Suchen

Europa-Cloud für einheitliche Sicherheitsanforderungen Security in der Cloud groß gedacht

| Autor / Redakteur: Henrik Hasenkamp* / Elke Witmer-Goßner

Die im Herbst letzten Jahres von Wirtschaftsminister Peter Altmaier ausgelobte Europa-Cloud wurde zwar konträr diskutiert, hat es aber in jedem Fall geschafft, das Thema Cloud-Sicherheit in einen größeren Kontext zu setzen.

Die Europa-Cloud kann die Vielzahl der bestehenden Regelungen und Zertifikate für mehr Cloud-Sicherheit auf einen gemeinsamen Nenner bringen.
Die Europa-Cloud kann die Vielzahl der bestehenden Regelungen und Zertifikate für mehr Cloud-Sicherheit auf einen gemeinsamen Nenner bringen.
(Bild: © MH - stock.adobe.com)

Das ist wichtig, denn Datensouveränität, -sicherheit und -verfügbarkeit sind nicht nur wichtige Grundvoraussetzung für den Erfolg einzelner Unternehmen, sie sind eine politische Angelegenheit. Momentan dominieren einige wenige Unternehmen trotz unzureichender Datenschutzbedingungen den internationalen Cloud-Markt und spielen nach ihren eigenen Regeln.

Dabei sind gerade deutsche Unternehmen auf Grund von Sicherheitsbedenken der Cloud gegenüber kritisch eingestellt. Sie beklagen eine mangelnde Kontrolle über die in der Cloud verarbeiteten Daten und ihnen ist unklar, wer wann wofür die Verantwortung hat. Sie stellen sich zurecht die Frage, welche Parteien Zugriff auf die Firmendaten haben bzw. erhalten können. Und all diese Zweifel existieren, obwohl die deutschen Datenschutzbedingungen und Sicherheitsvorschriften die wohl strengsten der Welt sind.

Die vielfältigen Fragen sind immerhin ein Zeichen dafür, dass sich die Unternehmen Gedanken darüber machen, ob ihre eigenen Daten und die der Kunden in der Cloud sicher aufgehoben sind. Der große Widerspruch entsteht dann, wenn trotz der ungewissen Rechtslage viele Unternehmen ihre Daten kritiklos amerikanischen Cloud-Dienstleistern wie Amazon, Google und Microsoft anvertrauen. Der Wettbewerbsdruck scheint die Bedenken am Ende doch immer öfter auszuschalten.

Cloud-Angebote hinterfragen

Trotz des wachsenden Drucks in Richtung digitaler Transformation und dem Bedarf an Cloud-Lösungen als Basis unternehmenseigener Innovation, gilt es, überlegt zu handeln. IT-Entscheider sollten sich die Zeit nehmen, aktuelle Risiken pragmatisch betrachten und grundsätzliche Fragen und Verantwortlichkeiten abklären, um die bestmögliche Lösung zu finden. Denn gerade US-amerikanische Datenschutzregelungen lassen im Vergleich zu europäischen Bestimmungen zu wünschen übrig. Es gibt zwar Vorschriften, diese sind jedoch meist branchenspezifisch definiert und beruhen größtenteils auf der Selbstverpflichtung der Unternehmen.

Ebenso problematisch sind die umfangreichen Befugnisse der US-Sicherheitsbehörden, die vergleichsweise problemlos die Herausgabe von Daten fordern dürfen. US-Cloud-Dienstleister dürfen sogar auch dann zur Herausgabe von Daten gezwungen werden, wenn sie auf Servern in Europa gespeichert sind. Das besagt zumindest der 2018 unterzeichnete Cloud Act (Clarifying Lawful Overseas Use of Data Act).

Wo und auf welcher Grundlage Unternehmen in der Pflicht sind

Das, was Unternehmen beim Cloud Computing und auch bei jeder anderen Data-Management-Maßnahme Bedenken macht, sind vor allem der Verlust von Daten, der unbefugte Zugriff, Daten-Leaks und Hardware-Ausfälle. Grundsätzlich teilen sich der Cloud-Provider und sein Kunde die Verantwortung für solche Vorkommnisse und sie sind gemeinsam für die Einhaltung von Gesetzesvorgaben und Standards verantwortlich.

Die bekanntesten und wichtigsten Standards sind der deutsche IT-Grundschutz und die Europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO betrifft durch die neuen Anforderungen, die im Zusammenhang mit Kundendaten entstehen, auch alle Cloud-Anbieter. Sie ist aber nicht speziell für die Anforderungen in diesem Bereich geschaffen worden und kann deshalb nur als Grundlage gelten. Cloud-Provider übernehmen dabei aber nicht volle Verantwortung für ihre Auftraggeber. Diese müssen im Zweifel selbst beweisen, dass sie notwendige Vorkehrungen getroffen und bei der Wahl des Providers entsprechend darauf geachtet haben.

Der IT-Grundschutz hat sich zu einer Basismethode für den ISO 27001-Zertifizierungsprozess entwickelt. Er formuliert grundlegende Anforderungen an die Daten- und Informationssicherheit, an Prozesse und Abläufe in einem Unternehmen. Die ISO 27018 wiederum ist spezieller auf die Cloud zugeschnitten und beschreibt vor allem Maßnahmen für den Schutz personenbezogener Daten in Cloud-Infrastrukturen. Im Gegensatz zur DSGVO ist der IT-Grundschutz nicht bindend und eine Nichtbefolgung hat keine direkten rechtlichen Konsequenzen.

Henik Hasenkamp, gridscale GmbH.
Henik Hasenkamp, gridscale GmbH.
(Bild: gridscale)

Mit den Anforderungen an das Cloud Computing im Speziellen befasst sich der C5-Anforderungskatalog (Cloud Computing Compliance Controls Catalogue) des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er legt fest, welche Anforderungen professionelle Cloud-Diensteanbieter mindestens erfüllen müssen. In 17 Themenbereichen werden Mindestanforderungen definiert, die professionelle Cloud Provider erfüllen sollten, darunter zahlreiche Datenschutz- und Datensicherheitsvorgaben. Der C5-Katalog eignet sich hervorragend als Checkliste bei der Wahl des passenden Providers.

Wie die Europa-Cloud die Lage verbessern kann

Europäische Datenschutzvorgaben sind streng und umfassend – die angestrebte Europa-Cloud hat diesen Ansprüchen selbstverständlich zu genügen. Sie soll Datensouveränität sicherstellen und zugleich durch standardisierte Schnittstellen höchst interoperabel sein. Was die Bundesregierung damit meint und wie sie sich die nötige Infrastruktur vorstellt, erklärt sie in dem Papier „Das Projekt GAIA-X“.

Zertifizierte Schutzgrade sollen beispielsweise die Datensouveränität sicherstellen, insbesondere dann, wenn die DSGVO greift. Angesichts der aktuell schwer zu durchschauenden internationalen Rechtslage könnte sie in jedem Fall eine Erleichterung für deutsche und europäische Unternehmen bedeuten und für mehr Klarheit sorgen. Ihre Pläne müssen sich allerdings zeitnah auch auf die Anwendungsebene beziehen, da sich nur dann digitale Geschäftsmodelle entwickeln können.

* Der Autor Henrik Hasenkamp ist CEO der gridscale GmbH.

(ID:46564565)