Ein Gastbeitrag von Gerd Schramm, <data>S Datenschutz und Informationssicherheit, Ulm
Es ist ja heutzutage scheinbar recht einfach, die Kosten für Soft- und Hardware relativ gering zu halten. Insbesondere für Gründer bedeutet die Reduktion der Kosten in Bezug auf Speicherkapazität, Server oder dedizierte Software ein gewisses Aufatmen. Gerne werden deshalb die Dienste aus der Cloud in Anspruch genommen.
Dabei unterscheidet man zwischen
- der Auslagerung kompletter Hardware Landschaften (Infrastruktur, „infrastructure as a service“ oder kurz: IaaS, wie beispielsweise Dropbox),
- der Auslagerung von Software und Anwendungen (Software, „software as a service“ oder kurz: SaaS, wie beispielsweise Microsoft Produkt Office 365)
- und der Auslagerung einzelner Dienste (Services, „platform as a service“ oder kurz: PaaS) wie z.B. der Betrieb eines Webserver mit Onlineshop oder MySpace.
In diesen Fällen werden Ihre Daten auf Computersystemen verarbeitet, die ihren Standort überall auf der Welt (!) haben können. Selbstverständlich gelten für diese Plattformen und die dort gespeicherten und zu verarbeitenden Daten besondere Vorschriften, doch gesetzliche Regelungen wie beispielsweise das US Patriot Act ermöglichen US-Behörden Handlungsspielräume, die mit unseren Datenschutzbestimmungen in Deutschland nicht vereinbar sind. Auch ihre, auf europäischem Boden gespeicherten Cloud-Daten, sind da nicht vor dem US-Zugriff sicher.
Die Bestimmungen des Patriot Acts erlauben US-Behörden wie dem FBI, der NSA oder der CIA ohne richterliche Anordnung den Zugriff auf die Server von US-Unternehmen, deren Tochterunternehmen oder angeschlossenen Unternehmen auch außerhalb der USA.
Auch, wenn Sie jetzt vielleicht sagen „Na, und; ich habe nichts zu verheimlichen“, so bedeutet doch grundsätzlich die Cloud-Nutzung für sensible Unternehmensdaten, dass auch diese vor Hackern nicht gefeit sind oder sein können. Gerade via Internetverbindung und Password ist so mancher Datenklau für die Werbeindustrie, Betrüger, Wettbewerb und den verschiedensten Staaten hoch interessant und durchaus lukrativ. Außerdem tragen Sie die Verantwortung für die Daten Ihrer Kunden und Lieferanten und haften hierfür.
Was ist zu tun? Wie können Sie die Cloud-Funktionen nutzen und noch ein gewisses Maß an Sicherheit wahren?
- Überlegen Sie sich genau, welche Cloud-Funktionen Sie nutzen wollen und welche sensiblen Daten Sie damit in die Hände Dritter legen (könnten).
- Denken Sie daran, dass Sie für Cloud-Computing jederzeit eine Internetverbindung zur Verfügung haben müssen. Kein Internet – keine Arbeit möglich.
- Klassifizieren Sie Ihre Information nach Sensibilität
- Setzen Sie adäquate Verschlüsselungsmechanismen ein
- Wenn möglich, wählen Sie einen deutschen oder europäischen Cloud-Dienstleister und lassen Sie sich zusichern, dass Daten nicht außerhalb der EU gespeichert werden.
- Legen Sie grundsätzlich bei Ihrer online-Kommunikation ein gewisses Maß an Zurückhaltung an den Tag. Weniger von sich preisgeben bedeutet mehr Privatsphäre.
- Nutzen Sie Verschlüsselungsverfahren nicht nur zur Datenablage sondern auch zum Datenaustausch bspw. per E-Mail
Zum Abschluss ein Bild. Cloudcomputing (cloud: engl. Wolke) wird uns verkauft als ein wunderbarer Sommertag mit einzelnen Schönwetter-Wolken. Wer einmal in den Bergen war, der weiß wie schnell das Wetter umschlagen kann und wie man sich fühlt, wenn man sich in einer Wolke orientieren muss und die Sichtweite gerade mal fünf Meter beträgt. So undurchsichtig und voller Überraschungen kann sich Cloudcomputing rechtlich und finanziell darstellen. Deshalb: Betreiben Sie eine objektive Risikoabschätzung.
Wir helfen Ihnen dabei gerne.
<data>S
Dipl.-Inf. (FH)
Gerd Schramm
Sonnenweg 3
89081 Ulm
Tel.: 0731 8023688
Fax: 0731 8023699
ed.m1732667253lu-S-1732667253atad@1732667253ofni1732667253http://www.data-S-ulm.de