Menü
Ein Beitrag von Adacor

Datensicherheit stärken durch Cloud Hosting in Deutschland

PRISM und die NSA sind angesichts des jüngsten amerikanischen Spionageskandals in aller Munde und viele Unternehmen fragen sich, wie sicher ihre Daten in der Cloud heutzutage eigentlich sind. Vor allem, wenn es sich bewahrheiten sollte, dass der amerikanische Geheimdienst NSA auch aktiv Wirtschaftsspionage betreibt.
Immer im blickWas heißt das nun eigentlich konkret für Sie als Kunden? Im Folgenden möchte ich hierzu einige technische Hintergründe und rechtliche Aspekte beleuchten.

Datensicherheit nur bei Cloud-Diensten verletzt?

Zunächst einmal ist es wichtig, sich zu vergegenwärtigen, dass IT-Outsourcing generell gewissen Risiken unterliegt, denn in der Regel hat der Anbieter Zugriff auf die Daten seiner Kunden. Sei es, dass Ressourcen über eine Cloud, direkt dedizierte Server bei einem Hosting-Anbieter oder ein komplettes Outsourcing von Applikationen gebucht werden. Potenzieller Datenmissbrauch kann nicht auf ein rein technisches und cloudspezifisches Problem reduziert werden.

Datenmissbrauch steht immer auch im direkten Zusammenhang mit der Seriosität der einzelnen Hosting- bzw. Outsourcing-Anbieter. Deshalb ist es unverzichtbar, sich ausführlich über potenzielle Anbieter zu informieren und sich für einen 100-prozentig vertrauenswürdigen Anbieter zu entscheiden. Machen Sie hier keine Kompromisse! Achten Sie auf Transparenz und legen Sie z. B. Wert darauf, dass der Anbieter seine Maßnahmen zum Datenschutz durch einen unabhängigen Prüfer regelmäßig auditieren lässt.

Unser Video zu Datensicherheit und IT-Security

Schutz durch Verschlüsselung?

Bei reinen IaaS-Angeboten (IaaS = Infrastructure as a Service) hat der Kunde vollen Zugriff auf die Systeme. Dabei handelt es sich um Angebote, die eine Basisplattform bestehend aus virtuellen Servern, Storage, Netzwerk und Internetanbindung bereitstellen, auf denen Kunden ihre Applikationen installieren und komplett selber verwalten.

In dem Fall, dass Daten auf diesen Servern lediglich gelagert werden sollen, erscheint die Lösung vergleichsweise unkompliziert. Denn dann können Kunden ihre Daten einfach verschlüsselt und sorgenfrei auf den Servern eines beliebigen Anbieters ablegen. Durch die Verschlüsselung sind die Daten sicher und vor unberechtigten Zugriffen geschützt. Ganz anders stellt sich die Situation jedoch dar, wenn es auch um Datenverarbeitung geht. Hier nutzt die ursprüngliche Verschlüsselung der Daten wenig, denn um die Daten weiterverarbeiten zu können, müssen diese wieder entschlüsselt werden. Abermals rückt die Vertrauenswürdigkeit und Integrität eines Anbieters in den Fokus.

Bei anderen Cloud-Varianten managt der Anbieter auch die Systeme oder bietet direkt eine ganze Software als Dienst an, wie es z. B. soziale Netzwerke oftmals tun. In diesen Fällen hat der Kunde nicht mehr die Möglichkeit, seine Daten selber unabhängig vom Anbieter zu verschlüsseln.

Die Sicherheit der Daten hängt dann u. a. auch maßgeblich davon ab, welcher länderspezifischen Rechtsprechung der jeweilige Anbieter unterliegt und ob er – beispielsweise als amerikanisches Unternehmen – per Gesetz verpflichtet ist, staatlichen Institutionen der USA Zugriff auf die Daten zu gewähren.

Kritischer Punkt Datenschutz

Die Kernfrage, die sich meines Erachtens an dieser Stelle stellt, ist also, welche länderspezifischen Datenschutzgesetze für die einzelnen Cloud- oder Hosting-Anbieter gelten. Wie ist der Datenschutz beispielsweise für amerikanische Unternehmen mit Sitz in Deutschland geregelt? Welches Recht gilt dann? Bewegen wir uns hier in einer rechtlichen Grauzone zwischen deutscher und amerikanischer Rechtsprechung, die dem Datenmissbrauch wieder Haus und Tor öffnet? Es ist zu befürchten. Wünschenswert wäre allerdings, dass auch für solche Unternehmen allein das deutsche Datenschutzgesetz zu Grunde gelegt wird. Denn in diesem Fall darf der Anbieter Daten nur herausgeben, wenn eine richterliche Anordnung vorliegt. Ansonsten ist er dem Bundesdatenschutzgesetz (BDSG) verpflichtet und dieses regelt genau, welche Schutzmaßnahmen für die Verarbeitung und Speicherung von personenbezogenen Daten ergriffen werden müssen. Und zwar im Sinne der Personen, deren Daten verarbeitet werden sollen.

Angesichts der aktuellen Berichterstattung in den Medien kann jedoch leicht der Eindruck entstehen, dass bei vielen amerikanischen Anbietern eine direkte Kooperation mit den amerikanischen Geheimdiensten Usus ist und Daten regelmäßig zwischen diesen Parteien ausgetauscht werden. Deutsche Tochtergesellschaften des amerikanischen Unternehmens werden sich dann sicherlich gern auf den Standpunkt zurückziehen, dass sie selbst ja keine Daten weitergeben, sondern „lediglich“ die amerikanische Mutter.

Image

So werden Überraschungen im Projektverlauf fast zum Vergnügen!

Hier erfahren Sie, wie Sie Dank spezieller Hosting-Lösungen Kontrolle und Flexibilität perfekt kombinieren können.

Jetzt informieren


Ein weiterer wichtiger Baustein in Sachen Datenschutz in Deutschland ist die Verpflichtung des outsourcenden Unternehmens zu einer vertraglichen Vereinbarung über eine Auftragsdatenverarbeitung (ADV) mit seinem Dienstleister. Beauftragt ein Unternehmen einen Anbieter mit Datenverarbeitung ohne eine schriftliche Vereinbarung, welche die Maßnahmen zum Schutz der sensiblen Personendaten genau definiert und festlegt, begeht es eine bußgeldbelegte Ordnungswidrigkeit. Denn es ist per Gesetz dazu verpflichtet, die vertraglichen Voraussetzungen für den sicheren Umgang mit allen personenbezogenen Daten durch Dritte zu treffen.
Oft werden für diese Vereinbarung zunächst recht allgemeine Vorlagen herangezogen, die dann jedoch auf die jeweilige Situation und Bedürfnisse des Kunden angepasst werden sollten.

Bei einem deutschen Cloud-Anbieter, der sein Rechenzentrum in Deutschland unter deutschen Datenschutzgesetzen betreibt und mit dem eine Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen wurde, ist also davon auszugehen, dass die Daten nur von deutschen Sicherheitsbehörden nach richterlicher Anordnung eingesehen werden können.

Sichere Kommunikation nur durch Verschlüsselung?

Das gesamte Feld der Kommunikation bedarf in diesem Kontext noch mal einer gesonderten Betrachtung. Denn wenn Systeme unverschlüsselt über das Internet mit anderen Systemen oder Usern kommunizieren, lässt sich diese Kommunikation mitschneiden und auswerten. Verhindern ließe sich dies nur mit einer Verschlüsselung der Kommunikation. Dies gilt insbesondere für E-Mail oder Chats.

Eine Aufzeichnung von Metadaten, die zeigt, dass Kommunikation stattgefunden hat, lässt sich hingegen technisch so gut wie nicht verhindern. Zumal auch in Deutschland mit Ausnahme eines namhaften deutschen Großanbieters die wichtigsten Leitungsprovider amerikanische oder englische Unternehmen sind. Es lässt sich also schwerlich vermeiden, dass Verbindungsdaten mitgeschnitten werden und ggf. im Ausland verwertet werden. Selbst dann nicht, wenn die Verbindung verschlüsselt wird. Die einzige Möglichkeit wäre, die Verschleierung der IPs bei jeder Kommunikation. Für Unternehmen dürfte dies in der Praxis jedoch kaum umsetzbar sein.

All dies spricht für den Standort Deutschland! Für uns – die ADACOR Hosting GmbH – sind hier in Deutschland mit den hiesigen Datenschutzgesetzen und den uns zur Verfügung stehenden technischen Möglichkeiten rechtlich und formal die optimalen Voraussetzungen dafür gegeben, die Daten unserer Kunden bestmöglich gegen unbefugte Zugriffe schützen zu können.

, , , , ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!

Datenschutzhinweise


Weitere Artikel zum Thema lesen

Büro IT Firma

Biz & Trends

Kinder im Büro – ein No-Go?

In vielen Unternehmen nicht gern gesehen: Kinder ins Büro mitbringen.

weiter lesen

Hackattack – Systemadministratoren besuchen Hacking-Seminar

Hosting, IT Security, IT-News

Hackattack – Systemadministratoren besuchen Hacking-Seminar

Alexander Wichmann berichtet von Besuch des Seminars bei Hackattack.

weiter lesen

Cloud

Toolset: Von Openstack zu OpenNebula

Größtmögliche Flexibilität in Private- und On-Premise-Cloud-Projekten mit DevOps.

weiter lesen


Neueste Nachrichten von Adacor

Biz & Trends

„Recruit a Friend“ – Mitarbeiterempfehlungen als Recruitingmaßnahme

Eine Win-Win-Situation für Mitarbeiter, Bewerber und Arbeitgeber.

weiter lesen

Cloud

Adacor Experten auf IT-Leiter-Kongress treffen

Treffen Sie die Cloud-Experten der Adacor Group auf dem Deutschen IT-Leiter-Kongress. Wir laden Sie ein. Weitere Infos jetzt im Blog lesen.

weiter lesen

Cloud, Hosting

Sichere Migration in die Cloud

Wie erkennt man frühzeitig die Herausforderungen beim Umzug in die Cloud und was muss man tun, um sie erfolgreich zu bewältigen?

weiter lesen