top of page

Rund um die Cloud:Methoden & Anbieter für sichere Daten

Für die Nutzung von Clouddiensten gibt es eine Vielzahl von Gründen. Sicherlich ist hier an erster Stelle die Verfügbarkeit von Daten als auch die Einsparung von IT-Ressourcen innerhalb des Unternehmens zu nennen. Doch wie ist es um die Sicherheit der Daten bestellt? In unserem aktuellen Newsletter beschäftigen wir uns mit diesem Thema.


Cloud Computing – was ist das?

Cloud Computing beschreibt ein Modell, dass bei Bedarf zeitnah und mit wenig Aufwand Computerressourcen als Dienstleistung bereitstellt. Über das Internet besteht so die einfache Möglichkeit auf Server, Speicher, Datenbanken und weitere Anwendungsservices zuzugreifen. In den meisten Fällen wird eine IT-Infrastruktur angemietet, die an die individuellen Bedürfnisse des Unternehmens mit Speicher und Prozessorleistung angepasst wird oder man greift gleich auf passende Softwarelösungen zurück. Durch diese individuelle Zusammenstellung von Softwaren und weiteren Ressourcen, können Personalkosten, Kosten für die Beschaffung eigener IT-Systeme als auch Kosten für deren Unterhalt gesenkt werden, da diese Dienstleistungen in der Regel nach Anzahl der Nutzer abgerechnet wird. Hierbei wird nach den folgenden Modellen unterschieden:

  • Infrastructure as a Service (IaaS) ist ein Dienstleistungsmodell, bei dem Rechenressourcen von einem Cloud-Diensteanbieter bereitgestellt werden. Der Anbieter stellt somit also den Speicher, das Netzwerk, die Server und die Virtualisierung bereit, welche dann individuell gemietet werden kann.

  • Als Platform as a Service (PaaS) wird eine Dienstleistung bezeichnet, die es dem Entwickler ermöglicht, auf der angebotenen Infrastruktur mittels Schnittstellen eigene Programme zu entwickeln und auszuführen. Der Entwickler kann hierbei lediglich selbst eingebrachte Programme und Daten selbst kontrollieren.

  • Software as a Service (SaaS) ist ein Softwarelizenzierungs- und Bereitstellungsmodell. Hierbei wird Software auf Abonnementbasis lizenziert und zentral gehostet. In den meisten Fällen ist nur ein internetgängiges Gerät und ein Internetbrowser nötig. Somit kann kostengünstige Hardware im Unternehmen verwendet werden und gleichzeitig profitiert man doch von der vollen Rechnerpower und Speicherkapazität des Rechenzentrums.

Beispiel

Ein Unternehmen sucht für ihr Customer Relations Management (CRM) eine Cloud-Lösung, um die Serverkapazitäten anderweitig nutzen zu können. Die Wahl fällt auf einen Dienstleister, welcher eine CRM-Anwendung im Web inkl. Datenbankverwaltung anbietet. Um diese Cloud-Lösung nutzen zu können, wird ein Dienstleistungsvertrag mit dem Software-Anbieter zu einem monatlichem Festpreis abgeschlossen. Die Höhe dieses Abschlags richtet sich meist nach der Anzahl der Nutzer für diesen Service.

Da der gewählte Software-Anbieter (Software as a Service (SaaS)) keine eigenen Server betreibt, liegen die in der Cloud gespeicherten Daten auf einem Server innerhalb eines Rechenzentrums eines weiteren Dienstleisters (Infrastructure as a Service (IaaS)), welcher auf Serverhosting spezialisiert ist. Anschließend werden die für diesen Service benötigten Kundendaten in der Cloud-Lösung gespeichert, wo ausschließlich die Nutzer des Unternehmens Zugriff darauf haben.


Vor- und Nachteile von Cloud Computing

Der größte Vorteil ist vermutlich, dass kleinere Unternehmen keine hohen Investition für teure IT- Systeme tätigen müssen, sondern sie sich etablierten Lösungen bedienen können. Beispielsweise können die kleinen Unternehmen sich durch die Vielzahl von Cloud-Anwendungen flexibler auf neue Geschäftsprozesse und deren Möglichkeiten einstellen. Auch zur Risikominimierung im Sinne der Backuplösung werden sie immer häufiger eingesetzt. Von den meisten cloudbasierten Softwareanbietern werden zeitweise oder gar permanent kostenlose Versionen zur Verfügung gestellt. Es gibt jedoch auch Nachteile zu beachten, dass beispielsweise die hochgeladenen Daten nicht in dem unternehmenseigenen Serverraum liegen, sondern in einem zentralen Rechenzentrum, auf welches man nicht unmittelbar Zugriff nehmen kann. Aus datenschutzrechtlicher Sicht sollten daher Cloud- Anwendungen mit Vorsicht eingesetzt und der Anbieter bereits im Vorfeld sorgfältig überprüft werden. Um die bei dem Dienstleister getroffenen Maßnahmen ausreichend beurteilen zu können, sollten zum einen hohe Maßstäbe an die Sicherheit des Cloud-Dienstleisters gestellt und zum anderen frühzeitig ein Auftragsverarbeitungsvertrag geschlossen werden. Denn viele Cloud-Anbieter haben sowohl ihren Firmensitz als auch die eingesetzten Rechenzentren in einem Drittland, meist innerhalb der USA. Nur unter strengen Voraussetzungen ist die Übertragung von personenbezogene Daten in ein Drittland datenschutzkonform.


Verschlüsselungsmöglichkeiten innerhalb der Cloud

Bei der Verschlüsselung ist das wie und wann die Daten verschlüsselt werden von großer Bedeutung. Hier wird zwischen den folgenden Methoden unterschieden:

  • Bei der serverseitigen Verschlüsselung wird die E-Mail erst auf dem Mail-Server verschlüsselt. Hierfür ist der jeweilige Cloudanbieter zuständig. Das heißt, der Absender der Nachricht übergibt die E-Mail unverschlüsselt an den Server, wo diese dann erst verschlüsselt wird und somit für Dritte unlesbar ist.

  • Mit der clientseitigen Verschlüsselung sowie der ähnlichen „Ende-zu-Ende“-Verschlüsselung wird die Verschlüsselung direkt im Client-Browser durchgeführt. Dies geschieht bereits bevor die Daten übertragen oder in einem cloudbasierten Speicher abgelegt werden. Somit kann auch der Cloudanbieter selbst die gespeicherten Inhalte nicht einsehen.

  • Die Transportverschlüsselung verschlüsselt den Kanal, über den Mails ausgetauscht werden, nicht aber die Inhalte selbst. Diese Transportverschlüsselung wird automatisch über ein HTTPS-Protokoll abgewickelt. Damit soll bei der Übertragung der Daten in die Cloud verhindert werden, dass Daten für potenzielle Angreifer nicht lesbar sind.

Sicherheit der Daten in der Cloud?

Um sensible Daten in der Cloud zu schützen, können verschiedene Methoden zum Einsatz kommen. Diese sollen gewährleisten, dass die Inhalte nur von autorisierten Anwendern eingesehen und unbrauchbar für nicht autorisierte Benutzer gemacht werden können. Hierbei muss auf die sicherere Aufbewahrung des Schlüssels (Kryptografischer Schlüssel gemeint, ist eine Zeichenfolge, die in einem Verschlüsselungsalgorithmus verwendet wird, um Daten so zu ändern, dass sie zufällig erscheinen.) geachtet werden. Möglicherweise sollte zusätzlich noch eine Zwei- Faktor-Authentisierung eingeführt werden. Vorteilhaft ist hierbei, dass auch falls der erste Schlüssel verloren gehen sollte, der Zugang für potenzielle Angreifer durch den zweiten Faktor deutlich erschwert wird. Sollte der Cloudanbieter auch selbst Opfer eines erfolgreichen Angriffs werden, schützt die clientseitige Verschlüsselung vor unbefugtem Auslesen der Daten. Neben dem Schutz der gespeicherten Inhalte vor Bedrohungen von außen, sollte ebenfalls auf die Integrität der Daten geachtet werden. Hier sollten bereits im Vorfeld Vorsichtsmaßnahmen bei der Übertragung der Daten in oder aus der Cloud getroffen werden. Außerdem sollte sowohl bei dem Cloudanbieter als auch der der gewählten Cloudlösung darauf geachtet werden, dass dieser DSGVO- konform arbeitet. Beispielsweise muss hier dem Unternehmenssitz, dem Serverstandort und deren Sicherheitsstandards Aufmerksamkeit geschenkt werden. Allem voran sollte auf eine sichere Aufbewahrung des Schlüssels geachtet werden. Im besten Fall sind sogar mehrere Schlüssel vergeben. Es bleibt jedoch zu beachten, dass Cloudanbieter nie vollkommene Sicherheit garantieren können, denn die Übertragung und Verarbeitung personenbezogener Daten liegt ebenso in der Verantwortung des jeweiligen Anwenders.


Beispiele für „sichere“ Cloudanbieter

Im Folgenden haben wir beispielhaft einige Anbieter zusammengefasst, an welchem man sich bei der Auswahl eines Cloudanbieters orientieren kann:

  • Your Secure Cloud ist ein deutscher Cloud-Anbieter mit starkem Fokus auf Sicherheit. Es kommt sowohl eine Ende-zu-Ende-Verschlüsselung als auch deutsche Rechenzentren zum Einsatz.

  • pCloud hat zwar einen Schweizer Unternehmenssitz, ist aber dennoch DSGVO-konform. Sowohl die Lage der Rechenzentren als auch deren ISO-Zertifizierung kommen den Anwendern zugute.

  • STRATO HiDrive speichert Daten ebenfalls DSGVO-konform in Rechenzentren, die sich ausschließlich in Deutschland befinden und entsprechend ISO zertifiziert sind. Optional kann bei diesem Anbieter auch eine „Ende-zu-Ende“-Verschlüsselung sowie eine Zwei-Faktor- Authentifizierung aktiviert werden.

  • Bei Cryptomator handelt es sich um eine einfache Lösung zur Verschlüsselung von Daten in der Cloud. Die Verschlüsselung einzelner Dateien erfolgt dabei bevor diese in die Cloud gelangen. Cryptomator kann beispielsweise eine „Ende-zu-Ende“ ́-Verschlüsselung in Clouds wie OneDrive, SharePoint, Dropbox oder Google Drive vornehmen.

Verschlüsselung: Zwischen sicherer Verfügbarkeit und Datenverlust

Die Verwaltung der Schlüssel2 kann innerhalb eines Unternehmens aufwendig sein. Beispielsweise sollte bereits im Vorfeld Regelungen getroffen werden, welche Anforderungen sowohl an einen Schlüssel als auch an jeden Anwender selbst gestellt werden. Sonst könnte es unter Umständen dazukommen, dass sollte der festgelegte Schlüssel einmal verlegt werden, keinen Zugriff mehr auf die in der Cloud gespeicherten Daten haben, was im schlimmsten Fall zum Verlust der Daten führen kann.

Zusammenfassung:

Durch die Nutzung von Cloud Services können schnell und unproblematisch IT-Infrastrukturen an die unternehmensspezifischen Bedürfnisse angepasst werden. Die Flexibilität steht hier an erster Stelle. Hierbei gibt es viele Vorteile, welche für eine Nutzung von Cloud-Services sprechen, allerdings müssen auch einige Nachteile, wie beispielsweise der Unternehmenssitz des Dienstleisters und der Serverstandorte der gespeicherten Daten beachtet werden. Bereits im Vorfeld sollten daher die Aspekte der Datenverfügbarkeit und Integrität ausreichend beachtet werden. Auch die Schlüsselverwaltung ist ein wichtiger datenschutzrechtlicher Aspekt, auf der einen Seite sollte darauf geachtet werden, dass die Unternehmensdaten ausreichend geschützt werden, auf der anderen Seite jedoch auch jederzeit ein Zugriff möglich ist. Eine mehrschichtige Verschlüsselung sollte daher vorgenommen werden.

Gerne unterstützen wir Sie bei der Einführung von Cloud-Diensten und führen im Vorfeld für Sie die nötigen Überprüfungen durch. Sprechen Sie uns an!






Aktuelle Beiträge

Alle ansehen

Comments


bottom of page