Suchen

Gesponsert

Keine Kompromisse bei der Datensicherheit Checkliste: Neun Top-Kriterien eines sicheren Cloud-Anbieters

Wie sich Unternehmen bei der Wahl ihres Cloud-Anbieters gegen Risiken, die von US-Rechtsnormen wie dem CLOUD Act ausgehen, schützen und was sie außerdem beachten sollten, fasst die nachfolgende Checkliste zusammen.

Gesponsert von

In den ISO 27001-zertifizierten Rechenzentren von IONOS werden Daten doppelt redundant und DSGVO-konform gespeichert.
In den ISO 27001-zertifizierten Rechenzentren von IONOS werden Daten doppelt redundant und DSGVO-konform gespeichert.
(Bild: IONOS)

Für die Mehrzahl (85 Prozent) der IT-Entscheider in Deutschland ist es ziemlich bzw. sehr wichtig, dass ihr Provider seinen Sitz in der EU hat. Dies ist das Ergebnis einer Umfrage des Meinungsforschungsinstituts Censuswide1 im Auftrag von IONOS cloud.

Umfrage von Censuswide im Auftrag von IONOS, Februar 2020
Umfrage von Censuswide im Auftrag von IONOS, Februar 2020
(Bild: IONOS)

Fast neun von zehn Befragten (88 Prozent) wünschen sich, dass ihre Daten in Deutschland gespeichert werden, rund 44 Prozent möchten nicht, dass das in den USA geschieht. Es gibt dafür gute Gründe: Von denjenigen, die die USA als Speicherort ablehnen, begründen dies zwei Drittel (67 Prozent) mit dem eher niedrigen Datenschutzniveau in den USA und einem verstärkten Wunsch zur Wahrung von Geschäftsgeheimnissen. Wie sich Unternehmen bei der Wahl ihres Cloud-Anbieters gegen die vom US-Recht ausgehenden Sicherheitsrisiken schützen und was sie außerdem beachten sollten, fasst die nachfolgende Checkliste zusammen.

CHECKLISTE

1. Der Cloud-Dienstleister hat seinen rechtlichen Sitz in Deutschland bzw. der EU.

Die Vorstellungen von Datenschutz in den USA und der EU unterscheiden sich fundamental. Die bestehende Gesetzgebung in den USA zu diesem Thema ist nicht mit der Datenschutzgrundverordnung (DSGVO) kompatibel. Doch alle Unternehmen hierzulande unterliegen ihr und dürfen demnach nur Provider mit der Verarbeitung persönlicher Daten beauftragen, die ihrerseits die DSGVO ebenso einhalten.

2. Der Cloud-Anbieter ist auch nicht Teil eines US-Konzerns oder seiner Tochtergesellschaften.

Seit Inkrafttreten des US CLOUD Act im März 2018 müssen US-amerikanische Unternehmen alle Daten in ihrem Besitz, ihrer Obhut oder ihrer Kontrolle auf Verlangen an bevollmächtigte Behörden herausgeben. Und zwar teils ohne richterlichen Beschluss. Dies gilt auch für europäische Töchter oder Länder-Zentralen von US-Konzernen.

3. Der Cloud-Dienstleister bietet die Möglichkeit, Daten ausschließlich in deutschen bzw. europäischen Rechenzentren zu hosten.

Es ist nicht von Belang, ob sich der physische Server mit den Daten in den USA oder außerhalb befindet. In jedem Fall können US-Behörden Zugriff sowohl auf personenbezogene als auch Unternehmensdaten erhalten, von wirtschaftlichen Informationen über Geschäftsgeheimnisse bis hin zu geistigem Eigentum.

► Erfahren Sie mehr über die Rechenzentren der IONOS cloud

4. Es wird eine Auftragsverarbeitungs-Vereinbarung geschlossen.

Die DSGVO regelt die Verarbeitung personenbezogener Daten, die so genannte Auftragsverarbeitung, und verpflichtet u. a. die Unternehmen, mit ihrem Cloud-Dienstleister einen Auftragsverarbeitungs-Vertrag zu schließen.

5. Der Dienstleister garantiert konkrete technische und organisatorische Maßnahmen in Sachen Datenschutz und -sicherheit

Wie wichtig die technische Seite ist, haben die als Meltdown und Spectre bekannt gewordenen Sicherheitslücken gezeigt. Vor technischen Pannen ist prinzipiell niemand gefeit. Darum braucht es einen doppelten Boden. Es müssen Lösungen her, mit denen sich sowohl Systemressourcen als auch Log-Dateien überwachen und somit auch Cloud-Umgebungen kontrollieren lassen. Die Software muss in der Lage sein, Risiken wie Cyberangriffe, übermäßige Freigaben und versehentliche Offenlegung sofort zu erkennen und gegenzusteuern. Eine automatisierte, Richtlinien gesteuerte Quarantänefunktion beim Auftreten sensibler Daten tut das ihre. Noch wirkungsvoller ist ein Cloud-Virtualisierungs-Software-Stack, der vom Design her bereits maximal mehr Schutz vor beispielsweise Speculative Threads bietet.

6. Die Cloud-Lösung beinhaltet ein performantes Rechtemanagement.

Das System sollte zwischen Lese-, Schreib, Änderungs- und Ausführrechten unterscheiden und eine möglichst detaillierte Vergabe von Zugriffsberechtigungen erlauben. Diese sollte man eher restriktiv handhaben. Geeignete Cloud-Anbieter bieten standardmäßig ein ausgefeiltes Identity Access Management (IAM) an.

7. Der Cloud-Dienstleister ist zertifiziert.

Eine Zertifizierung nach ISO 27001 ist der Nachweis, dass der Anbieter die international geforderten hohen Standards der Informationssicherheit einhält. Es muss den Cloud-Nutzern möglich sein, diese Zertifikate einzusehen. Davon unabhängig sollte sich auf der Webseite des Anbieters der Datenschutzhinweis leicht erreichen lassen und verständlich formuliert sein. Orientierung bietet außerdem der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI).

8. Der Cloud-Dienstleister schult seine Mitarbeiter umfassend zum Thema Datenschutz und -sicherheit.

Nicht nur der Wissensdurst von US-Behörden bedroht die Datensicherheit deutscher Unternehmen. Oft genug spielen außerdem Sorglosigkeit oder Ignoranz von Mitarbeitern eine unrühmliche Rolle. Der Human Factor 2019 Report 2 berichtet, dass Cyberangriffe zu 99 Prozent auf Mitwirkung der Geschädigten angewiesen sind, z.B. indem Mitarbeiter Makros aktivieren, Dateien oder Dokumente öffnen und auf einen Link klicken. Die Mitarbeiter für den Datenschutz zu sensibilisieren, ist ein wichtiger erster Schritt.

9. Der Cloud-Dienstleister unterstützt seine Kunden beim Datenschutz.

Gute Beispiele dafür sind entsprechende Tutorials oder Webinare. Auch sollte dem Unternehmen ein ständiger persönlicher Ansprechpartner für Rückfragen aller Art zu Verfügung stehen.

IONOS cloud vereint rechtliche und technische Sicherheit.
IONOS cloud vereint rechtliche und technische Sicherheit.
(Bild: IONOS)

Um die digitale Sicherheit ist es nicht so gut bestellt

Anders kann man es nicht bewerten, wenn Datenklau, Industriespionage und Sabotage allein in den letzten zwei Jahren in Deutschland Schäden in Höhe von mehr als 205 Milliarden Euro verursachten. 3 Und das betrifft nur die digitalen Angriffe, die die Unternehmen als solche erkannt haben. Die Dunkelziffer dürfte noch höher liegen, zumal sich längerfristige wirtschaftliche Verluste durch illegalen Know-how-Abfluss nur schwer bis gar nicht beziffern lassen. Das gleiche gilt für den Fall, dass durch Aktivitäten von US-Behörden Informationen und Wissen offengelegt oder dem Wettbewerb zugänglich gemacht werden. Umso wichtiger ist es also, dass die heimische Wirtschaft alle vermeidbaren Sicherheitsrisiken ausschaltet. Beispielsweise durch die Wahl eines Cloud-Anbieters, der technisch und rechtlich die höchsten Sicherheitsstandards vereint.

► IONOS cloud: die europäische Cloud-Alternative für maximale Datensicherheit der IONOS cloud

1 siehe auch: Michael Kroker: „Fast die Hälfte der IT-Entscheider in Deutschland wollen ihre Daten nicht in US-Clouds speichern“, 20. April 2020, veröffentlicht auf https://www.cloudcomputing-insider.de/redirect/945724/aHR0cHM6Ly9ibG9nLndpd28uZGUvbG9vay1hdC1pdC8yMDIwLzA0LzIwL2Zhc3QtZGllLWhhZWxmdGUtZGVyLWl0LWVudHNjaGVpZGVyLWluLWRldXRzY2hsYW5kLXdvbGxlbi1paHJlLWRhdGVuLW5pY2h0LWluLXVzLWNsb3Vkcy1zcGVpY2hlcm4v/c258a0d433cde10aa2a2946f28bdd9229814ac335ffc33f6ce955fbc/advertorial/

2 Proofpoint, Inc.: Human Factor 2019 Report, veröffentlicht auf https://www.cloudcomputing-insider.de/redirect/945724/aHR0cHM6Ly93d3cucHJvb2Zwb2ludC5jb20vdXMvcmVzb3VyY2VzL3RocmVhdC1yZXBvcnRzL2h1bWFuLWZhY3Rvcg/716b68dd0ace957deba7d304e95edeb761b34c0185915c4af0d9ffaa/advertorial/

3Achim Berg, Bitkom - Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.; Michael Niemeier, Bundesamt für Verfassungsschutz: „Wirtschaftsschutz in der digitalen Welt“, 6. November 2019, veröffentlicht unter https://www.cloudcomputing-insider.de/redirect/945724/aHR0cHM6Ly93d3cuYml0a29tLm9yZy9zaXRlcy9kZWZhdWx0L2ZpbGVzLzIwMTktMTEvYml0a29tX3dpcnRzY2hhZnRzc2NodXR6XzIwMTkucGRm/de5f739915a028869e4fe3c84b12f7fc38fef4317b8ccbe36c9de32d/advertorial/

Advertorial - Was ist das?

Über Advertorials bieten wir Unternehmen die Möglichkeit relevante Informationen für unsere Nutzer zu publizieren. Gemeinsam mit dem Unternehmen erarbeiten wir die Inhalte des Advertorials und legen dabei großen Wert auf die thematische Relevanz für unsere Zielgruppe. Die Inhalte des Advertorials spiegeln dabei aber nicht unbedingt die Meinung der Redaktion wider.