Daten in der Cloud brauchen Extra-Schutz

Wenn es darum geht, wie gute Sicherheitslösungen für die Cloud auszusehen haben, ist selbstverständlich auch die Sicht der Cloud-Provider wichtig.

Der Internetriese Amazon ist mit seinen AWS-Diensten einer der beherrschenden Anbieter von Cloud-Lösungen. Im Unterschied zu Microsoft, wo man sich derzeit verstärkt um hybride Cloud-Lösungen kümmert, hat man sich dort lange Zeit auf Cloud only konzentriert.

„Eine zeitgemäße Sicherheitslösung steht auf mehreren Säulen: Infrastruktursicherheit, Datenverschlüsselung und Identitäts- sowie Zugriffskontrolle“, bringt Bertram Dorn, Specialized Solutions Architect bei Amazon Web Services, seine Einschätzung auf den Punkt. Wichtig sei, so betont Dorn, dass sich die Cloud-Kunden darüber im Klaren sind, welche Sicherheitsmaßnahmen im eigenen Verantwortungsbereich liegen.

Auch hier zeigt sich also der Shared-Responsibility-Ansatz: Das Thema Sicherheit ist eine gemeinsame Aufgabe von Anbieter und Kunde.

Alexander Vierschrodt, Head of Commercial Management Server beim deutschen Webhoster 1&1, hebt hervor, dem Provider stünden zur Gewährleistung der Sicherheit der Cloud-Services eine Vielzahl von Optionen zur Verfügung: „Ein Provider sollte sich die Sicherheit der eigenen Infrastruktur zertifizieren lassen. Eine Zertifizierung nach ISO/IEC 27001:2013 beispielsweise bescheinigt, dass der Hosting-Provider gewissenhaft mit Datensicherheit umgeht. Firewalls, DDoS-Schutz, Backup-Optionen und hochsensible IDS-/IPS- (Intrusion Detection System/Intrusion Prevention System) und SIEM-Technologien (Security Information and Event-Management) im Rechenzentrum des Hosters schirmen die Server der Kunden nicht nur gegen unbefugten Zugriff sowie Angriffe ab, sondern gewährleisten auch die hohe Verfügbarkeit von Cloud-Diensten.“

Die Cloud und die DSGVO

Michael Rohrlich, Rechtsanwalt für E-Commerce sowie für Datenschutz- und IT-Recht (www.ra-rohrlich.de), fasst zusammen, was man bei Cloud-Sicherheit im
Hinblick auf die Datenschutz-Grundverordnung (DSGVO) beachten sollte.

Unabhängig davon, ob eine Public Cloud, eine Private Cloud, eine Community Cloud oder eine Hybrid Cloud zum Einsatz kommt, in jedem Fall gelten die gleichen juristischen Basis-Spielregeln. Da bei der Verarbeitung von Daten in aller Regel auch solche mit Personenbezug enthalten sind, ist stets das Datenschutzrecht einschlägig. Zu den personenbezogenen Daten zählen unter anderem persönliche Daten wie Name, Anschrift oder das Geburtsdatum, Kontaktdaten wie Telefonnummer oder E-Mail, Finanzdaten wie die Bankverbindung, biometrische Daten wie ein Fingerabdruck, Gesundheitsdaten wie eine Krankmeldung oder Diagnose sowie IP-Adressen.

Nach geltender Rechtslage, aber auch mit Blick auf die ab dem 25 Mai 2018 verbindliche EU-Datenschutz-Grundverordnung (DSGVO), ist bei der Verarbeitung personenbezogener Daten in der Cloud Vorsicht geboten. Nur wenn einer oder mehrere der folgenden Punkte bejaht werden können, darf die Datenverarbeitung in der Cloud erfolgen:

keine Möglichkeit der Kenntnisnahme von personenbezogenen Daten durch Dritte (etwa durch Verschlüsselung)
Einwilligung der Betroffenen
Weitergabe für Vertragserfüllung erforderlich
Verarbeitung im Auftrag mit wirksamem Auftragsverarbeitungs-Vertrag
Datenverarbeitung in Deutschland
Datenverarbeitung innerhalb EU/EWR

Befindet sich der Cloud-Anbieter beziehungsweise dessen Server in einem Drittland wie USA, China oder Indien, dann ist dies nur unter zusätzlichen Voraussetzungen rechtskonform. In dem betreffenden Staat muss ein von der EU-Kommission anerkanntes Schutzniveau herrschen (zum Beispiel in der Schweiz, Argentinien oder Neuseeland), die EU-Standardvertragsklauseln kommen als Vertragsgrundlage zum Einsatz, es liegen sogenannte Binding Corporate Rules (BCR) vor (zum Beispiel in internationalen Konzernen) oder – im Fall der USA – es besteht eine Zertifizierung für den EU-US-Privacy-Shield.

Daten in der Cloud brauchen Extra-Schutz

Provider-Sicherheit

Mehr zum Thema