Konzepte für Sicherheit beim Cloud Computing

Sicherheitslücke „Mensch“ gefährdet rechtssichere Cloud

| Autor / Redakteur: Claudia Seidl * / Florian Karlstetter

Es gibt eine Reihe organisatorischer Sicherheitskonzepte die zu beachten sind, um Rechtssicherheit beim Cloud Computing gewährleisten zu können.
Es gibt eine Reihe organisatorischer Sicherheitskonzepte die zu beachten sind, um Rechtssicherheit beim Cloud Computing gewährleisten zu können. (Bild. Uniscon)

Teile im Bereich der IT in Cloud-Dienste auszulagern, ist keine leichte Entscheidung für Unternehmen: Die Verantwortlichen müssen zunächst klären, ob die sensiblen Unternehmensdaten auf den Außerhaus-Rechnern tatsächlich sicher gelagert sind. Das Problem steckt im Detail, wie dieser Beitrag zeigt.

Da die Sicherheit bei der Auslagerung von Daten ein k.o.-Kriterium ist, muss und wird jeder Cloud-Anbieter behaupten, dass die Daten in seinem Rechenzentrum „in besten Händen“ sind. Darin steckt dann bereits die erste und größte Sicherheitslücke des Cloud Computing: Die Daten sind in anderen Händen.

„Der Diebstahl von Daten lässt sich mit organisatorischen Sicherheitskonzepten verhindern“, heißt es gern, um besorgte Unternehmensvertreter zu beruhigen. Darunter verstehen die Anbieter von Cloud-Diensten Maßnahmen wie das Vier-Augen-Prinzip, bei dem nur zwei Personen gleichzeitig auf die Daten zugreifen können.

In allen organisatorischen Sicherheitskonzepten bleibt aber der Unsicherheitsfaktor Mensch bestehen. Denn Menschen sind bestechlich oder erpressbar. Ein Administrator der bei laufendem Betrieb Wartungsarbeiten vornimmt, könnte ohne weiteres jene Daten abzapfen, die im aktiv laufenden Betrieb nur unverschlüsselt verarbeitet werden können. Dieses Sicherheitsrisiko muss allein durch technische Maßnahmen ausgeschlossen werden.

Rechtlich gilt es Geheimnisse mit allen Mitteln zu wahren

Wegen dieser Sicherheitslücke dürfen Behörden ebenso wie Ärzte, Anwälte und alle anderen Berufsgeheimnisträger nur dann in die Cloud, wenn es zu keiner Offenbarung von Geheimnissen kommt. Rechtlich ist das allerdings bereits eingetreten, wenn Dritte von Geheimnissen – und dazu zählen unter anderem personenbezogene Daten – theoretisch Kenntnis nehmen könnten.

Für Steffen Kroschwald, Jurist in der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) an der Universität Kassel, ist der Berufsgeheimnisträger daher „für den gesamten Daten-Weg verantwortlich“. Da er sich sogar strafbar machen könne, sei es „unabdingbar, dass er besonders hohe Anforderungen zur Datensicherheit an sich, an die Datenübertragung und an den Dienstanbieter stellt.“ [Quelle: Steffen Kroschwald, Magda Wicker, Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB. CR 2012, 758-764.]

Ergänzendes zum Thema
 
Special "Rechtssicheres Cloud Computing"

Das Konzept der Basistechnologie Sealed Cloud sieht Kroschwald als einen der wenigen Ansätze, die dieses Sicherheitsrisiko, nämlich, dass der Dienstbetreiber auf unverschlüsselte Daten zugreifen kann, per Definition ausschließen. Die so genannte „Betreibersicherheit“ bedeute, dass Daten auf Infrastruktur-, Plattform- und Applikationsebene auch vor den Zugriffen des Cloud-Betreibers sicher seien.

Das Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG) kann daher den Kommunikationsdienst Idgard empfehlen, da er auf Basis der Sealed Cloud läuft. Mit ihm können Ärzte, Krankenhäuser und Patienten – nach Kroschwalds Definition – rechtskonform über das Internet kommunizieren.

Seit Herbst 2014 stehen Sealed-Cloud-Schnittstellen bereit, um Unternehmen eine datenschutz- und rechtskonforme Infrastruktur zur Verfügung zu stellen. Dabei können diese entweder direkt auf der Plattformschicht aufsetzen und die Grundsätze der Betreibersicherheit selbst implementieren. Oder aber sie nutzen die generischen Funktionen des bereits existierenden Kommunikationsdienstes Idgard. Damit lässt sich der Dienst direkt in existierende Geschäftsprozesse integrieren.

Cloud-Dienst sorgt für sicheren Datenaustausch

Web Privacy Service IDGARD von Uniscon

Cloud-Dienst sorgt für sicheren Datenaustausch

12.02.13 - Unternehmen tauschen täglich Daten aus. Darunter auch sensible Daten, die häufig unverschlüsselt übermittelt werden. Das soll nun anders werden. Um den Datenaustausch sicherer zu machen, bietet Uniscon den Cloud-Dienst Web Privacy Service IDGARD an. lesen

Verräterische Metadaten vermeiden

Eine weitere Voraussetzung für die Berufsgruppen mit besonderen Datenschutz-Anforderungen, wenn sie Cloud Computing einsetzen wollen, ist, dass der Schutz der Metadaten geklärt sein muss. Denn aus diesen Daten, die Dateien näher beschreiben, lässt sich mit den entsprechenden Programmen leicht herausfinden, wer wann wie oft und wie viel miteinander Kontakt hat. Daraus leiten Online-Profiler oder -Analysten dann ein umfassendes Abbild der Tätigkeiten einzelner Personen oder auch ganzer Unternehmen ab. Deshalb gelten solche Daten als besonders schützenswert.

Allzu viele Konzepte zum Schutz der Metadaten, die unternehmenstauglich sind, gibt es allerdings nicht. Will ein Unternehmen nicht mehrere Technologie-Lösungen einsetzen, um datenschutzkonform zu kommunizieren, wird es laut Felix Freiling, Professor für Informatik an der Friedrich-Alexander-Universität in Erlangen noch enger:: „Die Sealed Cloud ist die einzig mir bekannte Lösung am Markt, die auch die Metadaten einer Kommunikation effektiv schützt, und zwar auch vor unberechtigten internen Zugriffen.“

Sealed Cloud schottet vertrauliche Dokumente in der Cloud ab

Uniscon schützt vor Privatsphäre- und Compliance-Pannen

Sealed Cloud schottet vertrauliche Dokumente in der Cloud ab

28.05.13 - Die Cloud wird für Unternehmen immer öfter zum Ersatz für die traditionelle Bandsicherung ihrer Firmendaten, der Cloud-Dienst Amazon S3 gehört zu den beliebtesten Diensten für diesen Zweck. Vor kurzem jedoch haben Sicherheitsexperten ein riesiges Datenleck in Amazon S3 gefunden. Die Schuld lag nicht bei Amazon, sondern bei zahlreichen Benutzern des Dienstes. lesen

* Claudia Seidl, Freie Journalistin aus München

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43084013 / Recht und Datenschutz )