Switch Makro DV KONTOR Koenigsfeld 100x15

  • Home
  • News
  • Cloudcomputing - kennen Sie die Risiken?

Cloudcomputing - kennen Sie die Risiken?

Unternehmen lagern ihre Daten aus wirtschaftlichen und praktischen Gründen zunehmend in die Cloud aus. Gleichzeitig häufen sich negative Meldungen über Cyberattacken, Datenlecks oder Zugriffe durch Geheimdienste. In diesem Beitrag zeigen wir Risiken auf und geben Empfehlungen zu Datenschutz und Datensicherheit.

 

Was ist das - Cloudcomputing?

Beim Cloudcomputing werden Speicherplatz und Anwendungssoftware vom Cloudanbieter im Internet als Dienstleistung angeboten. Unternehmen müssen kein eigenes Rechenzentrum für Ihre Daten betreiben, sondern können benötigte Kapazitäten und Dienstleistungen des Anbieters in Anspruch nehmen.
Bekannte (Public) Cloudanbieter sind beispielsweise Google Cloud, Microsoft Azure, Amazon Web Service, Salesforce und weitere.

Wo sind die Risiken?

In den Medien findet man zum Thema Datenschutz und Datensicherheit in der Cloud viele brisante Beiträge, da namhafte Anbieter in die Schlagzeilen geraten sind.
Zum Beispiel ist Dropbox durch den Verlust von Passwörtern aufgefallen und bei der Telekom-Cloud waren private Daten anderer Kunden frei verfügbar.
Auch Clouds, die über Tage nicht erreichbar sind ein Risiko. Vorfälle sind bekannt.
Auch die Infrastruktur kann hier ein Problem sein. Ausfälle von Internetanbindungen führen unweigerlich zum Nichterreichen der Cloud. Durch die Konzentration der Netzbetreiber auf wenige große zentrale Netzpunkte wird künftig die Anzahl temporärer Ausfälle zunehmen.
Cloudanbieter stehen mit im Fokus von Hackern und leider steigert das Hacken eines namhaften Cloudanbieters das Ansehen in der Hackerszene.
Ein weiteres Risiko besteht in der Preisgabe von Unternehmenswerten. Dies können Kundendaten oder abgelegte Dokumente sein.
So ist z.B. Amazon in Verdacht, mit den Daten aus Amazon Shops der Kunden eigene Vertriebswege zu generieren, wobei hierfür der Beweis nur schwer zu erbringen ist.

Einen Überblick über die möglichen Risiken bei der Nutzung eines Clouddienstes sollten Sie sich machen, bevor Sie diese weitreichende Entscheidung treffen:
Diese sind im speziellen:

  • Datenverlust
  • Datenmanipulation / Filterung
  • Zugriff auf die Daten sowohl durch Cloudanbieter, Geheimdienste oder Dritte
  • Identitätsdiebstahl
  • Missbrauch von Accounts
  • Vorübergehende Nichtverfügbarkeit des Clouddienstes und damit Nichtverfügbarkeit der Daten

Mit welchen Maßnahmen der Cloud Anbieter diese Risiken absichert, muss durch den Cloudnutzer geprüft werden. Die Broschüre „Sichere Nutzung von Cloud Diensten (pdf)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gibt hier eine Hilfestellung.


Anforderungen an den Cloud Anbieter

Neben den technischen Vorkehrungen müssen auch einige rechtliche Aspekte geprüft werden. Aus datenschutzrechtlicher Sicht sollten Sie auf folgende Punkte achten:


Auftragsdatenverarbeitung

Die verantwortliche Stelle nach dem Bundesdatenschutzgesetz (§ 3 Abs. 7 BDSG) im Cloudcomputing bleibt der Cloudnutzer. Er ist daher weiterhin für die Sicherheit der Daten verantwortlich. Der Cloudnutzer muss mit dem Cloudanbieter einen Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG schließen. Dabei ist nach den Aufsichtsbehörden den allgemeinen Bedingungen des § 11 BDSG auf folgende Punkte speziell einzugehen:

  • Beauftragte Subunternehmer müssen grundsätzlich benannt werden können.
  • Der Cloudnutzer muss einsehen können, ob der Anbieter den Subauftragnehmer ebenso entsprechend § 11 Abs. 2 BDSG verpflichtet.
  • Der Cloudnutzer muss seine Kontrollrechte wahrnehmen können.
  • Möglichkeit eines Anbieterwechsels und Datenportabilität
  • Eigentum an den Daten
  • Löschung der Daten nach Auftragsbeendigung

Datenübermittlung ins Ausland

Viele Cloudanbieter speicheren die Daten außerhalb des EU/ EWR Raumes. Eine Rechtsgrundlage für die Datenübermittlung ist notwendig. Außerdem muss ein adäquates Datenschutzniveau vorhanden sein. Die Cloudanbieter müssen dem Privacy Shield zertifiziert sein.
EU-Standardvertragsklauseln sollten hierzu abschließend geprüft werden. Von den Aufsichtsbehörden wir der Abschluss einer ADV-Vereinbarung (Auftragsdatenverarbeitungs-Vereinbarung) für erforderlich erachtet.
Nach dem Safe-Harbor ist es unklar, ob Privacy Shield und EU-Standardvertragsklausel weiterhin Bestand zweckmäßig sind. Hieraus entsteht das Problem, dass ein zusätzlicher ADV-Vertrag nicht mit jedem Anbieter verhandelbar sein wird.
Die einzige Lösung für dieses Problem ist die Möglichkeit, Cloudanbieter mit Rechenzentren in der EU/ EWR zu wählen. Hier ist besonders darauf zu achten das der Cloudanbieter keine Daten an Mutterkonzerne in das nicht EU-Ausland überträgt und dies vertraglich garantiert.

Fazit:

Cloudlösungen bieten Unternehmen einige Vorteile und sind fester Bestandteil der IT-Infrastrukturen. Und sollen auch nicht wegdiskutiert werden.
Doch hier Ist es nicht damit getan, eine Cloud ohne sorgfältiges Abwägen und Hinterfragen einzubinden.
Vielmehr muss man prüfen, wo die übermittelten Daten gespeichert werden und wer welche Recht an den Daten hat. Das bloße Akzeptieren der AGB’s von Cloudanbietern reicht nicht aus und wird spätesten ab Mai 2018 mit der DSGVO (Datenschutz Grundverordnung) zu einem wiederkehrenden Problem, das durch mögliche Bußgelder existenzbedrohend werden kann.

Mögliche Alternativen sind Kryptographie in der Cloud oder die Verwendung von eigenen Cloudsystemen (z.B. Owncloud).

Sprechen Sie uns an.
Wir helfen gerne dabei, eine für Sie optimale Lösung der Datenhaltung zu finden.

 

Ihr DV-Kontor Team 

DV-KONTOR KÖNIGSFELD GmbH & Co. KG
Burgstraße 31
35444 Biebertal
fon  +49 (0) 6409-80180
fax  +49 (0) 6409-80181
www.dvkontor.de

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

2011 avira 2012 AEG 2012 Solution Partner gold 2012 Cursor intel NSI xpoint  

Logo DV Kontor Koenigsfeld