Datensicherheit stärken durch Cloud Hosting in Deutschland

PRISM und die NSA sind angesichts des jüngsten amerikanischen Spionageskandals in aller Munde und viele Unternehmen fragen sich, wie sicher ihre Daten in der Cloud heutzutage eigentlich sind. Vor allem, wenn es sich bewahrheiten sollte, dass der amerikanische Geheimdienst NSA auch aktiv Wirtschaftsspionage betreibt.
Immer im blickWas heißt das nun eigentlich konkret für Sie als Kunden? Im Folgenden möchte ich hierzu einige technische Hintergründe und rechtliche Aspekte beleuchten.

Datensicherheit nur bei Cloud-Diensten verletzt?

Zunächst einmal ist es wichtig, sich zu vergegenwärtigen, dass IT-Outsourcing generell gewissen Risiken unterliegt, denn in der Regel hat der Anbieter Zugriff auf die Daten seiner Kunden. Sei es, dass Ressourcen über eine Cloud, direkt dedizierte Server bei einem Hosting-Anbieter oder ein komplettes Outsourcing von Applikationen gebucht werden. Potenzieller Datenmissbrauch kann nicht auf ein rein technisches und cloudspezifisches Problem reduziert werden.

Datenmissbrauch steht immer auch im direkten Zusammenhang mit der Seriosität der einzelnen Hosting- bzw. Outsourcing-Anbieter. Deshalb ist es unverzichtbar, sich ausführlich über potenzielle Anbieter zu informieren und sich für einen 100-prozentig vertrauenswürdigen Anbieter zu entscheiden. Machen Sie hier keine Kompromisse! Achten Sie auf Transparenz und legen Sie z. B. Wert darauf, dass der Anbieter seine Maßnahmen zum Datenschutz durch einen unabhängigen Prüfer regelmäßig auditieren lässt.

Image

filoo ClouDEasy

Sie wollen eine sichere ClouD? Dann haben Sie diese mit ClouDEasy soeben gefunden. Hier bekommen Sie eine skalierbare Lösung, mit der Sie sofort loslegen können. Es gibt keine lange Einarbeitungszeit – diese ClouD funktioniert einfach. Jetzt direkt informieren  

Unser Video zu Datensicherheit und IT-Security

Schutz durch Verschlüsselung?

Bei reinen IaaS-Angeboten (IaaS = Infrastructure as a Service) hat der Kunde vollen Zugriff auf die Systeme. Dabei handelt es sich um Angebote, die eine Basisplattform bestehend aus virtuellen Servern, Storage, Netzwerk und Internetanbindung bereitstellen, auf denen Kunden ihre Applikationen installieren und komplett selber verwalten.

In dem Fall, dass Daten auf diesen Servern lediglich gelagert werden sollen, erscheint die Lösung vergleichsweise unkompliziert. Denn dann können Kunden ihre Daten einfach verschlüsselt und sorgenfrei auf den Servern eines beliebigen Anbieters ablegen. Durch die Verschlüsselung sind die Daten sicher und vor unberechtigten Zugriffen geschützt. Ganz anders stellt sich die Situation jedoch dar, wenn es auch um Datenverarbeitung geht. Hier nutzt die ursprüngliche Verschlüsselung der Daten wenig, denn um die Daten weiterverarbeiten zu können, müssen diese wieder entschlüsselt werden. Abermals rückt die Vertrauenswürdigkeit und Integrität eines Anbieters in den Fokus.

Bei anderen Cloud-Varianten managt der Anbieter auch die Systeme oder bietet direkt eine ganze Software als Dienst an, wie es z. B. soziale Netzwerke oftmals tun. In diesen Fällen hat der Kunde nicht mehr die Möglichkeit, seine Daten selber unabhängig vom Anbieter zu verschlüsseln.

Die Sicherheit der Daten hängt dann u. a. auch maßgeblich davon ab, welcher länderspezifischen Rechtsprechung der jeweilige Anbieter unterliegt und ob er – beispielsweise als amerikanisches Unternehmen – per Gesetz verpflichtet ist, staatlichen Institutionen der USA Zugriff auf die Daten zu gewähren.

Kritischer Punkt Datenschutz

Die Kernfrage, die sich meines Erachtens an dieser Stelle stellt, ist also, welche länderspezifischen Datenschutzgesetze für die einzelnen Cloud- oder Hosting-Anbieter gelten. Wie ist der Datenschutz beispielsweise für amerikanische Unternehmen mit Sitz in Deutschland geregelt? Welches Recht gilt dann? Bewegen wir uns hier in einer rechtlichen Grauzone zwischen deutscher und amerikanischer Rechtsprechung, die dem Datenmissbrauch wieder Haus und Tor öffnet? Es ist zu befürchten. Wünschenswert wäre allerdings, dass auch für solche Unternehmen allein das deutsche Datenschutzgesetz zu Grunde gelegt wird. Denn in diesem Fall darf der Anbieter Daten nur herausgeben, wenn eine richterliche Anordnung vorliegt. Ansonsten ist er dem Bundesdatenschutzgesetz (BDSG) verpflichtet und dieses regelt genau, welche Schutzmaßnahmen für die Verarbeitung und Speicherung von personenbezogenen Daten ergriffen werden müssen. Und zwar im Sinne der Personen, deren Daten verarbeitet werden sollen.

Angesichts der aktuellen Berichterstattung in den Medien kann jedoch leicht der Eindruck entstehen, dass bei vielen amerikanischen Anbietern eine direkte Kooperation mit den amerikanischen Geheimdiensten Usus ist und Daten regelmäßig zwischen diesen Parteien ausgetauscht werden. Deutsche Tochtergesellschaften des amerikanischen Unternehmens werden sich dann sicherlich gern auf den Standpunkt zurückziehen, dass sie selbst ja keine Daten weitergeben, sondern „lediglich“ die amerikanische Mutter.

Ein weiterer wichtiger Baustein in Sachen Datenschutz in Deutschland ist die Verpflichtung des outsourcenden Unternehmens zu einer vertraglichen Vereinbarung über eine Auftragsdatenverarbeitung (ADV) mit seinem Dienstleister. Beauftragt ein Unternehmen einen Anbieter mit Datenverarbeitung ohne eine schriftliche Vereinbarung, welche die Maßnahmen zum Schutz der sensiblen Personendaten genau definiert und festlegt, begeht es eine bußgeldbelegte Ordnungswidrigkeit. Denn es ist per Gesetz dazu verpflichtet, die vertraglichen Voraussetzungen für den sicheren Umgang mit allen personenbezogenen Daten durch Dritte zu treffen.
Oft werden für diese Vereinbarung zunächst recht allgemeine Vorlagen herangezogen, die dann jedoch auf die jeweilige Situation und Bedürfnisse des Kunden angepasst werden sollten.

Bei einem deutschen Cloud-Anbieter, der sein Rechenzentrum in Deutschland unter deutschen Datenschutzgesetzen betreibt und mit dem eine Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen wurde, ist also davon auszugehen, dass die Daten nur von deutschen Sicherheitsbehörden nach richterlicher Anordnung eingesehen werden können.

Sichere Kommunikation nur durch Verschlüsselung?

Das gesamte Feld der Kommunikation bedarf in diesem Kontext noch mal einer gesonderten Betrachtung. Denn wenn Systeme unverschlüsselt über das Internet mit anderen Systemen oder Usern kommunizieren, lässt sich diese Kommunikation mitschneiden und auswerten. Verhindern ließe sich dies nur mit einer Verschlüsselung der Kommunikation. Dies gilt insbesondere für E-Mail oder Chats.

Eine Aufzeichnung von Metadaten, die zeigt, dass Kommunikation stattgefunden hat, lässt sich hingegen technisch so gut wie nicht verhindern. Zumal auch in Deutschland mit Ausnahme eines namhaften deutschen Großanbieters die wichtigsten Leitungsprovider amerikanische oder englische Unternehmen sind. Es lässt sich also schwerlich vermeiden, dass Verbindungsdaten mitgeschnitten werden und ggf. im Ausland verwertet werden. Selbst dann nicht, wenn die Verbindung verschlüsselt wird. Die einzige Möglichkeit wäre, die Verschleierung der IPs bei jeder Kommunikation. Für Unternehmen dürfte dies in der Praxis jedoch kaum umsetzbar sein.

All dies spricht für den Standort Deutschland! Für uns – die ADACOR Hosting GmbH – sind hier in Deutschland mit den hiesigen Datenschutzgesetzen und den uns zur Verfügung stehenden technischen Möglichkeiten rechtlich und formal die optimalen Voraussetzungen dafür gegeben, die Daten unserer Kunden bestmöglich gegen unbefugte Zugriffe schützen zu können.

, , , , ,


Weitere Artikel zum Thema lesen

Hackattack – Systemadministratoren besuchen Hacking-Seminar

Hosting, IT Security, IT-News

Hackattack – Systemadministratoren besuchen Hacking-Seminar

Alexander Wichmann berichtet von Besuch des Seminars bei Hackattack.

weiter lesen

Mehr Power durch Sport im Unternehmen

Biz & Trends

Sport im Unternehmen

Die körperliche Fitness leistet einen positiven Beitrag zur Gesundheit, wenn das Büro zum Fitnessstudio wird.

weiter lesen

MySQL-Service im Kundenportal verfügbar

Cloud

MySQL-Service im Kundenportal verfügbar

Fertig konfigurierte MySQL-Services lassen sich mit wenigen Mausklicks über das ADACOR-Kundenportal buchen.

weiter lesen


Neueste Nachrichten von ADACOR

IT Security

Hintergründe und aktuelle Informationen zur WannaCry-Attacke

Zum Heulen - wie die bislang größte Malware-Attacke ihren Ausgang nahm und welche Gegenmaßnahmen möglich sind.

weiter lesen

Hosting

Pflege und Aufbau eines Datennetzwerks im Rechenzentrum

Konzeptionelle Vorarbeit inklusive der Planung von Redundanzen beim Aufbau eines Datennetzwerks spart im Betrieb Zeit und Kosten.

weiter lesen

Vulnerability Management

Hosting

Mit Vulnerability Management Sicherheitslücken schließen

Durch regelmäßiges Scannen werden Schwachstellen in Systemen und Applikationen erkannt und beseitigt.

weiter lesen

Diese Seite verwendet Cookies, welche uns helfen, unsere Services anzubieten und zu verbessern.
Erfahren Sie mehr über unsere Cookie-Richtlinien. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.