Gute Planung ist die halbe Miete

10 Tipps für Datenschutz und Datensicherheit in der Cloud

| Autor / Redakteur: Florian van Keulen * / Florian Karlstetter

10 Tipps zur richtigen Cloudnutzung.
10 Tipps zur richtigen Cloudnutzung. (Bild: gemeinfrei / Pixabay / CC0)

Firmen zum Thema

Mehr als die Hälfte der Unternehmen in Deutschland setzt mittlerweile auf Speicherkapazitäten, Rechenleistung oder Software aus der Cloud. Vor allem der Mittelstand hat nachgezogen. Nichtsdestotrotz bleiben Sicherheitsbedenken weiterhin aktuell.

Fragen zur Sicherheit sind noch immer das größte Hemmnis, wenn es um den Einsatz von Cloud-Technologien geht. Zu diesen Ergebnissen kommt der Cloud Monitor 2016, eine Studie von Bitkom Research im Auftrag von KPMG.

Datensicherheit und Datenschutz gehen beim Umstieg in die Cloud über rein technische Maßnahmen, wie Backup und Sicherstellung der Verfügbarkeit, weit hinaus.

Vor allem eine gute Planung sowie eine sorgfältige Bewertung der verschiedenen Service-Provider im Vorfeld bereiten eine gute Ausgangslage für die sichere Migration in die Cloud. Florian van Keulen, Principal Consultant Cloud & Security beim IT-Dienstleister Trivadis hat die zehn wichtigsten Tipps für Datenschutz und Datensicherheit in der Cloud zusammengestellt:

1. Vorüberlegungen anstellen

Es gibt unterschiedliche Beweggründe, in die Cloud zu gehen. Um das sicher bewerkstelligen zu können, sind grundlegende Vorüberlegungen essentiell. Ein Unternehmen sollte sich also bereits im Vorfeld darüber im Klaren sein, was es in der Cloud betreiben möchte. Meistens geht es um zwei mögliche Szenarien, für die sich wiederum unterschiedliche Folgeüberlegungen anschließen. Handelt es sich um eine Modernisierung oder Auslagerung bestehender Systeme, muss man sich diese genau anschauen, denn ein 1:1-Umzug der IT in die Cloud ist meistens wenig sinnvoll: Sind die Systeme und Anwendungen Cloud-fähig? Bestehen Abhängigkeiten zu anderen Anwendungen oder Systemen? Welche Applikationen müssen neu entwickelt werden? Im zweiten Szenario soll ein neuer Service, Geschäftsprozess oder eine neue Funktionalität für das Unternehmen in der Cloud eingeführt werden. Um das sicher aufsetzen zu können, ist es wichtig, den Business Case dahinter zu kennen und die Sicherheitsgrundsatzfragen Schritt für Schritt zu durchleuchten.

2. Compliance und gesetzliche Anforderungen beachten

Gerade wenn die IT-Systeme in der Cloud betrieben werden, ist es enorm wichtig zu wissen, welche Richtlinien einzuhalten sind. Unter Compliance versteht man die Einhaltung von unternehmensinternen, gesetzlichen und vertraglichen Regelungen sowie Industrie- und Branchenauflagen. Unternehmensrichtlinien könnten zum Beispiel untersagen, dass bestimmte Daten im Ausland vorgehalten und verarbeitet werden. Gesetzliche Anforderungen betreffen vor allem den Datenschutz. Hier gilt es zu bedenken, dass 2018 eine neue EU-Datenschutzgrundverordnung in Kraft tritt. Bei neuen Projekten sollten diese Regelungen bereits jetzt mit einbezogen werden. Auch bestehende Verträge müssen natürlich berücksichtigt werden. UnterUmständen dürfen Daten eines Kunden das Unternehmen oder die EU nicht verlassen. Außerdem gibt es auch Branchenauflagen, wie im Finanzbereich PCI DSS oder im Gesundheitswesen HIPAA.

3. Daten kategorisieren

Die Datenkategorisierung ist ein essentielles Werkzeug, wenn es um Datenschutz und Datensicherheit geht. Dazu muss man wissen, welche Daten in der Cloud verarbeitet werden sollen und ob diese gewissen Compliance-Anforderungen unterliegen. Für sensible Personendaten gelten beispielsweise strenge Datenschutzregelungen, sie müssen dementsprechend besonders geschützt werden. Anhand der durchgängigen Kategorisierung können dann pro Datentyp entschieden werden, ob und wie diese in der Cloud verarbeitet werden oder geschützt werden müssen, und Folgemaßnahmen, wie Datenverschlüsselung oder lokale Speicherung On-Premise, definiert werden.

Der Autor: Florian van Keulen, Trivadis Sicherheitsbeauftragter mit über 15 Jahren IT-Erfahrung.
Der Autor: Florian van Keulen, Trivadis Sicherheitsbeauftragter mit über 15 Jahren IT-Erfahrung. (Bild: Trivadis)

4. Provider mit Bedacht auswählen

Beim Cloud Computing vertraut man sich und seine Daten dem Provider an. Bevor sich ein Unternehmen also für einen Cloud Provider und diesen Vertrauenszuspruch entscheidet, sollte es verschiedene elementare Fragen und Anforderungen abklopfen: Bietet der Provider die erforderlichen Funktionen für die Sicherheit? Wie werden die Daten gesichert? Welchen Policies und Regelungen hat sich der Provider verpflichtet? Wo hat er seine Datencenter? Bezieht er Subunternehmer oder andere Provider mit ein? Welche Garantien, SLA-Leistungen und Schadensersatzansprüche bietet er? Wie stark ist der Provider am Markt? Besteht vielleicht die Gefahr, dass es das Unternehmen irgendwann nicht mehr gibt? Können Daten und Informationen jederzeit wieder extrahiert und gegebenenfalls der Provider gewechselt werden?

5. Zertifizierungen und Gütesiegel prüfen

Wie heißt es so schön, Vertrauen ist gut, Kontrolle ist besser. Um sich von der Qualität, der Sicherheit und den Prozessen des Providers zu überzeugen, sollten Zertifizierungen und Gütesiegel herangezogen werden. Sie schaffen Transparenz. Wichtige Zertifizierungen im Bezug auf Sicherheit und Service-Management sind zum Beispiel:

  • ISO27001, definiert Anforderungen an die Bereitstellung und den Betrieb eines Informationssicherheit-Management-Systems.
  • ISO270018, reguliert die Verarbeitung von personenbezogenen Daten in der Cloud.
  • ISO 20000, Gradmesser für die Qualität des IT-Service-Managements
  • SOC 2 Typ 2, Outsourcing-Standard, prüft Kriterien zu Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz.
  • Datenschutzzertifizierung, wird erst mit der EU-Datenschutzgrundverordnung eingeführt.

Allerdings sollte man hier genau hinschauen, auf welche Leistungen sich die jeweilige Zertifizierung bezieht.

6. Vertrag analysieren

Die Verträge der meisten Cloud Provider sind inzwischen standardisiert. Je größer ein Provider ist, desto weniger individuelle Gestaltungsmöglichkeit bieten die Verträge. Umso wichtiger ist es, zu prüfen, ob die Verträge die Anforderungen und Compliance-Richtlinien des Unternehmens entsprechen. Und es lohnt sich immer, über die wichtigen Punkte zu verhandeln:

  • Es muss definiert sein, wer der Eigentümer der Daten ist. Das Recht an den Daten muss beim Auftraggeber bleiben.
  • Idealerweise sollte der Gerichtsstand im eigenen Land liegen.
  • Es muss definiert sein, wo genau die Daten gespeichert und verarbeitet werden.
  • Bei einer Datenverarbeitung in den USA gilt zu beachten, dass die Safe-Harbour-Entscheidung seit Oktober 2015 ungültig ist. Die Regelung des Datenschutzes sollte auf Privacy Shield oder Standardvertragsklauseln basieren. Eine Rechtsberatung ist bei diesen Themen anzuraten.
  • Die Schadensersatzansprüche sollten so definiert sein, dass sie im Schadensfall ausreichend kompensieren.

7. Wichtigkeit des Identity- und Access-Managements (IAM) erkennen

In der Cloud greifen die klassischen Sicherheitsperimeter nicht mehr vollumfänglich, um den Zugriff auf Unternehmensdaten zu abzusichern. Es muss also ein durchgängiges Identity- und Access-Management (IAM) etabliert werden, das Vertraulichkeit, Datenintegrität sowie die Compliance sicherstellt. Durch Authentifizierung wird die Identität eines aus dem Internet kommenden Nutzers, sei es ein Mitarbeiter, Partner oder Kunde, zweifelsfrei festgestellt, um dann gezielt den Zugriff erteilen zu können. Anzuraten ist eine 2-Faktor-Authentifizierung, mindestens für das Cloud Management. Damit für einen Mitarbeiter innerhalb des Firmennetzwerkes und in der Cloud nicht mehrere Identitäten gepflegt werden müssen, empfiehlt sich ein zentralisiertes Identity Management mit Federation-Services. Dafür haben sich die Protokolle SAML, OAuth, Open ID Connect oder so genannte Claim-based Authentifizierungen etabliert, bei denen die Rollen oder Berechtigungen zur Autorisierung in der Authentifizierung mitgegeben werden. Einige Cloud Provider haben Identity as a Service inzwischen auch im Angebot, so lässt sich ein modernes Identity Management realisieren ohne eigene Infrastruktur bereitzustellen.

8. Immer verschlüsseln und anonymisieren, wenn möglich

Neben dem Identity- und Access-Management stellt die Verschlüsselung der Daten den wohl wichtigsten technischen Sicherheitsmechanismus dar. Ein Cloud Provider, der keine Verschlüsselung anbietet, sollte den Auftrag nicht bekommen. Zumindest die Data-at-Rest- für gespeicherte Daten und die Data-in-Motion-Verschlüsselung während der Datenübertragung sollten Standard sein. Auf Basis der vorher erfolgten Betrachtung der Compliance und der Definition der Datenkategorien müssen an dieser Stelle die Entscheidungen zur Verschlüsselung getroffen werden. Wie und zu welchem Zeitpunkt muss die Verschlüsselung vorgenommen werden? Können einzelne Objekte separat verschlüsselt werden? Bei besonders schützenswerten Daten oder dort, wo Compliance-Anforderungen eine Cloud-Verarbeitung nicht zulassen, kann eine lokale, On-Premise-Verschlüsselung Abhilfe schaffen. Aber: dies hat immer auch Einschränkungen der Cloud-basierten Verarbeitung zur Folge, zum Beispiel bei der Suche. Hier sollte gut zwischen Funktionalität und Schutz abgewogen werden. Im Datenschutz-Umfeld kann unter Umständen die Anonymisierung eine bessere Alternative sein. Anonymisierung hilft dabei, die Sensibilität der Daten zu minimieren. Von dieser Möglichkeit sollte man immer dann Gebrauch machen, wenn es möglich ist. Durch Anonymisierung können die Anforderungen des Datenschutzes erheblich minimiert werden und für statistische Auswertungen ist oftmals der Bezug zu einer identifizierbaren Person nicht nötig.

9. Backup, Archive und Verfügbarkeiten nicht vernachlässigen

Eine 99,9-prozentige Verfügbarkeit des Services und der Daten macht eine eigene Backup-Strategie nicht überflüssig. Wichtig ist es auch an dieser Stelle wieder, die eigenen Anforderungen genau zu definieren und dann zu überprüfen, ob die vom Cloud Provider auch umgesetzt werden. Das gilt vor allem für die Punkte Recovery Time Objective (RTO) und Recovery Point Objective (RPO). RTO definiert, wie lange ein System ausfallen darf, und RPO, die Menge an Daten, die höchstens verloren gehen dürfen. Es ist dringend anzuraten, sich nicht einfach blind auf den Cloud-Provider zu verlassen, zumal zum Beispiel Veränderungen, Manipulationen oder versehentliches Löschen der Daten durch den User nicht in der Verantwortung des Providers liegen. Hier stellt sich die Frage nach einer eigenen Kopie. Das kann auch für den Katastrophenfall oder, wenn der Provider insolvent geht, relevant sein. Daran schließen sich aber sofort die Fragen an, wo die Backups gespeichert werden −On-Premise oder in einer anderen Cloud – und wie lange der Restore eines Backups dauert? Auch sollte man auf die Archivierung einige Gedanken verschwenden. Hier müssen die Zugriffe geregelt oder beschränkt werden, denn die Compliance-Anforderungen gelten oftmals auch für das Archiv.

10. Protokollieren, Überwachen und auf Audits vorbereitet sein

Durch die Beauftragung eines Cloud Providers, delegiert ein Unternehmen die meisten der Protokoll- und Monitoring-Aufgaben. Jedoch sollten die wiederum überwacht werden. Schadensersatzansprüche beispielweise können nur geltend gemacht werden, wenn Ausfälle nachgewiesen werden. Zudem sollte ein Unternehmen wissen, wenn sein Dienst nicht zur Verfügung steht. Dazu bedarf es eines zuverlässigen Monitorings. Überwacht man die Systeme in Echtzeit, können gleichzeitig auch Fremdzugriffe und fehlerhafte Authentifizierungsversuche aufgedeckt und Gegenmaßnahmen eingeleitet werden. Für die Audits, die im Zuge einer Zertifizierung stattfinden, kann es nötig sein, bestimmte Faktoren zu protokollieren, zum Beispiel lückenlose Zugriffe, auch durch den Provider. Diese muss man kennen und die Protokollierung beim Provider in Auftrag geben. Die Speicherung der Logs sind auch ein wichtiger Aspekt, gegebenenfalls sollte man diese sogar lokal halten.

Fazit

Gute Planung ist die halbe Miete. Durch grundlegende Vorüberlegungen, genaue Analysen der Ist- und der Sollwerte sowie das Abklopfen der Bedürfnisse können rechtliche Fallstricke gezielt umgangen werden und der richtige Dienstleister ausgewählt werden. Gepaart mit den technischen Vorkehrungen kann ein Unternehmen beruhigt seinen sicheren Weg in die Cloud antreten.

Dieser Beitrag erschien zunächst auf unserem Partnerportal CloudComputing-Insider

* Florian van Keulen ist Principal Consultant, Business Development & Support, Cloud & Security, Trivadis AG

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44229795 / Internet of Things)