Wo sind meine Daten? Konkrete Fragen und dürftige Antworten Die Security-Maßnahmen der Cloud-Anbieter zum Schutz von Kundendaten im Überblick

Autor / Redakteur: Markus Reppner / Ulrike Ostler

Cloud Computing ist einer der Megatrends. Schon heute locken Anbieter Kunden mit attraktiven Angeboten. Doch was ist mit der Sicherheit? Wie und wo bewahren die Cloud-Dienstleister die Daten auf? Welche Sicherheits-Garantien geben sie? Hier ein Überblick.

Firmen zum Thema

So manchem erscheint die Cloud eher unheimlich als klärend, Bild: Pixelio/K. Herud
So manchem erscheint die Cloud eher unheimlich als klärend, Bild: Pixelio/K. Herud
( Archiv: Vogel Business Media )

Obwohl die Gartner-Analysten Cloud Computing noch einige Jahre des Reifenmüssens bescheinigen, buhlen bereits jetzt zahlreiche Anbieter um die Gunst des Kunden. Sie locken mit zusätzlicher Rechenleistung, Speichererweiterungen oder Anwendungen wie E-Mail, Intranet oder Software zur Zusammenarbeit mit Kunden oder Lieferanten, die die Unternehmen problemlos via Internet per Cloud Computing beziehen können (siehe PDF-Anhang: Anbieter und Produkte). Das Bezugsmodell sieht jetzt schon aus wie die große IT-Zukunftsvision: Anwendung aus der Steckdose.

Die Anbieter offerieren flexible Nutzungszeiträume von der tatsächlichen Nutzung bis zum ein- oder mehrjährigen Vertrag in Verbindung mit den jeweiligen Preismodellen. Inwiefern sich diese Angebote für kleinere, mittelständische oder große Unternehmen eignen, sei dahingestellt.

Was Unternehmen jedoch bei ihren Überlegungen auf alle Fälle einbeziehen müssen ist – wie bei jedem neuen Geschäftsmodell – die Frage nach der Sicherheit.

Schweden oder China?

Doch gerade für kleine und mittelgroße Betriebe können Cloud-Angebote einen besseren Schutz bieten, als sich die Firmen mit knappen Sicherheitsbudgets leisten können. Das zentrale Problem hierbei ist jdeoch, wie die Anbieter die Vertraulichkeit, Verfügbarkeit und Integrität der Daten garantieren.

Professor Klaus-Peter Löhr von der FU Berlin: Aufgepasst! Die Daten sind in fremden Händen (Archiv: Vogel Business Media)

„Egal ob Unternehmen nun Programme oder ganze Infrastrukturen verschieben“, erklärt Professor Klaus-Peter Löhr, Emeritus am Institut für Informatik an der FU Berlin, „in jedem Fall transferieren sie Daten nach draußen.“

Mit anderen Worten: Es ist das alte Problem, das viele Unternehmen schon beim Software-as-Service-Model Kopfschmerzen bereitet: Wo sind meine Daten? Löhr hält diese Frage nicht nur für eine Hypochondrie.

Aufgrund der aktuellen Bedrohungslage im Bezug auf Industriespionage sei diese Befürchtung ein sehr realer Faktor. Hinzu komme beim Cloud Computing die Frage, an welchem Ort sich die Daten befinden.

Denn entscheidend ist der Gerichtsstandort. „Die einzelnen Länder haben unterschiedliche Rechtssysteme“, gibt Löhr zu bedenken. „Die sind eben einmal mehr und einmal weniger rigoros bei den Datenschutzanforderungen.“ Es sei deshalb schon ein Unterscheid, ob sich die Daten in Schweden oder in China befänden.

weiter mit: Die Anbieter und die Gretchenfragen

Die Anbieter und die Gretchenfrage

Cloud-Service-Anbieter wie Google, Amazon, Salesforce und Microsoft müssen somit Antwort auf die Frage geben, inwiefern sie elementare Sicherheits-Anforderungen erfüllen können. Wie garantieren sie Vertraulichkeit, Verfügbarkeit und Integrität der Daten? Durch wen sind sie zertifiziert? Wo bewahren sie die Daten auf? Wie sichern sie die Daten?

So schweigt Microsoft?

Microsoft macht generell „aus Sicherheitsgründen“ keine Angaben zu Fragen der Vertraulichkeit, Integrität und Verfügbarkeit bei der Übertragung und Speicherung. Natürlich gebe es entsprechende Back-ups im Falle eines Systemausfalls, sichert der Anbieter zu.

Heute existierten im EU-Raum zwei Rechenzentren, in Dublin und Amsterdam, Weitere sind angedacht. Die Datenhaltung entspricht nach Angaben von Microsoft komplett den in den Ländern vorgeschrieben Regularien.

Ein Szenario im Falle einer Insolvenz oder eines Verkaufs von Microsoft gibt es nicht, allerdings ist die Migration der Daten auch möglich, beispielsweise auf Grund der Entscheidung, Anwendungen doch lieber im Rahmen der internen Unternehmens-IT zu betreiben.

weiter mit: Was bietet Salesforce?

Was bietet Salesforce?

Die Datencenter von Salesforce.com unterliegen regelmäßigen Überprüfungen von zertifizierten Sicherheitsanbietern, deren Audits Standards wie ISO 27001 entsprechen. „Wie sicher die Kundendaten sind, zeigt sich nicht zuletzt am Vertrauen, das Kunden, wie Finanzdienstleister, Unternehmen im Gesundheitsbereich oder Organisationen aus anderen sicherheitssensiblen Branchen Salesforce.com entgegenbringen“, erklärt Christoph Föckeler, Director Sales Consulting, EMEA Central Region, Salesforce.com Deutschland GmbH.

Das Sicherheitssystem erlaube die Feinsteuerung von Rechten kombiniert mit einer hohen Transparenz bezüglich Systemzugriff und Informationsnutzung durch jeden einzelnen Nutzer. Salesforce.com speichert die Daten in Rechenzentren in den USA. Ein weiteres Rechenzentrum in Asien ist in Planung. „Den europäischen Datenschutzgesetzen kommen wir insofern nach, als dass Salesforce.com sich den EU Safe Harbor Richtlinien unterwirft“, sagt Föckler.

Diese wurden in Zusammenarbeit von Europäischer Union und dem Handelsministerium der USA erarbeitet und umfassen sieben spezifische Regeln für die Datensicherheit. Die Rechenzentren von Salesforce.com sind mit Carrier-Class Disk Storage ausgestattet. Die Daten werden in einer Multi-Tier-Umgebung mit RAID Disks und Multiplen Datenpfaden gespeichert. Das Remote Disaster Recovery erfolgt über einen Drittanbieter.

weiter mit: Die Google-Cloud

Die Google-Cloud

„Google nimmt die nimmt die Sicherheit der Nutzerdaten sehr ernst“, erklärt Kai Gutzeit, Head of Google Enterprise Deutschland, Osterreich und der Schweiz. „Wir verfügen über vielfache und weit reichende Sicherheitsvorkehrungen zum Schutz der Daten unserer Nutzer.“

Da das Unternehmen im normalen Geschäftsverlauf riesige Datenmengen schütze, sei die Infrastruktur äußerst stark und verlässlich. Rechenzentren gebe es an vielen Orten weltweit. „Alle Daten, die in einem Rechenzentren gelagert oder verarbeitet werden, unterliegen weltweit den gleichen hohen Datenschutz-Standards und -Grundsätzen“, versichert Gutzeit.

Google bietet für die Apps Premier Edition, Google Docs, Google Sites und Google Talk sowie für die E-Mail- und Kalender-Funktionen eine Verfügbarkeit von 99,9 Prozent. Die Datencenter sind nach SAS 70 Type I und II zertifiziert.

Das Unternehmen macht allerdings nicht öffentlich, wo und auf welchen Servern die Daten gespeichert werden. Ein Google-Apps-Nutzer kann keine bestimmten Länder vertraglich festlegen.

Allerdings ist das Unternehmen Mitglied des Safe Harbor-Programms. „Die Daten werden hoch redundant gesichert und es gibt eine ganze Reihe von Back-ups“, sagt Gutzeit. „Detaillierte Informationen gebe es hierzu – aus verständlichen Gründen – jedoch nicht.

Amazon bittet um Verschlüsselung

Amazon Web Services (AWS) empfiehlt Kunden, die Bedenken bezüglich der Sicherheit ihrer Daten hegen, diese zu verschlüsseln. „Zusätzlich existiert ein dreistufiges Modell für die physikalische, operative und programmatische Sicherheit“, erläutert Kay Kinton, Pressesprecherin von AWS.

Bei der physikalischen Sicherheit gehe es um die Sicherung des Aufbewahrungsorts der Daten. Die Datencenter seien sehr gut gegen Eingriffe von außen gesichert. Die operative Sicherheit garantiere, dass nur eine bestimmte Gruppe von Amazon-Mitarbeitern Zugang zu den Datencentern habe. Die programmatische Sicherheit garantiere den Unternehmen, dass nur sie selbst auf ihre Daten zugreifen dürfen.

Amazon stellt Entwicklern aus den Unternehmen Ressourcen zur Verfügung, um den Zugriff selbst zu kontrollieren und die Daten zu schützen. Mit Werkzeugen, von der Zugangskontrolle bis hin zur Firewall, können sich Kunden Anwendungen damit so entwickeln, dass sie den jeweiligen Branchenvorschriften entsprechen.

Amazon verfügt über Datencenter an der West- und Ost-Küste der USA sowie in Irland. Die Kunden können das bevorzugte Datencenter auswählen.

Über den Autor:

Markus Reppner ist freier Autor in München.

(ID:2020331)