Menü
Ein Beitrag von Adacor

Datensicherheit stärken durch Cloud Hosting in Deutschland

PRISM und die NSA sind angesichts des jüngsten amerikanischen Spionageskandals in aller Munde und viele Unternehmen fragen sich, wie sicher ihre Daten in der Cloud heutzutage eigentlich sind. Vor allem, wenn es sich bewahrheiten sollte, dass der amerikanische Geheimdienst NSA auch aktiv Wirtschaftsspionage betreibt.
Immer im blickWas heißt das nun eigentlich konkret für Sie als Kunden? Im Folgenden möchte ich hierzu einige technische Hintergründe und rechtliche Aspekte beleuchten.

Datensicherheit nur bei Cloud-Diensten verletzt?

Zunächst einmal ist es wichtig, sich zu vergegenwärtigen, dass IT-Outsourcing generell gewissen Risiken unterliegt, denn in der Regel hat der Anbieter Zugriff auf die Daten seiner Kunden. Sei es, dass Ressourcen über eine Cloud, direkt dedizierte Server bei einem Hosting-Anbieter oder ein komplettes Outsourcing von Applikationen gebucht werden. Potenzieller Datenmissbrauch kann nicht auf ein rein technisches und cloudspezifisches Problem reduziert werden.

Datenmissbrauch steht immer auch im direkten Zusammenhang mit der Seriosität der einzelnen Hosting- bzw. Outsourcing-Anbieter. Deshalb ist es unverzichtbar, sich ausführlich über potenzielle Anbieter zu informieren und sich für einen 100-prozentig vertrauenswürdigen Anbieter zu entscheiden. Machen Sie hier keine Kompromisse! Achten Sie auf Transparenz und legen Sie z. B. Wert darauf, dass der Anbieter seine Maßnahmen zum Datenschutz durch einen unabhängigen Prüfer regelmäßig auditieren lässt.

Unser Video zu Datensicherheit und IT-Security

Schutz durch Verschlüsselung?

Bei reinen IaaS-Angeboten (IaaS = Infrastructure as a Service) hat der Kunde vollen Zugriff auf die Systeme. Dabei handelt es sich um Angebote, die eine Basisplattform bestehend aus virtuellen Servern, Storage, Netzwerk und Internetanbindung bereitstellen, auf denen Kunden ihre Applikationen installieren und komplett selber verwalten.

In dem Fall, dass Daten auf diesen Servern lediglich gelagert werden sollen, erscheint die Lösung vergleichsweise unkompliziert. Denn dann können Kunden ihre Daten einfach verschlüsselt und sorgenfrei auf den Servern eines beliebigen Anbieters ablegen. Durch die Verschlüsselung sind die Daten sicher und vor unberechtigten Zugriffen geschützt. Ganz anders stellt sich die Situation jedoch dar, wenn es auch um Datenverarbeitung geht. Hier nutzt die ursprüngliche Verschlüsselung der Daten wenig, denn um die Daten weiterverarbeiten zu können, müssen diese wieder entschlüsselt werden. Abermals rückt die Vertrauenswürdigkeit und Integrität eines Anbieters in den Fokus.

Bei anderen Cloud-Varianten managt der Anbieter auch die Systeme oder bietet direkt eine ganze Software als Dienst an, wie es z. B. soziale Netzwerke oftmals tun. In diesen Fällen hat der Kunde nicht mehr die Möglichkeit, seine Daten selber unabhängig vom Anbieter zu verschlüsseln.

Die Sicherheit der Daten hängt dann u. a. auch maßgeblich davon ab, welcher länderspezifischen Rechtsprechung der jeweilige Anbieter unterliegt und ob er – beispielsweise als amerikanisches Unternehmen – per Gesetz verpflichtet ist, staatlichen Institutionen der USA Zugriff auf die Daten zu gewähren.

Kritischer Punkt Datenschutz

Die Kernfrage, die sich meines Erachtens an dieser Stelle stellt, ist also, welche länderspezifischen Datenschutzgesetze für die einzelnen Cloud- oder Hosting-Anbieter gelten. Wie ist der Datenschutz beispielsweise für amerikanische Unternehmen mit Sitz in Deutschland geregelt? Welches Recht gilt dann? Bewegen wir uns hier in einer rechtlichen Grauzone zwischen deutscher und amerikanischer Rechtsprechung, die dem Datenmissbrauch wieder Haus und Tor öffnet? Es ist zu befürchten. Wünschenswert wäre allerdings, dass auch für solche Unternehmen allein das deutsche Datenschutzgesetz zu Grunde gelegt wird. Denn in diesem Fall darf der Anbieter Daten nur herausgeben, wenn eine richterliche Anordnung vorliegt. Ansonsten ist er dem Bundesdatenschutzgesetz (BDSG) verpflichtet und dieses regelt genau, welche Schutzmaßnahmen für die Verarbeitung und Speicherung von personenbezogenen Daten ergriffen werden müssen. Und zwar im Sinne der Personen, deren Daten verarbeitet werden sollen.

Angesichts der aktuellen Berichterstattung in den Medien kann jedoch leicht der Eindruck entstehen, dass bei vielen amerikanischen Anbietern eine direkte Kooperation mit den amerikanischen Geheimdiensten Usus ist und Daten regelmäßig zwischen diesen Parteien ausgetauscht werden. Deutsche Tochtergesellschaften des amerikanischen Unternehmens werden sich dann sicherlich gern auf den Standpunkt zurückziehen, dass sie selbst ja keine Daten weitergeben, sondern „lediglich“ die amerikanische Mutter.

Image

Mission Managed Cloud

Hosting in Public-Cloud-Infrastruktur:
Optimiert auf Ihre spezifischen Anforderungen!

Mit der ADACOR Managed Cloud erhalten Sie die passende Kombination aus der vCloud-Virtualisierungslösung des Marktführers VMware und den Managed Services der ADACOR.

Jetzt informieren!


Ein weiterer wichtiger Baustein in Sachen Datenschutz in Deutschland ist die Verpflichtung des outsourcenden Unternehmens zu einer vertraglichen Vereinbarung über eine Auftragsdatenverarbeitung (ADV) mit seinem Dienstleister. Beauftragt ein Unternehmen einen Anbieter mit Datenverarbeitung ohne eine schriftliche Vereinbarung, welche die Maßnahmen zum Schutz der sensiblen Personendaten genau definiert und festlegt, begeht es eine bußgeldbelegte Ordnungswidrigkeit. Denn es ist per Gesetz dazu verpflichtet, die vertraglichen Voraussetzungen für den sicheren Umgang mit allen personenbezogenen Daten durch Dritte zu treffen.
Oft werden für diese Vereinbarung zunächst recht allgemeine Vorlagen herangezogen, die dann jedoch auf die jeweilige Situation und Bedürfnisse des Kunden angepasst werden sollten.

Bei einem deutschen Cloud-Anbieter, der sein Rechenzentrum in Deutschland unter deutschen Datenschutzgesetzen betreibt und mit dem eine Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen wurde, ist also davon auszugehen, dass die Daten nur von deutschen Sicherheitsbehörden nach richterlicher Anordnung eingesehen werden können.

Sichere Kommunikation nur durch Verschlüsselung?

Das gesamte Feld der Kommunikation bedarf in diesem Kontext noch mal einer gesonderten Betrachtung. Denn wenn Systeme unverschlüsselt über das Internet mit anderen Systemen oder Usern kommunizieren, lässt sich diese Kommunikation mitschneiden und auswerten. Verhindern ließe sich dies nur mit einer Verschlüsselung der Kommunikation. Dies gilt insbesondere für E-Mail oder Chats.

Eine Aufzeichnung von Metadaten, die zeigt, dass Kommunikation stattgefunden hat, lässt sich hingegen technisch so gut wie nicht verhindern. Zumal auch in Deutschland mit Ausnahme eines namhaften deutschen Großanbieters die wichtigsten Leitungsprovider amerikanische oder englische Unternehmen sind. Es lässt sich also schwerlich vermeiden, dass Verbindungsdaten mitgeschnitten werden und ggf. im Ausland verwertet werden. Selbst dann nicht, wenn die Verbindung verschlüsselt wird. Die einzige Möglichkeit wäre, die Verschleierung der IPs bei jeder Kommunikation. Für Unternehmen dürfte dies in der Praxis jedoch kaum umsetzbar sein.

All dies spricht für den Standort Deutschland! Für uns – die ADACOR Hosting GmbH – sind hier in Deutschland mit den hiesigen Datenschutzgesetzen und den uns zur Verfügung stehenden technischen Möglichkeiten rechtlich und formal die optimalen Voraussetzungen dafür gegeben, die Daten unserer Kunden bestmöglich gegen unbefugte Zugriffe schützen zu können.

, , , , ,


Weitere Artikel zum Thema lesen

Partnerschaft von Agenturen und Hostern

Hosting

Partnerschaft von Agentur und Hoster

So gelingt die zielführende Auswahl von Hosting-Anbietern für Webagenturen.

weiter lesen

Disruptive Innovationen als Chance

Biz & Trends

Disruptive Innovationen als Chance

Mit dem Beitrag über Disruptionen startet unsere neue Kolumne "Management kompakt".

weiter lesen

SLA – Risiken und Nebenwirkungen entdecken

Hosting

Risiken und Begleiteffekte von SLAs

Wieso technisch belastbare Service Level Agreements besser für ihr Business sind als rein kaufmännisch kalkuierte SLA.

weiter lesen


Neueste Nachrichten von Adacor

Datendschungel Big Data

Biz & Trends

Big Data – Mehr Durchblick im Datendschungel

Big Data wird häufig als Synonym für NoSQL-Datenbanken genutzt. Wir ordnen die Themen Big Data und Datenbanken korrekt ein.

weiter lesen

iks

IT Security

Compliance – Vertrauen ist gut, Kontrolle ist besser

Wir stellen wirksame Instrumente für die erfolgreiche Unternehmenskontrolle im Rahmen der von uns erbrachten IT-Services vor.

weiter lesen

Warum brauchen Sie Informationen über die Applikation?

Hosting

Warum brauchen Sie Informationen über die Applikation?

Die Verzahnung der Entwicklung mit dem Betrieb direkt bei der Konzeption löst die gewünschte Agilität aus, um „Continuous Operations“ zu gewährleisten.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.