6. Transparenz und Notification
Das Outsourcing von Dienstleistungen ist automatisch verbunden mit dem Insourcing von Risiko. Sollte sich beispielsweise ein Datenverlust ereignen, muss der professionelle Cloud-Anbieter sicherstellen, dass der Datenherr unverzüglich informiert wird. Auch das Reporting kritischer Ereignisse gehört zu den Obliegenheitspflichten des Processors. Im Idealfall verfügt das vom Processor gewählte Hosting-Center über Melderoutinen, die wenige Stunden nach Bekanntwerden eines Zwischenfalls automatisch Bericht erstatten.
- IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten. - RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen. - RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren. - Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen. - NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.
7. Datentrennung
In der Vergangenheit führte das Outsourcing von unverschlüsselten Payroll-Daten in die Cloud dazu, dass ein Unternehmen Einblick in die Gehaltsdaten eines anderen Unternehmens bekam. Das darf nicht sein. Oft reicht schon eine Falschverschiebung oder die Nicht-Einhaltung einer Berechtigungsvorgabe, um mehr zu sehen als zulässig. Die Trennungskontrolle gilt als die wichtigste Voraussetzung für sicheres Arbeiten in der Cloud.
8. Datenlöschung
Um die Voraussetzungen für eine funktionierende Trennungskontrolle zu schaffen, muss der Cloud-Anbieter über Löschungsroutinen verfügen, die sicherstellen, dass Speicherplätze nach Ablauf der Nutzung beziehungsweise nach Transfer der Daten an einen anderen Speicherort (mit Copy und Paste) gereinigt werden und keine Restdaten an diesem Ort verbleiben. In jüngster Vergangenheit häuften sich Berichte zu Datenvorfällen, bei denen genau diese Voraussetzungen nicht erfüllt wurden. Beispielsweise stießen neue Nutzer bei der Ablage ihrer Daten in der Cloud auf Urlaubsfotos von Vorbesitzern. In einer Profi-Cloud darf so etwas nicht passieren. Hier wird der Anwender nach der Löschungsroutine mit einer Löschquittung über den Abschluss des Löschvorgangs seiner gespeicherten Daten informiert.
9. Dokumentation
Wenn ein Datenherr einen Vertrag mit einem Cloud-Anbieter schließt, geht er davon aus, dass sich bestimmte Sachverhalte in bestimmter Art und Weise ereignen. Beispielsweise möchte er wissen, wo die Daten seines Unternehmens vorgehalten werden. Ebenfalls von Interesse ist, ob eventuell Datensätze in der Cloud von einem Speicherplatz auf einen anderen verschoben werden, wenn Speicherkapazitäten erschöpft sind und neuer Speicher benötigt wird.
Sowohl die operationellen Abläufe und etwaige Änderungen in der Sphäre des Datenherrn als auch in der Sphäre des Processors sind daher bereits im Vorfeld detailliert zu beschreiben. Dazu zählt auch der Nachweis eines aktiven Meldeverfahrens auf Seiten des Cloud-Anbieters. Dieses bereitet nach wie vor vielen Lieferanten Probleme. Nach Erfüllung dieser Voraussetzungen steht einer ungetrübten Zusammenarbeit zwischen Datenherr und Processor nichts mehr im Wege. (rb)