Sicherheit und Datenschutz bei Cloud Diensten

Cloud Security & Cloud-Computing-Sicherheit [Leitfaden 2021]

Definition: Was ist Cloud-Security?

Dank Cloud-Computing lagern Unternehmen zum einen Anwendungen, Daten und IT-Infrastrukturen aus und sparen damit Ressourcen sowie Kosten. Zum anderen profitieren sie von Anwendungsplattformen und vielfältigen Cloud-Services. Meist sind diese öffentlich zugänglich oder werden von mehreren Usern genutzt, sodass durch eine Cloud-Nutzung auch die Sicherheitsrisiken steigen.

Cloud Security wird im allgemeinen wie folgt definiert: Cloud-Sicherheit oder Cloud-Security bezieht sich auf eine breite Palette von Richtlinien, Technologien, Anwendungen und Steuerelementen, die zum Schutz virtualisierter IP-Adressen, Daten, Anwendungen, Diensten und der zugehörigen Infrastruktur von Cloud-Computing verwendet werden. Es ist eine Unterdomäne der Computersicherheit, der Netzwerksicherheit und allgemein der Informationssicherheit.

Cloud-Sicherheit steht im Fokus

Mittlerweile scheint sich der Nutzen von Cloud Computing gegen alle Sicherheitsbedenken durchgesetzt zu haben. Allerdings haben die

Cloud-Provider auch eine Menge dafür getan, den Security-Level ihrer virtuellen Anwendungen in der Wolke anzuheben. Sie haben es sogar geschafft, dass ihre Services gerade wegen der höheren Sicherheit genutzt werden. De facto nehmen andererseits Vorfälle hinsichtlich der Sicherheit bei Cloud-Angeboten zu, was aber aus der Tatsache resultiert, dass inzwischen immer mehr Unternehmen die Cloud nutzen.

Clouds in Deutschland fast flächendeckend im Einsatz

Auch wenn es in Deutschland mit der Cloud bis vor kurzem gefühlt nur schrittweise voranging – seit einiger Zeit scheint der Damm gebrochen: Laut der Studie „Cloud Security 2019“ von IDG Research Services verwenden, planen oder prüfen eine Nutzung von Cloud-Services fast 92 Prozent der deutschen Unternehmen. Dabei ist die Private Cloud mit 61 Prozent besonders beliebt. Public Clouds folgen mit 45 Prozent an zweiter Stelle, Hybrid Clouds sind zu 32 Prozent im Einsatz, Community Clouds und Multi-Clouds liegen bei 20 Prozent. Die Wahl des Bezugsmodells hängt vom Sicherheitsempfinden ab: So erhält die Private Cloud eine 2,4. Multi-Clouds eine 2,7 und Community Clouds eine 2,8. Bei der Entscheidungsfindung spielt der Preis eine kleinere Rolle als die Sicherheit.

Clouds sind stark von Cyber-Angriffe bedroht

Auch wenn die Unternehmen Cloud-Services im Großen und Ganzen trauen, hat fast die Hälfte (47 Prozent) Cyber-Angriffe erlebt. Zwölf Prozent sind sich nicht sicher, ob eine Online-Attacke auf ihre Cloud-Dienste stattgefunden hat. Kein Wunder, dass Cloud-Security in Bezug auf die

Cloud-Nutzung eine große Bedeutung zukommt. Es gibt auf dem Gebiet noch eine Menge zu tun! Dabei setzen die Unternehmen auf traditionelle Sicherheitsstrategien wie Verschlüsselung, Firewall und lokale Backups.

Größtes Risiko bei Public und Hybrid Cloud

Insbesondere die Public Cloud und die Hybrid Cloud nehmen in Zusammenhang mit Cloud-Security einen wichtigen Stellenwert ein, da sie öffentlich zugänglich sind. Vor allem die Anforderungen an den Datenschutz lassen sich nicht so konsequent und kontrollierbar umsetzen wie in eigenen Infrastrukturen. Wie zum Beispiel können Sie garantieren, dass der Cloud-Provider die Personendaten wirklich hundertprozentig löscht? Sie als Dateneigentümer können die entsprechenden Informationen nicht lokalisieren. Sie können sich noch nicht einmal nach der Kündigung eines Cloud-Services sicher sein, dass alle Daten komplett gelöscht wurden. Bei virtuellem Webspace ohne eigenem physikalischen Server kommt eine mangelnde Trennung von Kundenanwendungen hinzu. Die Gefahr des unerlaubten Zugriffs durch Dritte erhöht sich.

Was ist Cloud-Sicherheit?

Warum Cloud-Sicherheit?

Cloud Computing-Ressourcen sind verteilt und stark voneinander abhängig. Daher reicht ein herkömmlicher Sicherheitsansatz (mit Schwerpunkt auf Firewalls und der Absicherung des Netzwerkperimeters) nicht mehr aus. Beim Cloud Computing werden gemeinsame Ressourcen dynamisch genutzt. Storage-, Netzwerk- und Computing-Ressourcen werden automatisch nach Bedarf bereitgestellt. Darüber hinaus werden Cloud-Umgebungen zunehmend vernetzt, was die Aufrechterhaltung eines sicheren Perimeters erschwert. Diese verminderte Abschottung hat zwar viele positive Aspekte, kann aber auch das Sicherheitsrisiko erhöhen, indem sich die potenzielle Angriffsfläche vergrößert. Mit optimalen Cloud-Sicherheitsplänen profitieren Unternehmen von den Vorteilen des Cloud Computing und minimieren gleichzeitig die Risiken.

Überlegungen zur Cloud-Sicherheit

Neben diesen Bedenken schafft Cloud Computing eine Reihe weiterer einzigartiger Sicherheitsprobleme. Es ist schwieriger, Anwender zu identifizieren, wenn ständig virtuelle Maschinen hochgefahren und Adressen und Ports dynamisch zugewiesen werden. Darüber hinaus bedeuten mandantenfähige Umgebungen in Public Cloud-Umgebungen, dass sich die Daten eines Unternehmens den Speicherplatz mit den Daten anderer Organisationen teilen. Daher ist es wichtig, dass Public Cloud-Anbieter die einzelnen Mandanten voneinander trennen.

Vorteile von Cloud-Sicherheit

Cloud-Sicherheit bietet eine Vielzahl von Vorteilen, u.a.:

Schutz vor Angriffen: Ein Hauptzweck von Cloud-Sicherheit ist die Verteidigung von Unternehmen gegen Hacker und Distributed Denial of Service(DDoS)-Angriffe.

Ein Hauptzweck von Cloud-Sicherheit ist die Verteidigung von Unternehmen gegen Hacker und Distributed Denial of Service(DDoS)-Angriffe. Datensicherheit: Robuste Cloud-Sicherheit schützt auch sensible Daten mit Vorkehrungen wie Verschlüsselung, damit Informationen nicht in falsche Hände geraten.

Robuste Cloud-Sicherheit schützt auch sensible Daten mit Vorkehrungen wie Verschlüsselung, damit Informationen nicht in falsche Hände geraten. Verbesserte Verfügbarkeit: Viele Cloud-Sicherheitsservices bieten Live-Überwachung und -Support, wodurch die Verfügbarkeit verbessert und Sicherheitsbedenken beseitigt werden.

Viele Cloud-Sicherheitsservices bieten Live-Überwachung und -Support, wodurch die Verfügbarkeit verbessert und Sicherheitsbedenken beseitigt werden. Erhöhte Zuverlässigkeit: Ein durchdachter Cloud-Sicherheitsansatz beinhaltet integrierte Redundanz für höhere Zuverlässigkeit.

Ein durchdachter Cloud-Sicherheitsansatz beinhaltet integrierte Redundanz für höhere Zuverlässigkeit. Einhaltung regulatorischer Auflagen: Es kann schwierig sein sicherzustellen, dass eine komplexe Cloud-Architektur die regulatorischen Auflagen der Branche erfüllt. Cloud-Anbieter helfen bei der Einhaltung von Vorschriften, indem sie Sicherheit und Unterstützung bieten.

Wie funktioniert Cloud-Sicherheit?

Cloud-Sicherheit umfasst eine breite Palette von Tools und Praktiken, sodass es keine einheitliche Erklärung für ihre Funktionsweise gibt. Die wichtigste Funktion der Cloud-Sicherheit besteht darin, nur autorisierten Anwendern den Zugriff auf die in der Cloud gespeicherten Daten zu gewähren. Unternehmen setzen eine Reihe von Tools und Strategien ein, um dies zu erreichen, darunter:

Mikrosegmentierung : Diese Sicherheitstechnik unterteilt das Rechenzentrum bis hinunter zur einzelnen Workload-Ebene in verschiedene Sicherheitssegmente. Dadurch kann die IT flexible Sicherheitsrichtlinien festlegen, die den möglichen Schaden durch Angreifer minimieren.

Diese Sicherheitstechnik unterteilt das Rechenzentrum bis hinunter zur einzelnen Workload-Ebene in verschiedene Sicherheitssegmente. Dadurch kann die IT flexible Sicherheitsrichtlinien festlegen, die den möglichen Schaden durch Angreifer minimieren. Firewalls der nächsten Generation: Eine Firewall der nächsten Generation ist intelligenter und effektiver als eine herkömmliche Firewall, da sie anwendungsorientierte Filter verwendet, um fortgeschrittene Bedrohungen fernzuhalten.

Eine Firewall der nächsten Generation ist intelligenter und effektiver als eine herkömmliche Firewall, da sie anwendungsorientierte Filter verwendet, um fortgeschrittene Bedrohungen fernzuhalten. Verschlüsselung von Daten: Bei diesem Verfahren werden Daten so verschlüsselt, dass zum Entschlüsseln ein Schlüssel benötigt wird, sodass die Daten nicht in falsche Hände geraten.

Bei diesem Verfahren werden Daten so verschlüsselt, dass zum Entschlüsseln ein Schlüssel benötigt wird, sodass die Daten nicht in falsche Hände geraten. Threat Intelligence, Überwachung und Prävention: Diese Funktionen scannen den gesamten Datenverkehr, um Malware und andere Bedrohungen zu identifizieren und zu blockieren.

Best Practices für Cloud-Sicherheit

Zusätzlich zu diesen Technologien können Unternehmen noch mehr tun, um die Cloud-Sicherheit zu gewährleisten. Unternehmen sollten

wissen, für welche Aspekte der Cloud-Sicherheit sie verantwortlich sind, anstatt davon auszugehen, dass sich der Cloud-Anbieter um alles kümmern wird,

Transparenz der Cloud-Architektur im gesamten Unternehmen sicherstellen,

die Cloud-Architektur genau kennen, um Sicherheitslücken aufgrund von falscher Konfiguration zu vermeiden,

nicht genutzte Ports deaktivieren und unnötige Prozesse und Instanzen entfernen, da diese Schwachstellen sein können.

Die Verantwortung für die Cloud-Sicherheit wird zwischen Cloud-Anbietern (die eine Reihe von Sicherheitstools und -services anbieten) und dem Unternehmen, dem die Daten gehören, geteilt. Es gibt auch viele Lösungen von Drittanbietern mit zusätzlichen Sicherheits- und Überwachungsfunktionen.

Warum ist die Cloud sicherer als Legacy-Systeme?

Es ist ein weit verbreiteter Irrtum, dass die Cloud nicht so sicher ist wie On-Premises-Legacy-Systeme. Schließlich haben Unternehmen, die Daten On-Premises speichern, die Kontrolle über deren Sicherheit. Die meisten Unternehmen verfügen jedoch nicht über die Ressourcen und das Fachwissen wie die großen Public Cloud-Anbieter, um die Cloud sicherer zu gestalten. Die Cloud wird von Experten betrieben. Das bringt zahlreiche Vorteile mit sich:

Physischer Schutz für Rechenzentren wie Zäune, Wachen und Sicherheitskameras

für Rechenzentren wie Zäune, Wachen und Sicherheitskameras Modernste Cloud-Sicherheitstechnologie , z.B. Mikrosegmentierung und KI-gesteuerte Erkennung und Reaktion

, z.B. Mikrosegmentierung und KI-gesteuerte Erkennung und Reaktion Das kombinierte technische Fachwissen ganzer Teams, die sich dem Schutz der Daten widmen

Datenschutzverstöße in der Cloud haben in den letzten Jahren immer wieder für Schlagzeilen gesorgt. In der überwiegenden Mehrheit der Fälle waren diese Verstöße jedoch auf menschliches Versagen zurückzuführen. Daher ist es für Unternehmen wichtig, einen proaktiven Ansatz zum Schutz der Daten zu verfolgen, anstatt davon auszugehen, dass sich der Cloud-Anbieter um alles kümmert. Eine Cloud-Infrastruktur ist komplex und dynamisch und erfordert einen robusten Cloud-Sicherheitsansatz.

Sicherheit und Datenschutz bei Cloud Diensten

Sicherheit und Datenschutz bei Cloud Diensten Allgemein 1 Comment

Ich bin überzeugt, dass Sie sich schon mal eine der folgenden Fragen gestellt haben:

Wie sicher ist die Cloud?

Wie sieht es aus mit Datenschutz und Datensicherheit in der Cloud?

Welche Risiken gibt es beim Einsatz von Cloud?

Darf man im Unternehmen überhaupt Cloud Computing nutzen?

Gibt es Cloud Anbieter, die die DSGVO Anforderungen umsetzen?

…

Diese Liste lässt sich individuell noch beliebig erweitern. Mit diesen und ähnlichen Fragen werden auch unsere Kunden immer wieder konfrontiert. Daraus sollte eigentlich resultieren, dass man sich als Unternehmen bei der Auswahl von Cloud Anbietern ein paar Gedanken macht.

Auf Gedanken zur sicheren Anwendung von Cloud Computing, die Auswahl eines Cloud Anbieters und vor allem auf die Risiken von Cloud Diensten möchte ich in diesem Beitrag eingehen.

Auf den Punkt gebracht: Sicherheit und Datenschutz bei Cloud Computing

Sicherheit und Datenschutz bei Cloud DienstenSicherheit und Datenschutz bei Cloud Diensten Gehen Sie strukturiert bei der Auswahl eines Dienstleister vor und definieren Sie vor der Auswahl Zweck der Datenverarbeitung und die Datenarten.

Analysieren Sie die Risiken aller drei Gruppen: Compliance Risiken, Risiken beim Dienstleister und Risiken im eigenen Unternehmen.

Webinar zum Thema Datenschutz bei Cloud Anbietern

In einem Webinar zeigen wir Ihnen ausführlich, wie wir bei der Auswahl von Cloud Anbietern vorgehen. Da wir einen risikobasierten Ansatz wählen, zeigen wir Ihnen auch wie genauwir die Risiken bei Cloud Anbietern analysieren.

Was bedeutet Cloud?

Haben Sie sich eigentlich schon mal gefragt, was man überhaupt genau unter dem Begriff Cloud versteht? Bevor wir ins Detail gehen, möchte ich hierzu ein paar Sätze los werden. Der erfahrende Leser kann diesen Punkt gern überspringen.

Die „Wolke“ als Symbol für das Internet. Sie verbindet Menschen auf digitalen Wegen, aber auch Geräte mit Menschen und Geräte mit anderen Geräten.

Was ist Cloud oder Cloud Computing?

Was bedeutet Cloud eigentlich? Für die meisten ist die „Cloud“ oder „Cloud Computing“ eine große Wolke, in der wir unsere Daten speichern. Das ist aber nur ein Aspekt von Cloud Services.

Ganz einfach gesagt wird bei Cloud Computing ein IT-Service über das Internet zur Verfügung gestellt. Das können z.B. folgende Services sein:

Online-Speicherplatz, also das was bei vielen unter der Cloud verstanden wird

Anwendungen, z.B. Online-Übersetzer, Online-Grafikbearbeitung, Online-Buchhaltung oder Steuersoftware…

Infrastruktur-Services, also ganze Server, die durch Dritte betrieben werden (z.B. Linux- oder Windows-Server die anstatt im eigenen Rechenzentrum im Serverraum des Cloud Anbieters stehen, die man aber fast so administriert, als stünden sie im Serverraum im eigenen Unternehmen)

Warum spricht man von der Cloud / Wolke?

Letztendlich ist es ein Abstraktionsmodell, welches wir uns bildlich vorstellen können. Die Cloud symbolisiert das Internet oder Teile davon. Ein Wölkchen ist halt schöner darzustellen als eine Menge an Kabeln, Geräten und Servern. Was anderes steckt aber nicht dahinter.

Interne vs. externe Cloud

Das bringt uns auch zum nächsten Punkt. Auch ein Unternehmen kann einen eigenen Cloud Dienst für seine Mitarbeiter und Kunden zur Verfügung stellen. In diesem Fall wird der Dienst auf einer eigenen (oder gemieteten) Infrastruktur des Unternehmens zur Verfügung gestellt. Der Service ist in der Regel über das öffentliche Internet erreichbar. Die Zugangs- und Zugriffsbeschränkungen können zum Beispiel aber höher sein, als bei öffentlichen Cloud Diensten.

Welche Eigenschaften machen einen Cloud Dienst aus?

Merkmale des Cloud Computings

Wie erkennt man, ob es sich um einen Cloud Service handelt? Die folgende Liste ist nicht abschließend. Es werden einige Merkmale aufgezeigt, die auf einen Cloud Anbieter schließen lassen.

Auftragsverarbeiter

Wenn Sie als Unternehmen Cloud Computing eines externen Anbieters nutzen, ist dies in der Regel immer eine Tätigkeit des Auftragnehmers im Auftrag. Sie unterliegt damit der Auftragsverarbeitung.

Weltweiter Zugriff

Bei Software as a Service (Dienst / Anwendung über das Internet) haben Sie den (in der Regel) funktionsfähigen Dienst immer im Zugriff. Der Standort (örtlich) von dem Sie auf den Dienst zugreifen, ist nicht eingeschränkt (Ausnahmen bestätigen auch hier die Regel).

Immer auf dem aktuellen Stand

Ein großer Vorteil in der Verwendung von Cloud Computing ist die Aktualität des Service. Nicht jeder Endbenutzer muss ein Update auf seinem Rechner durchführen. Die Updates werden zentral durchgeführt und stehen dadurch allen Anwender zur Verfügung.

Funktionell kann sich daher im Rahmen der Lizenzvereinbarung jederzeit etwas ändern.

Eine Infrastruktur für mehrere Kunden

Bei den Cloud Services teilen sich mehrere Kunden meist eine Infrastruktur. Die Daten sollten allerdings im Idealfall voneinander getrennt sein. Je nach Daten und Service gibt es dazu unterschiedliche Schutzkonzepte.

Datentypen bei Cloud Services

Wenn wir kritisch über die Cloud sprechen, denken wir meistens an die Daten, die wir darin (oder darauf?) speichern. Es sind aber nicht nur diese Nutzdaten, die wir betrachten müssen.

Welche Daten und Datentypen müssen bei Cloud Services beachtet werden?

Nutzdaten , also die eigentlichen Daten, die uns inhaltlich wichtig sind

, also die eigentlichen Daten, die uns inhaltlich wichtig sind Userdaten von berechtigten Nutzern (Anwender, Administratoren, Key User…)

von berechtigten Nutzern (Anwender, Administratoren, Key User…) Technische Überwachungsdaten für den Betrieb des Services ( Logfiles )

für den Betrieb des Services ( ) Diagnosedaten – je nach Diensteanbieter, um Nutzungsverhalten festzustellen und daraus auch evtl. Angriffe ableiten zu können.

Was sind die Vorteile von Cloud Computing?

Was macht Cloud Services so erfolgreich? Die Vorteile überwiegen.

Experten Know-How für Cloud Dienste

Wenn ein Service Provider einen Online-Dienst (z.B. Online-Dateispeicher) anbietet, dann ist das sein Kerngeschäft. Darin hat er Experten Know-How. Der Anbieter kann den Service definitiv besser und in der Regel auch kostengünstiger anbieten, als ein Unternehmen wie Sie und wir, dessen Kerngeschäft ein ganz anderes ist.

Dieses Argument ist vor allem für Einzelunternehmer und KMUs interessant, die nicht ein großes mehrköpfiges Team an internen IT-Experten beschäftigen können.

Cloud Security – Verfügbarkeit und Sicherheit

Dieser Punkt zielt letztendlich auch auf die tiefen Kenntnisse des Service Providers ab. Die Verfügbarkeit von Cloud Diensten ist in der Regel höher, als bei einem internen Dienst.

Im Interesse des Providers ist es, eine extrem hohe zeitliche Verfügbarkeit der Dienste anzubieten. Die Ausfallsicherheit gewährleistet wird, dass aktuelle Security Lücken beobachtet und geschlossen werden. Darum braucht sich der Anwender nicht kümmern.

Grenzenloser Zugriff

Ein besonders großer Vorteil der Dienste aus der Wolke ist die Ortsunabhängigkeit.

Risiken bei der Nutzung von Cloud Computing

Als Verantwortlicher für Datenschutz, IT oder das gesamte Unternehmen sind Sie immer verpflichtet, einen Blick auf die Risiken zu haben. Daher möchte ich auch diesen Teil etwas ausführlicher behandeln.

Die Risiken lassen sich in drei Kategorien unterteilen. Der rechtliche oder vertragliche Teil und dann die Risiken beim Anbieter, aber auch die Risiken im anwendenden Unternehmen.

Die Risiken beim Einsatz von Cloud Services lassen sich in drei Gruppen klassifizieren:

Compliance Risiken

Compliance Risiken sollten ganz am Anfang der Anbieterauswahl betrachtet werden. Hier wird geprüft, ob der verwendete Cloud Dienst gegen ein gültiges Gesetz im Land verstößt. Betrachtet werden müssen aber vertragliche Regelungen, die z.B. mit einem Kunden geschlossen wurden.

Bei uns in der EU ist hier natürlich die DSGVO ein wesentliches Kriterium, welches Sie betrachten müssen. Erfüllt der Service die Anforderungen des Datenschutzes (mehr Details im Kapitel weiter unten im Text)?

Unabhängig vom Datenschutz können Sie als Unternehmen aber auch vertraglich gezwungen sein, nur Dienste zu verwenden, die eine bestimmte Zertifizierung oder einen anderen Qualitäts- oder Sicherheits-Nachweis erfüllen. Sei es eine ISO-Norm, ein TISAX® Label oder eine Freigabe für die Nutzung im medizinischen Umfeld (z.B. HIPAA, FDA…).

Risiken beim Service Provider

Sicherheitslücken beim Service Provider gefährden die Verfügbarkeit, Vertraulichkeit oder Integrität des gesamten Dienstes.

Ein schlampig organisiertes Unternehmen beim Service Provider ohne Regelungen ist für die Sicherheit des Cloud Dienstes ist ebenso kritisch, wie das Fehlen technischer Sicherheitsmechanismen.

Der Anbieter führt ein Update des Dienstes durch und stellt damit neue Features zur Verfügung. Ein mögliches Risiko? Mit dem Update ist der Cloud Service vielleicht gar nicht mehr datenschutzkonform. Eventuell kann der Dienst auch erst nach individueller Anpassung die Datenschutzanforderungen erfüllen.

Ein oben genanntes Merkmal bei Software as a Service Diensten ist die Infrastruktur, die von allen Kunden genutzt wird. Mandatentrennung wird nicht immer angeboten oder in unterschiedlichen Weisen umgesetzt. Um das Risiko des unrechtmäßigen Zugriffs von anderen Kunden zu unterbinden, muss in irgendeiner Weise die Mandantentrennung sichergestellt werden.

Risiken beim Einsatz eines Cloud Services im Unternehmen

Aus meiner Sicht liegen die größten Risiken beim Einsatz von Cloud Diensten nicht in den externen Faktoren (wie man es gerne darstellt), sondern – wie so oft – intern.

Die sicherste Cloud gewährt Ihren Daten keine Sicherheit, wenn der Zugang dazu für Hinz und Kunz offensteht. Das bedeutet natürlich auch, dass Sie interne Regelungen und Konfigurationen aufstellen und umsetzen müssen, die dieses Risiko minimieren.

Wenn Sie ein ISMS, also ein Managementsystem für Informationssicherheit etabliert haben, sind Sie mit dem Prozess der Risikoanalyse vertraut. Aber selbst wenn Sie keinen internen Prozess für die Erfassung der Risiken haben, sollten Sie sich einfach Gedanken machen, was denn so „schief gehen kann“.

Haben plötzlich Personen Zugriff auf die Daten, die vorher keine Berechtigung hatten?

Kann die Datensicherung gewährleistet werden (sofern dies in der Verantwortung des Unternehmens liegt)?

Sind ausreichend fachliche Key-User und ggf. Administratoren vorhanden, um den Betrieb des Cloud Dienstes zu gewährleisten?

Sind die User geschult und verwenden den Dienst zweckgemäß? Daraus resultieren in der Praxis viele Risiken. Ein nicht gesperrter PC, ein weitergegebenes Passwort der Assistenz der Geschäftsleitung etc. richten oft mehr Schaden an, als ein fehlender Security-Patch im System.

Die Risikoanalyse ist auch kein statischer Prozess, der nur einmal durchgeführt wird. Die Risiken müssen nach den aktuellen Gegebenheiten immer wieder evaluiert werden. Neue Funktionen im System, geänderte Prozesse im Unternehmen, all das kann zu Sicherheitsrisiken bei der Nutzung von Cloud Computing Anwendungen führen.

Wie das im Detail aussehen kann, zeigen wir Ihnen ausführlich in unserem Webinar zum Thema Cloud Anbieter und Security.

Wie sieht es mit Cloud Datenschutz aus?

Ist es überhaupt möglich, einen Cloud Service als Unternehmen datenschutzfreundlich zu nutzen?

Um diese Frage zu beantworten, müssen, wie oben bereits beschrieben, die drei Risikogruppen betrachtet werden. Grundsätzlich ist eine datenschutzfreundliche Nutzung von Cloud Computing Angeboten möglich. Dazu müssen mindestens folgende Faktoren erfüllt werden:

Der eigentliche Geschäftszweck, den Sie mit dem Cloud Service umsetzen möchten, ist datenschutzkonform und Sie haben eine gültige Rechtsgrundlage nach Art. 6 (1) DSGVO.

Sie haben das Verfahren VOR der Auswahl mit Ihrem Datenschutzbeauftragten besprochen und diese/r hat keine Risiken identifiziert.

Privacy by design wird beim Service berücksichtig. Das heißt, grundsätzliche Funktionalitäten des Dienstes entsprechen den Anforderungen des Datenschutzes.

Der Anbieter erfüllt die Anforderungen des Datenschutzes und weist dies im Idealfall mit einem Zertifikat nach.

Ein Auftragsverarbeitungsvertrag wird zur Verfügung gestellt.

Privacy by default setzt die Grundeinstellungen des Systems auf einen hohen Datenschutz. Die weitere individuelle Konfiguration erfolgt zweckkonform (Zweck im Sinne der Datenverarbeitung – siehe Verfahrensverzeichnis). Zu berücksichtigen sind unter anderem zum Beispiel: Verschlüsselte Übertragung Verschlüsselte Speicherung (Mehrstufiger) Login Berechtigungen im Zugriff …

Der Administrator des Systems hat die Möglichkeit das System weiter zu konfigurieren, um Anforderungen des Datenschutzes einzustellen.

Nutzung von Diensten amerikanischer Cloud Anbieter

Ist es nach dem Wegfall des EU-US Privacy Shields überhaupt noch möglich einen amerikanischen Cloud Service zu nutzen?

Schwierig! Wir empfehlen hier den Blick ins Detail. Reine US-Anbieter sehen wir aufgrund der aktuellen Rechtslage kritisch. Durch amerikanische Gesetze wie den Patriot Act oder den Cloud Act, hat die Regierung der USA im Rahmen der Strafverfolgung die Möglichkeit auf Daten der Nutzer zuzugreifen. Der daraus resultierende Zugriff ist nicht im Einklang mit unseren Datenschutzgesetzen.

Wie sieht es aus, wenn der Vertragspartner ein europäisches Unternehmen ist, dieses aber einem US-Konzern unterstellt ist?

Dann ist der Blick ins Detail wichtig. Agiert das europäische Unternehmen so eigenständig, dass es den amerikanischen Gesetzen nicht mehr unterliegt?

Wie geht es mit Anfragen, die aus dem Cloud Act resultieren, um?

Liegen die Daten auf Servern, die dem US-Konzern unterliegen oder dem europäischen Unternehmen? Welche Daten werden zwischen den Unternehmen transferiert?

Hier gibt es keine eindeutige Aussage. Hier ist nur ein sehr detaillierter Blick auf den Cloud Service möglich, um weitere Antworten zu erhalten.

Welche Möglichkeiten haben Sie, bei der Nutzung von Cloud Diensten, die durch US Anbieter bzw. deren europäische Töchter angeboten werden?

Pokern und Services (weiter) nutzen ist natürlich nicht unsere Empfehlung (die letztendliche Entscheidung treffen natürlich Sie). Risiko komplett eliminieren und keine Services mehr nutzen, die Daten ggf. in die USA übermitteln – löblichen, wenn möglich umsetzen, in vielen Fällen aber unrealistisch. Risiken minimieren, dokumentieren, Interessen abwägen und (ggf. eingeschränkt) weiter nutzen – die aus unserer Sicht nach derzeitigem Stand sinnvollste Lösung

Mehr zur dritten Vorgehensweise zeigen wir Ihnen in unserem Webinar zu Cloud Services. Speziell gehen wir auf das Thema Office 365 ein und wie wir eine mögliche Nutzung einschätzen.

Was ist bei der Auswahl eines Cloud Anbieters zu beachten oder wie erhält man eine sichere Cloud?

Folgende Kriterien sind bei der Auswahl und dem Einsatz zu beachten:

Einsatzzweck des Cloud Services

Auswahl eines Diensteanbieter

Konfiguration (Datenschutz und IT-Sicherheit)

Nutzungsregelungen / betriebliche Mitbestimmung

Einsatzzweck und Daten definieren

Ich weiß doch schon, für welchen Zweck wir den Online-Service nutzen möchten. Wieso muss dieser nochmal definiert werden, fragen Sie sich vielleicht.

Das System oder den Service setzen Sie ja nicht nur zum Spaß ein. Sie möchten einen Geschäftszweck damit ermöglichen. Entweder einen bestehenden Prozess optimieren oder eine neue Anforderung umsetzen.

Legen Sie klar fest, welche Informationen und Prozesse durch den Cloud-Service abgebildet, verarbeitet und gespeichert werden und welche nicht. Nur wenn eindeutig geregelt ist, welche Daten Sie in welcher Weise (z.B. durch Workflows) verarbeiten möchten, können Sie auch im nächsten Schritt die Schutzmaßnahmen im Sinne des Datenschutzes und der IT-Sicherheit bestimmen.

Wenn Sie ein Managementsystem für Informationssicherheit implementiert haben, haben Sie sich auch mit den Fragen der Asset- und Datenklassifizierung beschäftigt. Damit ist klar definiert, wie hoch zu schützen die verarbeiteten Daten sind.

Interne Daten – Verhaltensdaten

Neben dem eigentlichen Zweck und den dabei anfallenden Daten, werden bei Cloud Diensten oder allgemein IT-Diensten auch immer Nutzungsdaten der Anwender anfallen. Je nach Umfang der Daten können diese Informationen auch für die Bewertung von Mitarbeitern genutzt werden. In den meisten Fällen ist dies aber zweckfremd.

Regeln Sie vorab – noch vor der Anbieterauswahl mit dem Betriebsrat (falls zutreffend), welche Daten zu Transparenzzwecken notwendig sind und welche nicht verarbeitet werden dürfen.

Auswahl eines Diensteanbieters

Technische Anforderungen

Im 1. Schritt haben Sie den Zweck und damit die Schutzstufe (Sicherheitsniveau) definiert. Damit legen Sie schon bestimmte Kriterien fest, die ein Cloud Anbieter erfüllen muss. Anhand der Schutzstufe der Daten ergeben sich Anforderungen an die IT-Sicherheit, die das System abbilden muss.

Erstellen Sie eine Liste mit den Schutzmechanismen, die der Anbieter haben muss oder sollte und welche optional sind. Damit haben Sie die Möglichkeit, eine Bewertungsmatrix zu erstellen.

Compliance Anforderungen

Ergänzen Sie die Matrix mit den Risiken aus der Compliance Bewertung der Anbieter. Wo ist der Sitz des Unternehmens, wer ist Vertragspartner. Wo (Land) werden die Daten verarbeitet. Werden die rechtlichen Aspekte eingehalten? Werden vertraglich vereinbarte Aspekte mit den Kunden eingehalten?

Bewerten Sie mit diesen und ähnlichen Fragen die Cloud Anbieter für Ihre Auswahl.

Konfiguration des Dienstes

Jetzt geht es ans Eingemachte. Der Dienst sollte trotz privacy by default und privacy by design Grundaspekte des Datenschutzes erfüllen. Trotz allem werden die in Ihrem speziellen Fall nicht ausreichen.

Daher ist es notwendig den Cloud Dienst so zu konfigurieren, dass Sie die Schutzstufe, die Sie anhand der Daten und des Zwecks definiert haben, umsetzen.

Dies erfordert in der Regel Kenntnisse über den Cloud Computing Dienst. Sie sollten daher einen oder mehrere Mitarbeiter oder ggf. externe Kollegen im Boot haben, die diesen Punkt für Sie vertrauenswürdig umsetzen.

Dies ist auch – aus der Erfahrung – ein Stolperstein, über den viele unabsichtlich fallen. Man nutzt ja einen Cloud Service. Warum benötige ich intern noch weiteres Know-How, um diesen zu konfigurieren. Genau hier liegen aber, wie oben genannt, die Risiken. Ein noch so sicherer Online Dienst, wird plötzlich Angriffsziel aufgrund fehlender oder unzureichender Konfiguration.

Nehmen Sie diesen Punkt bitte ernst und investieren Sie Ressourcen in eine sichere und datenschutzfreundliche Konfiguration.

Nutzungsregelungen definieren

Der Service läuft, der Cloud Dienst ist sicher konfiguriert, alles Bestens also. Leider vergisst man sehr häufig, dass neben der technischen Security auch noch die organisatorische Security zu beachten ist. Nicht alles kann man mit technischen Mitteln regeln.

Definieren Sie Verhaltensregeln und stellen Sie klar, wie das System durch die Anwender zu nutzen ist. Erstellen Sie Betriebsvereinbarungen oder Security Richtlinien und schulen Sie diese bei den Mitarbeitern.

Erst dann ist eine sichere Cloud-Nutzung gewährleistet!

FAQs zur sicheren Cloud Nutzung

Welche Risiken sind bei der Nutzung von Cloud Services zu beachten?

Die Risiken beim Einsatz von Cloud Services lassen sich in drei Gruppen klassifizieren:

Compliance Risiken

Risiken beim Service Provider

Risiken beim Einsatz im Unternehmen

Was muss bei der Auswahl eines Cloud Anbieters berücksichtigt werden?

Entspricht der Anbieter den gültigen Gesetzen im Land?

Ist er konform mit den vertraglichen Regelungen mit Kunden?

Wie erfolgt die Einführung eines Cloud Services im Unternehmen?

Definition des Zwecks und der Datenverarbeitung (was genau soll mit dem Cloud Service abgedeckt werden?)

Auswahl eines Anbieters (Berücksichtigung von Compliance Risiken, Risiken beim Anbieter)

Sichere Konfiguration des Dienstes durch eigenen Administrator oder externe Unterstützung

Festlegen von Nutzungsregeln und Arbeitsanweisungen und natürlich Schulung der Mitarbeiter auf den Dienst

Was muss eine sichere Cloud anbieten können?

An statischen Kriterien kann man das schwer fest machen. Sie sollten allerdings einige Faktoren auf jeden Fall prüfen:

Der Anbieter informiert transparenz über Securitymaßnahmen und Datenschutz (Privacy by design)

Es wird ein AV-Vertrag angeboten

Sie haben die Möglichkeit verschiedene Berechtigungen zu vergeben

Zwei Faktor-Authentifizierung steht zur Verfügung

Privacy by default sollte schon in der Grundkonfiguration datenschutzfreundliche Ausprägungen nachweisen

Der Anbieter erfüllt die gesetzlichen Anforderungen

Wie sieht es mit kostenlosen Cloud Services aus?

Bei kostenlosen Services ist ebenfalls vorsichtig geboten! Bei den meisten Anbietern wird in den AGBs darauf verwiesen, dass sich die kostenlose Version meist an die Endverbraucher richtet und nicht für geschäftliche Zwecke vorgesehen ist.

In vielen Fällen wird kein Auftragsverarbeitungsvertrag angeboten.

Webinar zum Thema Datenschutz und Sicherheit bei Cloud Anbietern

Mehr erfahren Sie in unserem Webinar zum Thema. Sie haben die Möglichkeit Ihre neuen Kenntnisse am Ende des Webinars mit einem Test zu bestätigen. Sie erhalten ein Zertifikat nach Bestehen des Tests.

Diesen Beitrag teilen