- 12. Apr. 2023
- 5 Min. Lesezeit

Rund um die Cloud:Methoden & Anbieter für sichere Daten

Für die Nutzung von Clouddiensten gibt es eine Vielzahl von Gründen. Sicherlich ist hier an erster Stelle die Verfügbarkeit von Daten als auch die Einsparung von IT-Ressourcen innerhalb des Unternehmens zu nennen. Doch wie ist es um die Sicherheit der Daten bestellt? In unserem aktuellen Newsletter beschäftigen wir uns mit diesem Thema.

Cloud Computing – was ist das?

Cloud Computing beschreibt ein Modell, dass bei Bedarf zeitnah und mit wenig Aufwand Computerressourcen als Dienstleistung bereitstellt. Über das Internet besteht so die einfache Möglichkeit auf Server, Speicher, Datenbanken und weitere Anwendungsservices zuzugreifen. In den meisten Fällen wird eine IT-Infrastruktur angemietet, die an die individuellen Bedürfnisse des Unternehmens mit Speicher und Prozessorleistung angepasst wird oder man greift gleich auf passende Softwarelösungen zurück. Durch diese individuelle Zusammenstellung von Softwaren und weiteren Ressourcen, können Personalkosten, Kosten für die Beschaffung eigener IT-Systeme als auch Kosten für deren Unterhalt gesenkt werden, da diese Dienstleistungen in der Regel nach Anzahl der Nutzer abgerechnet wird. Hierbei wird nach den folgenden Modellen unterschieden:

Infrastructure as a Service (IaaS) ist ein Dienstleistungsmodell, bei dem Rechenressourcen von einem Cloud-Diensteanbieter bereitgestellt werden. Der Anbieter stellt somit also den Speicher, das Netzwerk, die Server und die Virtualisierung bereit, welche dann individuell gemietet werden kann.
Als Platform as a Service (PaaS) wird eine Dienstleistung bezeichnet, die es dem Entwickler ermöglicht, auf der angebotenen Infrastruktur mittels Schnittstellen eigene Programme zu entwickeln und auszuführen. Der Entwickler kann hierbei lediglich selbst eingebrachte Programme und Daten selbst kontrollieren.
Software as a Service (SaaS) ist ein Softwarelizenzierungs- und Bereitstellungsmodell. Hierbei wird Software auf Abonnementbasis lizenziert und zentral gehostet. In den meisten Fällen ist nur ein internetgängiges Gerät und ein Internetbrowser nötig. Somit kann kostengünstige Hardware im Unternehmen verwendet werden und gleichzeitig profitiert man doch von der vollen Rechnerpower und Speicherkapazität des Rechenzentrums.

Beispiel

Ein Unternehmen sucht für ihr Customer Relations Management (CRM) eine Cloud-Lösung, um die Serverkapazitäten anderweitig nutzen zu können. Die Wahl fällt auf einen Dienstleister, welcher eine CRM-Anwendung im Web inkl. Datenbankverwaltung anbietet. Um diese Cloud-Lösung nutzen zu können, wird ein Dienstleistungsvertrag mit dem Software-Anbieter zu einem monatlichem Festpreis abgeschlossen. Die Höhe dieses Abschlags richtet sich meist nach der Anzahl der Nutzer für diesen Service.

Da der gewählte Software-Anbieter (Software as a Service (SaaS)) keine eigenen Server betreibt, liegen die in der Cloud gespeicherten Daten auf einem Server innerhalb eines Rechenzentrums eines weiteren Dienstleisters (Infrastructure as a Service (IaaS)), welcher auf Serverhosting spezialisiert ist. Anschließend werden die für diesen Service benötigten Kundendaten in der Cloud-Lösung gespeichert, wo ausschließlich die Nutzer des Unternehmens Zugriff darauf haben.

Vor- und Nachteile von Cloud Computing

Der größte Vorteil ist vermutlich, dass kleinere Unternehmen keine hohen Investition für teure IT- Systeme tätigen müssen, sondern sie sich etablierten Lösungen bedienen können. Beispielsweise können die kleinen Unternehmen sich durch die Vielzahl von Cloud-Anwendungen flexibler auf neue Geschäftsprozesse und deren Möglichkeiten einstellen. Auch zur Risikominimierung im Sinne der Backuplösung werden sie immer häufiger eingesetzt. Von den meisten cloudbasierten Softwareanbietern werden zeitweise oder gar permanent kostenlose Versionen zur Verfügung gestellt. Es gibt jedoch auch Nachteile zu beachten, dass beispielsweise die hochgeladenen Daten nicht in dem unternehmenseigenen Serverraum liegen, sondern in einem zentralen Rechenzentrum, auf welches man nicht unmittelbar Zugriff nehmen kann. Aus datenschutzrechtlicher Sicht sollten daher Cloud- Anwendungen mit Vorsicht eingesetzt und der Anbieter bereits im Vorfeld sorgfältig überprüft werden. Um die bei dem Dienstleister getroffenen Maßnahmen ausreichend beurteilen zu können, sollten zum einen hohe Maßstäbe an die Sicherheit des Cloud-Dienstleisters gestellt und zum anderen frühzeitig ein Auftragsverarbeitungsvertrag geschlossen werden. Denn viele Cloud-Anbieter haben sowohl ihren Firmensitz als auch die eingesetzten Rechenzentren in einem Drittland, meist innerhalb der USA. Nur unter strengen Voraussetzungen ist die Übertragung von personenbezogene Daten in ein Drittland datenschutzkonform.

Verschlüsselungsmöglichkeiten innerhalb der Cloud

Bei der Verschlüsselung ist das wie und wann die Daten verschlüsselt werden von großer Bedeutung. Hier wird zwischen den folgenden Methoden unterschieden:

Bei der serverseitigen Verschlüsselung wird die E-Mail erst auf dem Mail-Server verschlüsselt. Hierfür ist der jeweilige Cloudanbieter zuständig. Das heißt, der Absender der Nachricht übergibt die E-Mail unverschlüsselt an den Server, wo diese dann erst verschlüsselt wird und somit für Dritte unlesbar ist.
Mit der clientseitigen Verschlüsselung sowie der ähnlichen „Ende-zu-Ende“-Verschlüsselung wird die Verschlüsselung direkt im Client-Browser durchgeführt. Dies geschieht bereits bevor die Daten übertragen oder in einem cloudbasierten Speicher abgelegt werden. Somit kann auch der Cloudanbieter selbst die gespeicherten Inhalte nicht einsehen.
Die Transportverschlüsselung verschlüsselt den Kanal, über den Mails ausgetauscht werden, nicht aber die Inhalte selbst. Diese Transportverschlüsselung wird automatisch über ein HTTPS-Protokoll abgewickelt. Damit soll bei der Übertragung der Daten in die Cloud verhindert werden, dass Daten für potenzielle Angreifer nicht lesbar sind.

Sicherheit der Daten in der Cloud?

Um sensible Daten in der Cloud zu schützen, können verschiedene Methoden zum Einsatz kommen. Diese sollen gewährleisten, dass die Inhalte nur von autorisierten Anwendern eingesehen und unbrauchbar für nicht autorisierte Benutzer gemacht werden können. Hierbei muss auf die sicherere Aufbewahrung des Schlüssels (Kryptografischer Schlüssel gemeint, ist eine Zeichenfolge, die in einem Verschlüsselungsalgorithmus verwendet wird, um Daten so zu ändern, dass sie zufällig erscheinen.) geachtet werden. Möglicherweise sollte zusätzlich noch eine Zwei- Faktor-Authentisierung eingeführt werden. Vorteilhaft ist hierbei, dass auch falls der erste Schlüssel verloren gehen sollte, der Zugang für potenzielle Angreifer durch den zweiten Faktor deutlich erschwert wird. Sollte der Cloudanbieter auch selbst Opfer eines erfolgreichen Angriffs werden, schützt die clientseitige Verschlüsselung vor unbefugtem Auslesen der Daten. Neben dem Schutz der gespeicherten Inhalte vor Bedrohungen von außen, sollte ebenfalls auf die Integrität der Daten geachtet werden. Hier sollten bereits im Vorfeld Vorsichtsmaßnahmen bei der Übertragung der Daten in oder aus der Cloud getroffen werden. Außerdem sollte sowohl bei dem Cloudanbieter als auch der der gewählten Cloudlösung darauf geachtet werden, dass dieser DSGVO- konform arbeitet. Beispielsweise muss hier dem Unternehmenssitz, dem Serverstandort und deren Sicherheitsstandards Aufmerksamkeit geschenkt werden. Allem voran sollte auf eine sichere Aufbewahrung des Schlüssels geachtet werden. Im besten Fall sind sogar mehrere Schlüssel vergeben. Es bleibt jedoch zu beachten, dass Cloudanbieter nie vollkommene Sicherheit garantieren können, denn die Übertragung und Verarbeitung personenbezogener Daten liegt ebenso in der Verantwortung des jeweiligen Anwenders.

Beispiele für „sichere“ Cloudanbieter

Im Folgenden haben wir beispielhaft einige Anbieter zusammengefasst, an welchem man sich bei der Auswahl eines Cloudanbieters orientieren kann:

Your Secure Cloud ist ein deutscher Cloud-Anbieter mit starkem Fokus auf Sicherheit. Es kommt sowohl eine Ende-zu-Ende-Verschlüsselung als auch deutsche Rechenzentren zum Einsatz.
pCloud hat zwar einen Schweizer Unternehmenssitz, ist aber dennoch DSGVO-konform. Sowohl die Lage der Rechenzentren als auch deren ISO-Zertifizierung kommen den Anwendern zugute.
STRATO HiDrive speichert Daten ebenfalls DSGVO-konform in Rechenzentren, die sich ausschließlich in Deutschland befinden und entsprechend ISO zertifiziert sind. Optional kann bei diesem Anbieter auch eine „Ende-zu-Ende“-Verschlüsselung sowie eine Zwei-Faktor- Authentifizierung aktiviert werden.
Bei Cryptomator handelt es sich um eine einfache Lösung zur Verschlüsselung von Daten in der Cloud. Die Verschlüsselung einzelner Dateien erfolgt dabei bevor diese in die Cloud gelangen. Cryptomator kann beispielsweise eine „Ende-zu-Ende“ ́-Verschlüsselung in Clouds wie OneDrive, SharePoint, Dropbox oder Google Drive vornehmen.

Verschlüsselung: Zwischen sicherer Verfügbarkeit und Datenverlust

Die Verwaltung der Schlüssel2 kann innerhalb eines Unternehmens aufwendig sein. Beispielsweise sollte bereits im Vorfeld Regelungen getroffen werden, welche Anforderungen sowohl an einen Schlüssel als auch an jeden Anwender selbst gestellt werden. Sonst könnte es unter Umständen dazukommen, dass sollte der festgelegte Schlüssel einmal verlegt werden, keinen Zugriff mehr auf die in der Cloud gespeicherten Daten haben, was im schlimmsten Fall zum Verlust der Daten führen kann.

Zusammenfassung:

Durch die Nutzung von Cloud Services können schnell und unproblematisch IT-Infrastrukturen an die unternehmensspezifischen Bedürfnisse angepasst werden. Die Flexibilität steht hier an erster Stelle. Hierbei gibt es viele Vorteile, welche für eine Nutzung von Cloud-Services sprechen, allerdings müssen auch einige Nachteile, wie beispielsweise der Unternehmenssitz des Dienstleisters und der Serverstandorte der gespeicherten Daten beachtet werden. Bereits im Vorfeld sollten daher die Aspekte der Datenverfügbarkeit und Integrität ausreichend beachtet werden. Auch die Schlüsselverwaltung ist ein wichtiger datenschutzrechtlicher Aspekt, auf der einen Seite sollte darauf geachtet werden, dass die Unternehmensdaten ausreichend geschützt werden, auf der anderen Seite jedoch auch jederzeit ein Zugriff möglich ist. Eine mehrschichtige Verschlüsselung sollte daher vorgenommen werden.

Gerne unterstützen wir Sie bei der Einführung von Cloud-Diensten und führen im Vorfeld für Sie die nötigen Überprüfungen durch. Sprechen Sie uns an!