Hartmut Wiehr
Unabhängige Analysten sagen es schon länger. Und risikoscheue Anwender in der alten und in der neuen Welt verhalten sich vorsichtig, wenn es um die Verlagerung persönlicher oder geschäftskritischer Daten in externe Cloud-Services geht. Oder sie nehmen erst gar nicht daran teil. Jüngste Äußerungen kritischer Beobachter und an die Öffentlichkeit gelangte Erfahrungen weisen erneut auf die real existenten Risiken hin.
1. Die Kontrolle über die Daten gehört nicht in fremde Hände
So äußerte Apple-Mitgründer und Technik-Ikone Steve Wozniak im August seine Besorgnis darüber, dass Cloud Computing "schreckliche“ Probleme verursachen könne, wenn Nutzer die Kontrolle über ihre Daten in die Hände der Service-Provider legen würden.
Schnell waren Vertreter der IT-Industrie zur Stelle, die Wozniak vehement widersprachen. Rob May, CEO von Backupify, einem Provider für Secondary Backup-Lösungen im Cloud-Umfeld, meinte: "Wir sind entschieden einer anderen Meinung als Wozniak.“ Der Apple-Kämpe übersehe schlicht, dass es eine einfache Lösung gäbe: Man müsse nur eine zweite Kopie der Daten bei einem anderen Provider deponieren oder sich gleich für eine breitere Streuung entscheiden.
2. Apple und Amazon sind nicht sicher
In dem angesehenen US-Magazin „Wired“ berichtete der Journalist Mat Honan darüber, wie es ihm bei Apple und Amazon ergangen ist. Hackern war es gelungen, in die Kundenbetreuungsprogramme beider Unternehmen einzudringen. Mit dem Resultat, dass sie schließlich auch seine Accounts bei Google und Twitter manipulierten und alle seine persönlichen und beruflichen Daten verloren waren. Seine Accounts wurden stattdessen dafür benutzt, Schadprogramme über den Äther in alle Welt zu versenden.
- Checkliste für sicheres Cloud Computing
Anwender, die Leistungen von einem externen Cloud-Provider beziehen, bleiben für den Schutz von übertragenen Daten stets haftbar. Sie sollten daher entsprechende Vorsorge treffen. Einige Tipps dazu finden Sie auf den folgenden Seiten. - Tipp 1:
Unerlässlich für jeden Cloud-Anwender ist es, einen Vertrag über Auftragsdatenverarbeitung gemäß Paragraph 11 des Bundesdatenschutzgesetzes abzuschließen. - Tipp 2:
Der Cloud-Provider muss angemessene technische und organisatorische Maßnahmen vorweisen können, um die Daten vor unbefugten Zugriffen zu schützen. Gegebenenfalls sollten sich Kunden Zertifikaten unabhängiger Zertifizierungsstellen vorlegen lassen (etwa EuroPriSe, das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz aus Schleswig-Holstein). - Tipp 3:
Die Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer sollte immer verschlüsselt sein. - Tipp 4:
Die Cloud-Lösung benötigt zwingend verbindlich und verlässliche Authentizierungsmechanismen und -richtlinien. - Tipp 5:
Die Partner müssen den Umfang der Datenverarbeitung und den Datenverarbeitungszweck festlegen. - Tipp 6:
Für Kunden ist es immens wichtig, dass Sie schon zum Start des Services auch ein mögliches Ende im Blick haben. Sie sollten daher Ausstiegsszenarien prüfen. - Tipp 7:
Werden Cloud-Anbieter oder Unterauftragnehmer mit Sitz in unsicheren Drittstaaten mit dem Betrieb des Cloud-Service betraut, sollten sich Anwender mit ausreichenden Garantien absichern. Dafür eignen sich beispielsweise die von der EU-Kommission verabschiedeten Standardvertragsklauseln. - Tipp 8:
Ein Blick auf die Beteiligungsverhältnisse eines Cloud-Anbieters verschafft oft eine gute Übersicht über das geschäftliche Umfeld des Partners.