Compliance und Riskmanagement beim Cloud Computing

Zugriffsschutz von Unternehmensdaten in der Cloud

| Autor: Florian Karlstetter

Tipps, damit der Wechsel des Cloud-Anbieters oder auch der Konkurs eines solchen nicht zum Compliance-Problem wird.
Tipps, damit der Wechsel des Cloud-Anbieters oder auch der Konkurs eines solchen nicht zum Compliance-Problem wird. (© Thomas Bethge - Fotolia.com)

Mehr zum Thema

Was passiert eigentlich mit Firmendaten in der Cloud, wenn der Anbieter in Konkurs geht oder verkauft wird? Dieser Frage ist Uniscon anlässlich der Einstellung des Filehosting-Dienstes Wuala von LaCie aus der Schweiz nachgegangen.

„End of Live“ – der primär für Consumer konzipierte Cloud-Dienst Wuala stellt seinen Betrieb zum 15. November 2015 ein, ab dem 30. September 2015 erhalten Anwender nur noch einen Lesezugriff auf die in der Cloud gehosteten Daten. Was für private Anwender dank der Mitte August erfolgten Vorankündigung nur ärgerlich und arbeitsintensiv ist, stellt für eine Firma ein größeres Risiko und einen erheblichen Kosten- und Zeitfaktor dar.

Cloud-Anbietermarkt vor Konsolidierung?

Auch im immer noch wachsenden Markt für Business-Clouds tummeln sich (zu) viele Wettbewerber. So ist zu erwarten, dass sich der Markt der Cloud-Anbieter im Laufe der nächsten Jahre konsolidieren wird. Doch was wird aus Unternehmensdaten, die auf Servern eines eingestellten Dienstes liegen? Wie sicher sind die Daten dann noch? Und welche Garantien gibt es, dass nach Schließung weiterhin alle organisatorischen Sicherheitsmaßnahmen eingehalten werden? Ist ein Dienst erst verschwunden, lässt sich kaum herausfinden, wer vielleicht die Daten von Kunden nicht geschützt oder sie sogar zu Geld gemacht hat.

Da bei Wuala gar keine Verarbeitung der Daten in der Cloud vorgesehen war, lediglich Daten Ende-zu-Ende verschlüsselt abgespeichert wurden, stellen sich solche Fragen glücklicherweise nicht in der Härte. Doch bei vielen anderen Diensten, die Daten verarbeiten müssen, ist es durchaus ein Thema, dass der Schutz durch organisatorische Maßnahmen, die allein Menschen ausführen und einhalten, eine risikoreiche Sicherheitslücke darstellen können.

Eine technische Vorrichtung hingegen ist weder bestechlich noch erpressbar. Deshalb sollte der technische Schutz von Unternehmensdaten auch ein Hauptaugenmerk jeder Cloud-Lösung sein, rät Uniscon. Das deutsche Sicherheitsunternehmen hat hierfür eine mittlerweile in den USA und der EU patentierte Technologie entwickelt: mit der sogenannten Sealed-Cloud-Technologie lässt sich mit ausschließlich technischen Maßnahmen sicherstellen, dass nur Nutzer auf Daten zugreifen können, die in der Sealed Cloud verarbeitet werden.

Vorsorge-Tipps für den Ernstfall

Bei Abschluss eines Cloud-Vertrages müssen Kunde und Anbieter klar regeln, was im Falle einer Insolvenz oder eines Verkaufs des Dienstleisters mit den Unternehmensdaten passiert. Denn nicht zuletzt die NSA-Skandale haben gezeigt, wie wertvoll Daten von Unternehmen und Behörden für andere Unternehmen und Behörden sind.

Daten, die für Menschen einsehbar sind, lassen sich auch weitergeben: Sobald Daten verarbeitet werden, liegen sie in den Verarbeitungsservern unverschlüsselt vor und können vom Betreiber eines Dienstes eingesehen werden. Deshalb versuchen Cloud-Dienst-Betreiber die Server mit organisatorischen Maßnahmen abzusichern. Daten, die ausschließlich von einer technischen Vorrichtung geschützt verarbeitet werden, sind jedoch selbst vom Zugriff des Betreibers geschützt.

Bei der technisch versiegelten Cloud von Uniscon sind Daten selbst dann unzugänglich, wenn sie auf einen neuen Dienstebetreiber übergehen oder in anderen Serverfarmen abgelegt werden. Als Grund nennt Uniscon, dass sich die Sicherheitsroutinen und die Sicherheitstechnik rückwirkend nicht ändern lässt. Mit der Sealed-Cloud-Technologie können sich Unternehmen also in jedem Fall sicher sein, dass kein Dritter auf die sensiblen Daten zugreifen wird, weil es technisch gar nicht möglich ist.

Sicherheitslücke „Mensch“ gefährdet rechtssichere Cloud

Konzepte für Sicherheit beim Cloud Computing

Sicherheitslücke „Mensch“ gefährdet rechtssichere Cloud

04.12.14 - Teile im Bereich der IT in Cloud-Dienste auszulagern, ist keine leichte Entscheidung für Unternehmen: Die Verantwortlichen müssen zunächst klären, ob die sensiblen Unternehmensdaten auf den Außerhaus-Rechnern tatsächlich sicher gelagert sind. Das Problem steckt im Detail, wie dieser Beitrag zeigt. lesen

Bevor ein Zugriff auf das System und die Daten überhaupt erfolgen kann, werden alle Daten mit nutzerindividuellen Schlüsseln verschlüsselt gesichert, alle unverschlüsselten Daten löschen sich spurlos. Diese vom Hersteller entwickelte Betreibersicherheit geht an den neuen Eigentümer über. Selbst, wenn das Data Center aufgelöst würde, beispielsweise durch die Insolvenz eines Unternehmens, bleiben die Daten in der Sealed Cloud versiegelt.

Zudem liegen bei dem Kommunikationsdienst IDGARD von Uniscon die Daten in Standardformaten vor, so ist auch die Portabilität gewährleistet. Kunden haben damit genügend Zeit, die Daten zu sichern oder an einen anderen Dienst zu übertragen. Nach drei Monaten löscht das System die Daten – rechtlich nachweisbar – spurlos und nicht wiederherstellbar.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43585313 / Risk Management)