Die eigene Private Cloud in der Firma
„Die Datenschutzverstöße sind nicht mehr geworden“
von Thomas Hafen - 06.11.2014
com! professional: Herr Hofmann, Sie sind staatlich geprüfter Datentechniker und Datenschutzexperte – lässt sich eine Private Cloud als gehostete Variante überhaupt datenschutzkonform betreiben?
Walter Hofmann: Aber selbstverständlich. Es gibt Angebote, bei denen jeder Kunde seine eigene Einhausung im Rechenzentrum des Providers hat. Der Dienstleister stellt eine dedizierte MPLS-Leitung in diese Einhausung zur Verfügung, sodass wirklich nur der Kunde Zugriff auf die Daten und die Infrastruktur hat. Bei so einem Modell ist eine Private Cloud genauso sicher zu betreiben wie im eigenen Rechenzentrum.
com!: Was ist von Modellen zu halten, bei denen die Private Clouds mehrerer Kunden nur virtuell getrennt sind und dieselben physikalischen Systeme nutzen?
Hofmann: Auch das lässt sich datenschutzrechtlich sicher konfigurieren. Ich arbeite gerade selbst an einer Private-Cloud-Infrastruktur für 750 Kommunen, bei der die Trennung rein virtuell erfolgt. Das ist absolut BSI-konform umgesetzt. Allerdings bekommen Sie so eine Installation nicht von der Stange.
com!: Wie genau erfolgt die Trennung der einzelnen Anwender?
Hofmann: Die Trennung wird per Network Address Translation (NAT) auf Layer 2 umgesetzt. Sie müssen sich das ähnlich vorstellen wie einen Multiplexer in der Telekommunikation. Über die Benutzer-Authentifizierung wird ein Anwender seiner Organisation zugeordnet und hat dann nur Zugang zu den entsprechenden Daten. Das ist ein etwas anderer Ansatz als bei den üblichen „XaaS“-Modellen, wir sprechen hier von „Virtual Landscapes“.
com!: Wie entscheide ich, ob ich Daten in eine Cloud auslagere und falls ja, in welche?
Hofmann: Ich muss mir zunächst einmal darüber klar werden, welche Dienste ich habe und brauche. Dann muss ich abschätzen, wie sensibel und schützenswert die jeweiligen Daten sind. Und dann überlege ich mir mit Hilfe einer Risikobewertung und
einer Wirtschaftlichkeitsbetrachtung, welches Betriebsmodell für diesen Dienst und diese Daten jeweils das richtige ist. Diese Analyse bieten wir bei Comparex übrigens als Service an.
com!: Hat der Trend zu Cloud-Computing den Datenschutz verschlechtert?
Hofmann: Nein, wir haben heute genauso viele Datenschutzverstöße mit Cloud wie früher ohne. Gegen Dummheit ist kein Kraut gewachsen, da helfen auch die besten Sicherheitsvorkehrungen nichts. Wenn ein Mitarbeiter sensible Daten auf einer Parkbank liegen lässt oder unverschlüsselt per Mail verschickt, dann kann man dagegen wenig machen. Interessanterweise kommen viele Verstöße von Menschen, die ihre Daten nie in die Cloud geben würden, weil „das viel zu unsicher ist.“
Im Interview: Walter Hofmann, Director Cloud Solutions IT Consulting, Comparex AG
com!: Was ist von Modellen zu halten, bei denen die Private Clouds mehrerer Kunden nur virtuell getrennt sind und dieselben physikalischen Systeme nutzen?
Hofmann: Auch das lässt sich datenschutzrechtlich sicher konfigurieren. Ich arbeite gerade selbst an einer Private-Cloud-Infrastruktur für 750 Kommunen, bei der die Trennung rein virtuell erfolgt. Das ist absolut BSI-konform umgesetzt. Allerdings bekommen Sie so eine Installation nicht von der Stange.
com!: Wie genau erfolgt die Trennung der einzelnen Anwender?
Hofmann: Die Trennung wird per Network Address Translation (NAT) auf Layer 2 umgesetzt. Sie müssen sich das ähnlich vorstellen wie einen Multiplexer in der Telekommunikation. Über die Benutzer-Authentifizierung wird ein Anwender seiner Organisation zugeordnet und hat dann nur Zugang zu den entsprechenden Daten. Das ist ein etwas anderer Ansatz als bei den üblichen „XaaS“-Modellen, wir sprechen hier von „Virtual Landscapes“.
com!: Wie entscheide ich, ob ich Daten in eine Cloud auslagere und falls ja, in welche?
Hofmann: Ich muss mir zunächst einmal darüber klar werden, welche Dienste ich habe und brauche. Dann muss ich abschätzen, wie sensibel und schützenswert die jeweiligen Daten sind. Und dann überlege ich mir mit Hilfe einer Risikobewertung und
einer Wirtschaftlichkeitsbetrachtung, welches Betriebsmodell für diesen Dienst und diese Daten jeweils das richtige ist. Diese Analyse bieten wir bei Comparex übrigens als Service an.
com!: Hat der Trend zu Cloud-Computing den Datenschutz verschlechtert?
Hofmann: Nein, wir haben heute genauso viele Datenschutzverstöße mit Cloud wie früher ohne. Gegen Dummheit ist kein Kraut gewachsen, da helfen auch die besten Sicherheitsvorkehrungen nichts. Wenn ein Mitarbeiter sensible Daten auf einer Parkbank liegen lässt oder unverschlüsselt per Mail verschickt, dann kann man dagegen wenig machen. Interessanterweise kommen viele Verstöße von Menschen, die ihre Daten nie in die Cloud geben würden, weil „das viel zu unsicher ist.“
